Quote:
Originariamente inviato da Tasslehoff
Sono anni che periodicamente tutti gli assessment di sicurezza danno risultati a dir poco allarmanti sulle app mobile.
Per prima cosa l'autenticazione multifattore non è implementata ovunque e non è certo obbligatoria (ci sarebbe molto da discutere nel dettaglio anche su questa comunque).
In secondo luogo tu pensi che il fatto che una app sia distribuita tramite i canali ufficiali la renda sicura a prescindere?
Basta un pc con Wireshark, un hub e un access point per sniffare tutto il traffico di uno smartphone e rendersi conto della quantità industriale di traffico che passa in chiaro.
|
App sicure?
Di sicuro c'è solo la morte, bello mio.
Semplicemente si sta intorbidendo l'acqua solo per creare falsa sicurezza.
La puntatina alle app non era definita come:
app>wifi>servizio
Piuttosto come:
App>umts>servizio.
Accedere ad una rete libera e/o non sicura ( vale anche per i millemila modem router domestici e non solo) espone di fatto ad una miriade di vulnerabilità che inficiano la sicurezza dello stesso protocollo https ( sicuro fin quando non si scoprono falle nelle deverse implementazioni, e famoso è stato il bug su OpenSSL che rendeva vittime i server di destinazione).
Oppure ci siamo dimenticati di tutti i certificati che ogni tanto vengono trafugati o flsificati?
Semplicemente per i dati sensibili ( e per dato sensibile intendo tutto quello che mi riguarda, compresi i miei gusti musicali) sono sicuri solo quelli che non mostriamo.
Quello che dico è che con sta voglia di https ( da verificare la reale ricaduta positiva) si instaurerà una falsa sicurezza nell'utente poco famigliare con l'argomento ( ed a quando vedo ci sono diversi sysadmin tra loro).
Purtroppo una vpn e https ti garantiscono sufficiente sicurezza se l'utilizzatore è anche il proprietario dei due punti ( un organizzazione multisede).
Ma se clono il sito sella.it ( pe) sul dominio da me registrato sella.one o su sellla.it o sela.it (ecc) la falsa sicurezza dell'https mieterà molte vittime prima che la gente capisca che https non è sinonimo di sicurezza ma connessione criptata tra due punti (del quale non saprai mai se dall'altra parte ci sia con certezza chi ti aspetti)