the rule is correct.  This event tells us that an idiot/user has sent their password to an outside site, in the clear.  This is a POLICY issue, not necessarily a security issue.  It becomes a corporate security issue if the password they sent was their domain password or if they were using a corporate account login to an external vendor.  Otherwise it's just a training opportunity.<br>
<br>This SID has frequently led me to vendor web sites that do not use https.  Then i get to bust their chops about it.<br><br>Not necessarily a security issue, though.<br><br>jp<br><br><br><br><div class="gmail_quote">On Mon, Dec 17, 2012 at 8:11 AM, Giles Coochey <span dir="ltr"><<a href="mailto:giles@coochey.net" target="_blank">giles@coochey.net</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">If this was truly an "Outgoing" issue:<br>
<br>
alert tcp $HOME_NET any -> any $HTTP_PORTS (msg:"ET POLICY Outgoing Basic Auth Base64 HTTP Password detected unencrypted"; flow:established,to_server; content:"|0d 0a|Authorization|3a 20|Basic"; nocase; http_header; content:!"YW5vbnltb3VzOg=="; within:32; http_header; threshold: type both, count 1, seconds 300, track by_src; reference:url,<a href="http://doc.emergingthreats.net/bin/view/Main/2006380" target="_blank">doc.<u></u>emergingthreats.net/bin/view/<u></u>Main/2006380</a>; classtype:policy-violation; sid:2006380; rev:12;)<br>

<br>
wouldn't it read:<br>
<br>
alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS...<br>
<br>
Just wondering, as I get an FP for this coming in after SSL offloading from the proxy. I know I can modify the rule via PP, but it isn't really alerting on what it says it is doing.<span class="HOEnZb"><font color="#888888"><br>

<br>
-- <br>
Regards,<br>
<br>
Giles Coochey, CCNA, CCNAS<br>
NetSecSpec Ltd<br>
+44 (0) 7983 877438<br>
<a href="http://www.coochey.net" target="_blank">http://www.coochey.net</a><br>
<a href="http://www.netsecspec.co.uk" target="_blank">http://www.netsecspec.co.uk</a><br>
<a href="mailto:giles@coochey.net" target="_blank">giles@coochey.net</a><br>
<br>
<br>
</font></span><br>_______________________________________________<br>
Emerging-sigs mailing list<br>
<a href="mailto:Emerging-sigs@lists.emergingthreats.net">Emerging-sigs@lists.emergingthreats.net</a><br>
<a href="http://lists.emergingthreats.net/mailman/listinfo/emerging-sigs" target="_blank">http://lists.emergingthreats.net/mailman/listinfo/emerging-sigs</a><br>
<br>
Support Emerging Threats! Subscribe to Emerging Threats Pro <a href="http://www.emergingthreatspro.com" target="_blank">http://www.emergingthreatspro.com</a><br>
The ONLY place to get complete premium rulesets for Snort 2.4.0 through Current!<br></blockquote></div><br>