2012/2/19 Roberto Scaccia <[email protected]>: > Tra l'altro il fatto di cifrare solo il passaggio delle credenziali in > HTTPS in ragione di una presunta maggiore velocità, oggi con i > certificati extended è doppiamente colpevole. Alla fine il certificato > nella URL con il suo colore "verde" (e qui sfido chiunque a dirmi che > si capisce poco), dà un senso di sicurezza a tutta la navigazione. Che > di fatto è il significato di HTTPS.
Personalmente non capisco - a parte il colore verde - per quale motivo si considerino i certificati "extended" "migliori" di quelli tradizionali. Noi abbiamo fatto una analisi e verificato che - almeno per la nostra azienda - non servivano a niente, sono semplicemente una tassa in più - bella salata - da pagare. Non sono affatto indice di maggiore sicurezza. > Poi se uno ci clicca sopra vede anche il rassicurante nome di Paypal, > Microsoft, o altri Big. Insomma Twitter, Facebook, Google oramai > viaggiano (con il loro traffico) sempre in HTTPS e volete dirmi che un > portale del cavolo di una banca anche grossa non può reggere un HTTPS? Potrei immaginare mezza dozzina di motivi per cui può essere difficile far transitare un intero portale da HTTP ad HTTPS - potrebbe per esempio essere necessaria cambiare tutta l'architettura, inclusi i load balancer, eccetera - oppure persino il fatto stesso che rendi "ciechi" certi dispositivi di sicurezza. In generale, sono tutti problemi risolvibili - con la giusta iniezione di soldi e con la buona volontà e una reale comprensione del rischio da parte del management e di chi ci lavora. (si prega di aggiungere questi ultimi tre ai motivi per cui non viene fatto...). Cordiali saluti -- Marco Ermini root@human # mount -t life -o ro /dev/dna /genetic/research http://www.linkedin.com/in/marcoermini "Jesus saves... but Buddha makes incremental back-ups!" ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
