Re: Internet banking security hole

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Maggio 2004 ml@sikurezza.org
Soggetto: Re: Internet banking security hole
Mittente: Ing. S. Centineo - AMAP S.p.A.
Data: 5 May 2004 00:35:06 -0000

>Si ma ogni utente ha un proprio sistema, con una propria configurazione e
>non utilizza solo un web browser...come posso garantire la sicurezza su un
>sistema che non controllo direttamente?

Un'ultima, spero, precisazione sulle problematiche di cui sopra vissute
direttamente da colleghi.
S.Op Mac (studio Grafico), hanno dovuto comprare un PC con Win
perchè la Banca del cliente usa certificati digitali che vanno bene con
un browser solo installando un "pseudoproxy sicuro" per le transazioni
su https.

>>per quello che secondo me bisognerebbe spingere verso una piattaforma
>>comune, basata sulle smartcard con chiave pubblica e privata e password
>>di sblocco, meglio ancora se quest'ultima e' una scansione delle
>>impronte digitali

D'accordissimo su tutto; per precisazione ulteriore il sistema di cui sopra
è dotato anche di lettore SmartCard per eventuali  certificati/firma
digitale (con driver espressamente per Win)

>Il sistema che hai descritto è indubbiamente notevolmente sicuro ma si
>scontra con alcune problematiche:
>- quanti utenti non avrebbero problemi ad utilizzare una smartcard?
>- quanti utenti, al primo errore che i dispositivi mostrassero, non
>andrebbero in paranoia e non si fionderebbero a chiamare l'help desk?
>Io credo che già il 50% dei comuni utenti avrebbero difficoltà ad
installare
>un certificato digitale memorizzato su un floppy...
>Inoltre sarebbe abbastanza oneroso dotare i clienti (su cui ovviamente
>ricadrebbero i costi) dei lettori, senza considerare il supporto tecnico
>(sia software sia hardware) necessario.

Problema: dopo aver interagito "fisicamente" con il sistema banca, il
collega di cui sopra, non ha avuto accesso  all'internet banking e
dopo "una giornata appresso all'help desk" (proprio quando ci sono
scadenze improrogabili - famosa legge di Murphy), e dopo aver anche
controllato Firewall Proxy vari ecc., si scopre, grazie alla solerzia della
signorina di turno " ma sa stavo per andare via" che il certificato
assegnato era stato REVOCATO ( anche se non scaduto !!) e il
cliente non ha potuto effettuare le operazioni =>
   mattinata da perdere in banca riabilitazione certificato ecc. ecc.

Capisco la sicurezza ma in questi casi l'usabilità, anche per utenti
"medi" è andata a farsi friggere !!!

>Ciao
>Damiano
ciao a te e tutti i n lista
Stefano

PS: personalmente sono soddisfatto di utilizzare da anni un sistema
banca con accesso universale (solo https da browser) gestibile con
Mac. Linux, Win, Mozilla vari ecc. e da quanto visto .. funziona.
PSII. anche se ti "sgami" il codice di accesso, per le operazioni
dispositive ne occorre sempre un'altro e da quanto verificato la
pagina in questione non è nemmeno "cacheabile".


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

Messaggi successivi:
- R: Internet banking security hole, Damiano Bolzoni

Data:
- precedente: Re: R: SQL injection, Emiliano 'AlberT' Gabrielli
- successivo: R: R: FTP TLSv1 - SSLv3 and Firewall, Pasqualetti, Fausto
- indice

Argomento:
- precedente: R: Internet banking security hole, Damiano Bolzoni
- successivo: R: Internet banking security hole, Damiano Bolzoni
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005