Spesso a chi è meno esperto e si trova a dover inserire dei dati personali online, si usa consigliare di verificare l’attendibilità del sito web attraverso la presenza del famoso lucchetto e del prefisso https:// al posto del classico http://.

D’altronde l’utilizzo di Internet per i servizi di pagamento online, di gestione dei propri conti correnti o della propria carta di credito è diventato all’ordine del giorno. Pagamenti delle utenze sul sito delle poste italiane o per mezzo del proprio conto corrente gestito totalmente online sono solo alcuni esempi di come sul web passino ogni ora migliaia e migliaia di dati personali pronti per essere catturati dai pirati informatici...

http://www.pcalsicuro.com/main/2010/01/lattendibilita-dei-siti-web-con-i-certificati-ssl/

Un attacco simile è stato dimostrato all'ultimo blackhat se non ricordo male

se nè parlato un annetto fa quando hanno cominciato ad apparire i primi siti repository malware che possedevano una connessione ssl :D

se nè parlato un annetto fa quando hanno cominciato ad apparire i primi siti repository malware che possedevano una connessione ssl :D

confermo sia xcdegasp che Chukie ;) qualcosina se n'è parlato :) Ho solo voluto specificare in maniera chiara ed efficace (spero) a tutti cosa sta succedendo piu esattamente.

per Chukie: sì, un attacco simile (un po piu avanzato, nel senso di mantenere l'avviso del browser di EV SSL - la barra verde - pure con certificati non EV sfruttando alcune falle dei browser) è stato dimostrato al blackhat '09

In un post dell'anno scorso (http://www.hwupgrade.it/forum/showthread.php?p=27595055#post27595055) ho menzionato come spesso, oggi giorno, non e' troppo difficile compromettere la sicurezza di un sito a prescindere dall'uso o meno del protocollo https e certificati SSL, grazie a ben altre vulnerabilita' fin troppo diffuse e non dipendenti appunto da https/SSL.

In aggiunta, e' opportuno anche ricordare che esistono diverse possibilta' che, in determinate condizioni, possono addirittura vanificare il ruolo base di una connessione https e del certificato SSL. Mai sentito di webmitm / arpspoof / ssldump, ettercap, ssl sniffers in generale e quant'altro?

Ed un'altra cosa: e' pratica comune, quando si configurano servizi Internet dal punto di vista della sicurezza, ignorare i condomini nello stesso data centre :asd:

Capisc a me' :D

Mai sentito di webmitm / arpspoof / ssldump, ettercap, ssl sniffers in generale e quant'altro?

Io sì, le persone là fuori che sanno a malapena distinguere una pagina protetta da una non protetta non credo ;) Vice versa, penso che sia piu utile tentare di sensibilizzare a gradini prima su macro concetti e dire che se una persona ti starnutisce addosso rischi di prenderti anche tu il raffreddore piuttosto che dire che la rinofaringite causata dal picornaviridae virus tende a diffondersi per via aerea ed attecchisce nelle cavità nasali :)

(non so se ti riferivi a me :D )

picorna-what? :D

Non mi riferivo a nessuno, dicevo in generale ;)

allora sisu non ti sei volatilizzato ci sei ancoraaa.. sto ancora attendendo che crei nuove lezioni! :O http://download.giorgiotave.it/gif_animate/faccine/furboni.gif

allora sisu non ti sei volatilizzato ci sei ancoraaa.. sto ancora attendendo che crei nuove lezioni! :O http://download.giorgiotave.it/gif_animate/faccine/furboni.gif

ad esempio? :fagiano:

sei tu il maestro :sofico: potresti proseguire le lezioni sul web-oriented :asd:
qualcosa legato alle password.. dei cookies qualcosa avevi detto..