Dario Lombardo wrote:
Perche' fuorviante? Di fatto viene alleggerita la parte della pagina che
contiene le parti non critiche e protetta la zona della pagina con
l'autenticazione. Un utente standard non nota la differenza. Un utente
smaliziato capisce subito qual'e' il sistema usato. Di fatto e' come
avere una home page non protetta e un link che porta ad una seconda
pagina SSL con l'autenticazione. Solo che queste due pagine sono
conglobate in una unica.
Non vedo criticita' in merito.
Non sono d'accordo. L'utente "non smaliziato", ovvero normale, non
può distinguere una pagina contente il frame https da una
completamente http. Quindi se gli viene presentata una pagina
interamente http, ci metterà felicemente le sue credenziali, OTP
compreso. Tutto il senso del lucchetto sta nella possibilità di
vederlo in fondo alla pagina.
ciao
- Claudio
--
Claudio Telmon
[EMAIL PROTECTED]
http://www.telmon.org
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
