----- Forwarded message from Cesare <voltsz(at)gmail.com> ----- From: Cesare <voltsz(at)gmail.com> To: ml(at)sikurezza.org Subject: Re: [ml] Ancora sui portali di Home Banking
Accade anche su SanPaolo. Per accorgersi se la connessione ? sicura (https) basta non immettere nessuna informazione e premere OK. Dopodich? le pagine a venire sono tutte con il "lucchetto". Ma non vedo dov'? il problema, dato che per l'utente ? del tutto trasparente. L'importante, forse, ? inserire e utilizzare sempre a mano l'indirizzo della propria banca sul browser, non eseguire nessun click su testi che arrivano in mail, mai utilizzare connessioni non "sicure" come InternetPoint e/o WiFi pubblici. Su SanPaolo, poi, la OTP ? necessaria per qualsiasi ulteriore azione di disposizione (bonifici, acquisti, vendite etc etc) e quindi la chiave OTP, se recuperata dall'utente ingannato, non ha nessun valore. Questo perch? la OTP visualizzata sulla chiavetta dura circa 10-12 secondi dopodich? ? necessario ripremere il bottone e il numero ? diverso. Sarebbe anche interessante vedere se la modalit? di inserimento dei codici (OTP, PIN o codice utente) debbano essere disponibili tramite dialog-box oppure, come fa IngDirect o Fineco, attraverso una maschera JavaScript su cui selezionare il numero attraverso point-and-click. Cesare [..messaggio originale..] ----- End forwarded message -----
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
