[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
Archivio: Maggio 2004 ml@sikurezza.org Soggetto: R: R: Internet banking security hole Mittente: Damiano Bolzoni Data: 5 May 2004 00:35:01 -0000
Le persone che vogliono fare e-banking: 1) pagano già troppi soldi alla banca per i servizi di conto corrente e non vogliono dargliene di più 2) non hanno nessuna percezione dei possibili rischi nell'effettuare tali operazioni su una rete pubblica Purtroppo quanto dico non è un parere personale, ma quanto mi dice l'esperienza sul campo... L'adozione di uno standard comune (di cui ognuno si possa fare la propria implementazione, altrimenti come ci si coltiva il proprio orticello...) è sicuramente la cosa migliore, ma secondo me sarebbe frenato proprio dai requisiti tecnici. E non credo una banca si possa permettere di mantenere attivi due sistemi di gestione delle transazione cliente, uno per chi ha la smartcard e l'altro per chi l'ha rifiutata... Inoltre si devono considerare eventuali aggiornamenti al software...se trovo un bug nella pagina web, modificata quella tutti sono a posto...ma se ne identifico uno nel software che interfaccia la smartcard al sistema operativo? Come dimostrano i recenti fatti (Blaster, Sasser, ASN.1, ecc.), anche mettendo a disposizione degli utenti l'aggiornamento si trovano diversi sistemi bacati... -----Messaggio originale----- Da: Guido Serra [mailto:zeph@xxxxxxxxx] Inviato: lunedì 3 maggio 2004 16.21 A: ml@xxxxxxxxxxxxx Oggetto: Re: R: Internet banking security hole > - quanti utenti non avrebbero problemi ad utilizzare una smartcard? non mi pare abbiano problemi a usare il bancomat > - quanti utenti, al primo errore che i dispositivi mostrassero, non > andrebbero in paranoia e non si fionderebbero a chiamare l'help desk? tanto oramai gli helpdesk in italia sono dei "cat chiamata>/dev/null" > Io credo che già il 50% dei comuni utenti avrebbero difficoltà ad installare > un certificato digitale memorizzato su un floppy... puo' darsi... ma se gli si da' direttamente una smartcard... come sta facendo la American Express con le carte di credito Blu > Inoltre sarebbe abbastanza oneroso dotare i clienti (su cui ovviamente > ricadrebbero i costi) dei lettori, senza considerare il supporto tecnico > (sia software sia hardware) necessario. credo che persone che vogliano fare eBanking... 1) hanno i soldi per farlo 2) se gli dai un sistema sicuro sono decisamente piu' felici il problema e' come smuovere le banche verso una piattaforma comune... andrebbe definito a norma di legge un protocollo di comunicazione standard (credo che ci sia gia' qualcosa in xml) http://www.oasis-open.org/committees/tc_home.php?wg_abbrev=business-transact ion e un minimo di procedure obbligatorie, come l'adozione di smartcards bye Guido Serra ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005