Re: [Hackmeeting] MITM against VLC

Delete this message

Reply to this message
Autore: Fabio Pietrosanti - Lists
Data:  
To: hackmeeting
Oggetto: Re: [Hackmeeting] MITM against VLC
On 05/07/2017 12:52, Michele Orrù wrote:

> oh regà ma avete visto?
> <https://twitter.com/hackerfantastic/status/882203343287980032>
> che vergogna.

Visto il social media hype, link ordinati dei ticket aperti a VLC e ai
Browser vendors:
https://github.com/drego85/Why-VLC-NEED-to-enforce-HTTPS

A volere fare una timeline si vede come:
- ticket aperti in modo propositivo e positivo (io apro almeno 5-10
tickets al mese a progetti OSS vari in giro x il web con suggerimenti e
idee)
- denial del problema con risposta scocciata e arrogante sul loro trac
- tweet del ticket su twitter indirizzato a @videolan cercando feedback
- risposta di denial, sfilza di insulti ricevuti e "sfida a dimostrare
il problema"
- sviluppo del PoC con poche righe di ruby e video che dimostra il problema

BAAAAAM

da lì il team videolan si è scatenato, in modo arrogante, continuando a
negare e insultando.

Ovviamente di fronte a tale reazione, nel social media hype diverse
persone si sono appiccicate, rimane fermo il problema iniziale,
dimostrato in modo pratico a seguito del loro denial.

Per quanto mi riguarda non ho proferito un singolo insulto ma aperto
vari tickets con contributi fattuali che sono stati tutti accolti con
disprezzo, chiusi come invalidi o duplicati.

Il risultato sarà buono perché in corso fixing, dopo 4 giorni HSTS, vari
mirror aggiornati ad HSTS. :-)

Come si può vedere, lo stesso giorno dell'apertura del primo ticket a
VLC, ne ho aperto anche a 7-zip
(https://sourceforge.net/p/sevenzip/bugs/2067/) e fatto notare il
problema ad Avast antivirus.

La community dovrebbe reagire in modo costruttivo (come ho fatto io),
aprendo tickets sul sistema di ticketing del progetto OSS sottolineando
la problematica di sicurezza e il rischio relativo, eventualmente
perseveranno nel dimsotrarla per renderli aware qualora vi sia, come nel
caso di VLC, in denial, rifiuto e addirittura sfida affinché vi sia
consapevolezza.

Ad ogni modo da questo hype, si avvierà un progetto più ampio, alla
"securethe.news" ma per la sicurezza della software distribution nei
progetti opensource.

Besos.

-naif