Un collega questa mattina e' rimasto colpito dal fatto che a seguito di un aggiornamento del portale di Intesa San Paolo era scomparsa dalla URL il protocollo https. Il collega in questione lo ha notato semplicemente per la mancanza del lucchetto in basso a dx su IE.
http://www.intesasanpaolo.com/scriptIbve/retail20/RetailIntesaSanpaolo/ita/home/ita_home.jsp In realta' se si clicca con il pulsante dx del mouse sulla sezione in alto a dx, compare https://www.sanpaolo.com/script/Login2Servlet?dnsFrom=www.intesasanpaolo.com&function=loginOtpBox&funzione=HPP SSL 3.0, RC4 with 128 bit encryption (High); RSA with 1024 bit exchange ed anche il certificate path risulta corretto. La mia domanda e' la seguente : posto che comunque si utilizza una OTP, non ritenete comunque fuorviante un'implementazione del portale di accesso come questa citata ? Se avvenisse un baco analogo a quello riscontrato per Fideuram, sarebbe ancora meno immediato il controllo del certificato sul computer remoto. Ovviamente con questa domanda non voglio spronare nessuno a cercare di bucare il server di Intesa SP :-)) Saluti RR -------------------------------------------------------------------- CONFIDENTIALITY NOTICE This message and its attachments are addressed solely to the persons above and may contain confidential information. If you have received the message in error, be informed that any use of the content hereof is prohibited. Please return it immediately to the sender and delete the message. Should you have any questions, please contact us by replying to [EMAIL PROTECTED] Thank you www.telecomitalia.it --------------------------------------------------------------------
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
