Link alla notizia: http://www.hwupgrade.it/news/sicurezza/funzioni-anti-phishing-con-la-toolbar-di-msn_15238.html

Microsoft ha dichiarato che a breve sarà disponibile un plug-in per integrare le funzionalità anti phishing in MSN toolbar e conseguentemente in Internet Explorer 6

Click sul link per visualizzare la notizia.

Molto interessante la presenza di strumenti anti phishing, vista la pericolosità a crescente diffusione del fenomeno. In particolare per gli utenti poco esperti, che possono non sapere dell'esistenza di questo tipo di truffe.

Buona iniziativa da parte di Microsoft.

Quote: Microsoft ha dichiarato che il plug-in in oggetto è un'anticipazione di quanto sarà disponibile in Internet Explorer 7, il cui rilascio è atteso per l'inizio 2006 con Microsoft Windows Vista.

Penso che ci sia un errore visto che Vista non sarà rilasciato prima della seconda metà del 2006. ;)

Byez!

Non sarebbe meglio che migliorassero la gestione dei cookies, piuttosto?
Una toolbar con funzioni antiphishing mi suona come risolvere il problema del tetto della casa che perde acqua mettendo un secchio (ma con indicatore di livello LCD e spie colorate lampeggianti) invece che tappare il buco sul tetto con un po' di malta...

e che c'entra? il phishing è semplicemente l'attività fraudolenta di ingannare l'utente, non è che ha un browser di riferimento (ad esempio se m'arriva l'email in cui ebay mi dice che ha perso le informazioni del mio account, clicco sul link, inserisco i miei dati e alla fine mi esce la scritta "ti ho fregato" è indipendente dal tipo di browser che usi, il problema è che l'utonto lo freghi come vuoi)

Che c'entrano le email? Stiamo parlando di IE non di Outlook...

Comunque, da quanto si legge in giro, pare che tale funzione serva solo a mascherare i parametri passati ai siti visitati con il metodo get che si propagano al sito immediatamente successivo con il campo referer degli headers html...

una domanda stupida... ma che cos'è il phishing???

grazie

Se si basa solo su una blacklist, dubito che possa essere uno strumento veramente efficace. Il phishing in genere si evolve nel giro di poche ore, dalla messa online del sito fraudolento a quando viene denunciato e chiuso. In quel lasso di tempo se ne possono fare di vittime prima che qualcuno inseririsca il sito nella blacklist.

una domanda stupida... ma che cos'è il phishing???

grazie

In breve è quando un sito ha un nome molto simile ad un'altro e dal quale ha copiato in tutto e per tutto l'interfaccia grafica. Di solito ti mandano una email (a nome di ebay, banca tal dei tali, paypal, ecc insomma siti che trattano soldi) dicendoti che a causa di controlli (o motivazioni varie) devi collegarti al sito, di cui offrono il link diretto nella email.
L'utente ignaro clicca il link, vede la pagina identica a quella della sua banca alla quale è abituato e digita utenza e password; il sito clone reindirizza al sito corretto, per cui l'utente naviga sul sito giusto e non si accorge di nulla, però ha già consegnato utenza e password al sito truffatore.
Per fare un esempio, recentemente sono state spedite false email a nome unicreditbanca.it che reindirizzavano a unicreditsbanca.it; noti la differenza?

L'iniziativa è encomiabile.
Però porta ad un brutto precedente. Può MS (o chi per esso) decidere quali siti visualizzare e quali no?
E' moralmente accettabile che qualcun'altro decida al posto nostro?
Speriamo non venga usato nel modo sbagliato, a questo mondo ci sono molti programmatori "distratti".

Ci sono molte altre tecniche per il phishing. Quelle che mi spaventano di più sono quelle che sfuttano i bug del cross site scripting e che consentono al sito A di leggere i dati presenti nel cooky del sito B.

Inoltre, in relazione a quello che ho detto poco sopra (sulla propagazione delle info via referer), ho ritrovato il link a cui mi riferivo: http://www.microsoft.com/windowsvista/privacy/ieprivacy_pr7.mspx

fantoibed, siamo nel 2005... negli ultimi anni è successa una cosa: chi faceva di queste cose s'è accorto che è molto ma molto più semplice convincere l'utonte a fare quel che vuoi che faccia che cercare metodi macchinosi e che funzionano solo in alcuni casi per forzare il sistema... e guarda un po' te, il fenomeno come per magia è esploso! accipicchia!

si chiama ingegneria sociale, molto più proficua - nella misura di diversi ordini di grandezza - di qualsiasi altra tecnica.

Già, purtroppo non esistono le patch per gli utonti... ;)

Comunque non è serio salvare cose come password e CC nei cookie in chiaro, nè passare parametri così importanti col metodo get...

L'iniziativa è encomiabile.
Però porta ad un brutto precedente. Può MS (o chi per esso) decidere quali siti visualizzare e quali no?
E' moralmente accettabile che qualcun'altro decida al posto nostro?
Speriamo non venga usato nel modo sbagliato, a questo mondo ci sono molti programmatori "distratti".
Intanto non è MS ma, appunto, una società (già esistente) che si occupa di compilare black-list, a cui MS semplicemente si appoggia.

Poi, se non ti fidi, puoi sempre farne a meno.

ingegneria sociale è una cosa molto pericolosa ed allo stesso tempo molto efficace... basta vedere come Kevin Mitnich (o come si scrive il suo nome) abbia potuto procurarsi facilmente dati d'accesso e tutto ciò che gli serviva per forzare i sistemi solamente chiedendo i dati ad utenti o meglio dire utonti :D ...
si vede molto bene anche nel film Hackers 2 che parla proprio di come è stato arrestato Kevin.
diciamo pure che lui è stato il pioniere dell'ingegneria sociale nei lontani anni 90... ed ora è stato riscoperta... lol

Quoto MiKeLezZ... E' un problema da porsi, fermo restando che la funzionalità è benvenuta! :)

Phishing... Mi fa ricordare il verbo inglese "pescare", cioè "fishing"... E gli utenti che dovrebbero essere i pesci a queste esche... LOL...
Scherzi a parte... Avete mai visto quelle mail che si spacciano per l'Unicredit Banca e vogliono ribarvi username e password del vostro account bancario???

Semplicemente fantastiche... Dei capolavori ... :asd:

L'iniziativa è encomiabile.
Però porta ad un brutto precedente. Può MS (o chi per esso) decidere quali siti visualizzare e quali no?
E' moralmente accettabile che qualcun'altro decida al posto nostro?
Speriamo non venga usato nel modo sbagliato, a questo mondo ci sono molti programmatori "distratti".

Infatti non decide. Ti avverte soltanto.

Phishing... Mi fa ricordare il verbo inglese "pescare", cioè "fishing"... Infatti, mi pare derivi proprio da quello. ;)

Infatti, mi pare derivi proprio da quello. ;)

Ok. Abbiamo appurato che se fishing significa "pescare il pesce", phishing significa "pescare l'utonto" :asd: :rotfl:

Ok. Abbiamo appurato che se fishing significa "pescare il pesce", phishing significa "pescare l'utonto" :asd: :rotfl:
Penso sia più riferito a "pescare informazioni sensibili"... :)

Penso sia più riferito a "pescare informazioni sensibili"... :)

Le quali sono pastura per utonti. :rotfl: