[ Home | Liste | F.A.Q. | Risorse | Cerca... ]


[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ] 

Archivio: Aprile 2008 ml@sikurezza.org
Soggetto: Re: [ml] Ancora sui portali di Home Banking
Mittente: Claudio Telmon
Data: Wed, 23 Apr 2008 21:01:25 +0200 (CEST)

Mailing List Manager wrote:

Ma non vedo dov'? il problema, dato che per l'utente ? del tutto
trasparente. L'importante, forse, ? inserire e utilizzare sempre a mano
l'indirizzo della propria banca sul browser, non eseguire nessun click su
testi che arrivano in mail, mai utilizzare connessioni non "sicure" come
InternetPoint e/o WiFi pubblici.

La questione à capire perchà si usa l'https. Da quali problemi vuole proteggere? l'https (SSL/TLS) serve ad autenticare il server e a cifrare il traffico, quindi serve a proteggere da attacchi che potrebbero portarci ad un server fasullo (es. attacchi al dns, link fasulli ecc.) e da problemi di man-in-the-middle. In tutti questi casi, una pagina http con frame https non à riconoscibile per l'utente da una pagina interamente in http in cui le credenziali vengono cedute all'attaccante.

Si puà anche vederla in un altro modo: se non ti sembra che avere il solo frame in https sia un problema, allora non sarebbe un problema neanche rinunciare completamente all'https (perchà madare la password su una connessione cifrata, se non c'à rischio che ci sia qualcuno a leggerla?). Ok, in realtà un caso ci sarebbe: c'à qualcuno in mezzo che puà leggere il traffico ma non manipolarlo... su una connessione domestica, direi che à estremamente improbabile.

ciao

- Claudio

--

Claudio Telmon
claudio@xxxxxxxxxx
http://www.telmon.org



[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005