Il 12 febbraio 2012 08:52, Roberto Scaccia <[email protected]> ha scritto: > Aggiungo che oltre a valutare opportunamente il meccanismo di OTP > offerto dalla banca (token digitale, card fisica, etc.), ricordate > sempre di controllare che la connessione HTTPS avvenga con un > certificato valido. Per fortuna adesso quasi tutti i siti web di un > certo livello usano certificati di tipo Extended che si "qualificano > graficamente" nella barra della URL.
Considera però che ultimamente è "di moda" mettere il form per il login nella home page, che viene caricata in http, e passare su https solo all'atto l'invio dello stesso, vanificando in buona parte l'aspetto "preventivo" delle connessioni https. Trovo questa cosa terribilmente diseducativa, dato che nonostante il disinteresse generale dell'utente medio per le problematiche di sicurezza, la faccenda degli avvisi https nella barra era una cosa sulla quale si poteva comunque cercare di insistere. -- Ciao, P. ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
