Re: R: Internet banking security hole

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Maggio 2004 ml@sikurezza.org
Soggetto: Re: R: Internet banking security hole
Mittente: Mario Saturno
Data: 5 May 2004 08:07:17 -0000

Damiano Bolzoni wrote:

la sicurezza va garantita (ove possibile) anche con un occhio verso l'utonto che in qualche modo si affida alla banca come "consulente"
Si ma ogni utente ha un proprio sistema, con una propria configurazione e
non utilizza solo un web browser...come posso garantire la sicurezza su un
sistema che non controllo direttamente?
per quello che secondo me bisognerebbe spingere verso una piattaforma comune, basata sulle smartcard con chiave pubblica e privata e password di sblocco, meglio ancora se quest'ultima e' una scansione delle impronte digitali
Il sistema che hai descritto è indubbiamente notevolmente sicuro ma si
scontra con alcune problematiche:
- quanti utenti non avrebbero problemi ad utilizzare una smartcard?
- quanti utenti, al primo errore che i dispositivi mostrassero, non
andrebbero in paranoia e non si fionderebbero a chiamare l'help desk?
Io credo che già il 50% dei comuni utenti avrebbero difficoltà ad installare un certificato digitale memorizzato su un floppy... Inoltre sarebbe abbastanza oneroso dotare i clienti (su cui ovviamente ricadrebbero i costi) dei lettori, senza considerare il supporto tecnico (sia software sia hardware) necessario.
Ciao
Damiano
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

Parlare di smart card e' fuori luogo imho. Non si usa in contesti molto piu complessi, perche dovrei usarle per guardare il mio conto in banca? E poi se devo fare una cosa cosi complicata allora e' meglio andare direttamente in banca no? La flessibilita' e la comodita' che il computer offre... credo, che debbano essere sempre e comunque al primo posto, anche perche se no.. non vedo nessuna ragione per la loro esistenza. Poi se il cliente ha esigenze particolari allora la cosa si potrebbe risolvere in un altro modo.

Attachment: signature.asc
Description: OpenPGP digital signature

Messaggi successivi:
- Re: R: Internet banking security hole, Guido Serra

Data:
- precedente: RE: SQL injection, Antonio Parata
- successivo: R: Microsoft Windows 2003 & IIS6, Pasqualetti, Fausto
- indice

Argomento:
- precedente: R: R: Internet banking security hole, Damiano Bolzoni
- successivo: Re: R: Internet banking security hole, Guido Serra
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005