Re: [Hackmeeting] MITM against VLC

Delete this message

Reply to this message
Author: G
Date:  
To: hackmeeting
Subject: Re: [Hackmeeting] MITM against VLC
On 2017-07-07 07:25, Fabio Pietrosanti - Lists wrote:
> On 05/07/2017 12:52, Michele Orrù wrote:
> Visto il social media hype, link ordinati dei ticket aperti a VLC e ai
> Browser vendors:
> https://github.com/drego85/Why-VLC-NEED-to-enforce-HTTPS
>
> A volere fare una timeline si vede come:
> - ticket aperti in modo propositivo e positivo (io apro almeno 5-10
> tickets al mese a progetti OSS vari in giro x il web con suggerimenti e
> idee)
> - denial del problema con risposta scocciata e arrogante sul loro trac
> - tweet del ticket su twitter indirizzato a @videolan cercando feedback
> - risposta di denial, sfilza di insulti ricevuti e "sfida a dimostrare
> il problema"
> - sviluppo del PoC con poche righe di ruby e video che dimostra il
> problema
>
> BAAAAAM
>


Non e' che per caso hai omesso (per errore eh) il punto di vista (molto
ragionato) degli sviluppatori?
http://www.beauzee.fr/2017/07/04/videolan-and-https/

> da lì il team videolan si è scatenato, in modo arrogante, continuando a
> negare e insultando.
>


Siamo sicuri che gli arroganti non siete voi che non avete voluto
sentire ragioni? Che avete fatto un poc su come bollire l'acqua? Che
avete fatto uscire un articolo su Vice? Che avete ripetutamente
insistito quando il progetto ha dato delle spiegazioni perfettamente
razionali? Che li avete insultati?

Esempio: https://twitter.com/evilsocket/status/882221730655334402


> Ovviamente di fronte a tale reazione, nel social media hype diverse
> persone si sono appiccicate, rimane fermo il problema iniziale,
> dimostrato in modo pratico a seguito del loro denial.
>
> Per quanto mi riguarda non ho proferito un singolo insulto ma aperto
> vari tickets con contributi fattuali che sono stati tutti accolti con
> disprezzo, chiusi come invalidi o duplicati.
>
> Il risultato sarà buono perché in corso fixing, dopo 4 giorni HSTS,
> vari
> mirror aggiornati ad HSTS. :-)
>
> Come si può vedere, lo stesso giorno dell'apertura del primo ticket a
> VLC, ne ho aperto anche a 7-zip
> (https://sourceforge.net/p/sevenzip/bugs/2067/) e fatto notare il
> problema ad Avast antivirus.
>
> La community dovrebbe reagire in modo costruttivo (come ho fatto io),
> aprendo tickets sul sistema di ticketing del progetto OSS sottolineando
> la problematica di sicurezza e il rischio relativo, eventualmente
> perseveranno nel dimsotrarla per renderli aware qualora vi sia, come
> nel
> caso di VLC, in denial, rifiuto e addirittura sfida affinché vi sia
> consapevolezza.


Cosa non si fa per un po' di notorieta'

G