Re: R: [ml] incredibile buco di fideuramonline.it

Salvatore Mandrà wrote:

> Un caso semplice: mandiamo all'utonto medio che non comprende che la
> mail è spoofata. Non sa controllare che non proviene dalla sua banca e
> non si fida, perché in fondo a questa nuova connessione sicura con
> lucchetto dorato e chiave OTP. Va al sito indicato, inserisce i dati.
> Non si connette. Proviamo con la seconda OTP. Poi la terza. E nel giro
> di qualche minuto il nostro utono sarà senza soldi.
> 

In realtà, da questo punto di vista il certificato lato utente è più
sicuro, il MITM non è possibile. È però meno sicuro in caso di
compromissione del pc: anche se in teoria quando il pc è compromesso
non c'è meccanismo che regga, il certificato ti può essere copiato,
mentre con un OTP in teoria dopo la prima operazione ti potresti
accorgere di quello che succede (il tuo utonto perderebbe tutto
comunque). La combinazione dei due chiaramente mitiga meglio, pur
senza essere una soluzione e con una maggiore complessità.

ciao

- Claudio

-- 

Claudio Telmon
claudio@xxxxxxxxxx
http://www.telmon.org