Re: [Hackmeeting] Linux vs android

Questo messaggio è parte di questo thread:
M-+\il thread completo ordinato per data
M\MMElettrico at <-
MMElettrico at ->
Delete this message

Reply to this message
Autore: Marco Calamari
Data:  
To: hackmeeting
Oggetto: Re: [Hackmeeting] Linux vs android
On Thu, 2013-01-10 at 10:15 -0200, Elettrico wrote:
> Il 10/01/2013 01:47, Al scrisse:
> > Cyanogenmod e' carino, ma anche senza montare le gapps google si
> > intrufola nelle maniere piu' inaspettate. Proprio oggi e' stato
> > scoperto che il browser di android (versione 4.2 inclusa) manda in
> > CLEARTEXT tutto quello che scrivi nella barra degli indirizzi a
> > google, con la scusa dell' autocomplete. La cosa peggiore e' che tutto
> > questo avviene, in CLEARTEXT, mentre il lucchetto che dovrebbe
> > rappresentare la cifratura SSL e' lockato; quindi l' utente e'
>
> ma scusa, io non capisco: ssl rappresenta la cifratura del traffico HTTP
> una volta connessi ad un sito, non di cosa tu stai cercando. se io

SSL rappresenta la cifratura di un canale generico ...

> scrivo www.cazzi.com questo indirizzo non passerà MAI in ssl presso il

Se lavori come un utonto si, ed arriva anche a chi gestisce il DNS
(forse il tuo provider, ma anche no)

> mio provider, premesso che tra l'altro il mio sistema dovrà fare una
> query DNS e quindi giocoforza il mio provider sa che cosa sto cercando.

No se usi Tor come socks5, Vidalia o una distribuzione torificata
come Tails

> non credo che nessun browser che abbia l'autocompletamento cifri il
> testo che tu scrivi nella barra degli indirizzi o nella ricerca, tra

Se il browser fa l'autocompletamento guardando bookmark & history locale
non trasmette niente e non deve cifrare niente.
Se usa invece la barra di un motore di ricerca, non cifra per la stessa
ragione per cui i violentatori non chiedono "per favore"

> l'altro anche lo facesse di fatto l'endpoint (google, ma potrebbe essere
> yahoo o qualsiasi engine di ricerca) sa cosa tu stai cercando. se vuoi
> che non accada devi disabilitare l'autocompletamento.

No, se il tuo modello di minaccia e' il provider basta che usi
uno degli accorgimenti sopradescritti (il motore di ricerca che ti
fornisce l'autocompletamento ovviamente vede comunque tutto)
Ma ha poi una grande utilita'???? Meglio assai il completamento locale

FWIW. Marco

--
Marco A.Calamari - Board Member
marco.calamari@??? +39.347.8530279

HERMES - Centro Studi Trasparenza e Diritti Umani Digitali
Associazione No Profit - Via Aretusa 34, IT-20129 Milan, Italy
t. +39-02-87186005 (voicemail) f. +39-02-87162573
TaxCode: IT-97621810155 | EuropeAid: IT-2012-AOD-0806909254 w.
http://logioshermes.org | m. info@???
Questo messaggio è stato inviato alle seguenti mailing lists:
hackmeeting
Informazioni sulla Mailing List | Messaggi correlati		<-Re: [Hackmeeting] Linux vs androidRe: [Hackmeeting] Linux vs android->
lists.autistici.org amministrato da postmasterLurker (versione 2.3)