Mailing List Manager wrote:
Ma non vedo dov'? il problema, dato che per l'utente ? del tutto trasparente. L'importante, forse, ? inserire e utilizzare sempre a mano l'indirizzo della propria banca sul browser, non eseguire nessun click su testi che arrivano in mail, mai utilizzare connessioni non "sicure" come InternetPoint e/o WiFi pubblici.
La questione è capire perché si usa l'https. Da quali problemi vuole proteggere? l'https (SSL/TLS) serve ad autenticare il server e a cifrare il traffico, quindi serve a proteggere da attacchi che potrebbero portarci ad un server fasullo (es. attacchi al dns, link fasulli ecc.) e da problemi di man-in-the-middle. In tutti questi casi, una pagina http con frame https non è riconoscibile per l'utente da una pagina interamente in http in cui le credenziali vengono cedute all'attaccante.
Si può anche vederla in un altro modo: se non ti sembra che avere il solo frame in https sia un problema, allora non sarebbe un problema neanche rinunciare completamente all'https (perché madare la password su una connessione cifrata, se non c'è rischio che ci sia qualcuno a leggerla?). Ok, in realtà un caso ci sarebbe: c'è qualcuno in mezzo che può leggere il traffico ma non manipolarlo... su una connessione domestica, direi che è estremamente improbabile.
ciao - Claudio -- Claudio Telmon [EMAIL PROTECTED] http://www.telmon.org
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
