Re: Internet banking security hole

> Qui però stiamo "uscendo" dai binari del problema iniziale: parlavamo di
> vulnerabilità lato server (cioè di outsourcer/entità bancaria) ed invece tu
> qui mi parli di un client...quindi non stiamo più facendo riferimento ad
> un'attività condotta contro sistemi "carrozzati" (se così si possono
> definire...). Nella mia risposta volevo solo farti notare che ci sono pochi
> metodi per ottenere il certificato, ma violare un client non è come violare
> un sistema di una banca, se mi permetti...

siamo sempre li'... tutto il sistema di eBanking deve essere una catena
solida, dove purtroppo lato server o lato client becchiamo l'anello
debole

il problema se vuoi e' proprio quello di spostare l'ottica della
sicurezza dal server al client dell'utente finale

la sicurezza va garantita (ove possibile) anche con un occhio verso
l'utonto che in qualche modo si affida alla banca come "consulente" 

se do' una pistola in mano a un cretino, e' diverso che dare in mano una
pistola con la sicura e che si sblocca solo in mano a _quel_ cretino

in qualche modo, se fa danno, saro' sicuro che e' lui ad aver fatto
danno... e non qualcuno che gli ha fregato la pistola da sotto il naso

per quello che secondo me bisognerebbe spingere verso una piattaforma
comune, basata sulle smartcard con chiave pubblica e privata e password
di sblocco, meglio ancora se quest'ultima e' una scansione delle
impronte digitali

non dico sia la panacea... ma tra le password su un sistema che non sa'
gestire i cookies come dovrebbe e la soluzione sopra citata... ci sara'
una via di mezzo? o no? :-)

bye
Guido/Zeph

Attachment: signature.asc
Description: Questa parte del messaggio =?ISO-8859-1?Q?=E8?= firmata