Sicurezza sito HRW.it

[ramo102e]

Ciao a tutti.
L'altro giorno mi sono iscritto al sito di web commerce HRW (http://www.hrw.it) per acquistare un prodotto.
Ho notato che nella procedura di registrazione non veniva utilizzata alcuna connessione sicura, e lo stesso succede durante la fase di login, dove addirittura nel form, alla voce password, viene usata una semplice "text", e quindi la password digitata dall'utente e' visibile da chiunque sia nelle vicinanze del pc.
Ho scritto a HRW per avere informazioni in merito, e questa e' stata la loro risposta:

Quote:

...per quanto riguarda la connessione protetta qundi un Https viene
attivata solo sulla modalità con pagamento in carta di credito dove per
ovii motivi la sicurezza deve essere al 100% per non incappare in
tentivi di hacheraggio.
Per quello che riguarda il sito la visualizzazione senza asteristi
della parola chiave è un errore che verrà risolto a giorni, le confermo
comunque che il sito viaggi in http dove comunque viene garantita la
sicurezza dei dati personali (Non quelli di pagamento come anticipato)
attraverso la nostra piattaforma server sulla quale sono istallate
tutte le applicazioni del caso. Portare il sito in https putroppo non è
pssibile per probblemi di inaccessibilità da parte di molti utenti,
come può verificare sul web anche il 99% dei siti ecommerce e altri non
utlizza la connessione sicura per il semplice trattamento dei dati o
della anvigazione del sito web.

Questa e' un estratto della procedura di login del sito:

Codice:

<strong>Login:</strong>
<input type="text" name="uid" id="uid_col" value="E-mail" size="8" 
onclick="this.select();" />
<input type="text" id="pwd_col" name="pwd" value="Password" size="8" 
onclick="this.select();" />
<input value="Entra" title="Entra" type="submit" name="cmdOK" 
style="width:auto;" class="cmdOKClass" />

Questa e' invece, come molti gia' sapranno, la procedura di login di hwupgrade:

Codice:

<form action="login.php?do=login" method="post" 
onsubmit="md5hash(vb_login_password, vb_login_md5password, 
vb_login_md5password_utf, 0)">

Voi cosa ne pensate? E' gestita la sicurezza dei dati in transito?

[W.S.]

Ciao

La sicurezza dei dati intransito viene garantita solo tramite https o cifratura alternativa. Come hwupgrade, in mancanza di https si tenta di ovviare in altri modi (es l'hash al posto della password in chiaro come visto). Il fatto che hrw non usi questo metodo e addirittura lasci la password nemmeno asteriscata solleva più che un dubbio sul peso che danno alla sicurezza.

La risposta è la classica risposta commerciale, al posto di spiegare il perchè di una soluzione si dice che tutti fanno così per motivi di cui l'utente non deve preoccuparsi e che comunque è al sicuro per altre ragioni (ovviamente pure queste non sono da svelare).

Ora non so come venga gestito però, se l'utente ha la possibilità di salvarsi un profilo e basta una login del genere per accedervi, è un gran brutto segno.

[xcdegasp]

io non ci vedo nulla di male nella connessione in chairo al tuo profilo,la domandada porsi è:
"cosa posso fare accedendo a questo profilo"?

nel senso di occhi indiscreti alle spalle non è che possano fare molto poi, come non credo che sia in questo sito che te comunicheresti ad un malvivente i tuoi dati del resto se tu avessi un trojan già li avrebbe questi dati
certo avere magari gli asterischi alla password potrebbe già togliere gli occhi indiscreti

un forum invece è già ampiamente differente perchè è come se il tuo nick fosse la tua persona e leattività che puoi svolgere sono le più disparate e variopinte portando come conseguenza in determinati casi anche a possibili azioni legali nei tuoi confronti..

[W.S.]

Io tengo molto di più al profilo salvato in un sito di e-commerce che a quello in un forum. Solitamente vengono memorizzati dati più riservati, su un forum non scrivo il mio indirizzo di casa mentre il recapito di una spedizione è obbligatorio.

Il problema non sono tanto gli asterischi (che rappresentano comunque una gran brutta caduta di stile) ma il passaggio in chiaro della password nella connessione.
Poi ripeto, non conosco il contenuto del profilo di HRW, magari non contiene nulla di più che un nick ed uno storico degli acquisti.

[xcdegasp]

anche altri siti di e-commerce non tengono la connessione sicura, tipo tecnocomputer e non ho mai visto problemi...
ribadisco che quei dati non li perdi di certo dopo 1 visita al negozio se possedevi nel pc un trojan ma li avevi già persi ampiamente prima

nel profilo ci entri solo per eseguire l'acquisto altrimenti è veramente raro

certo io parto dal presupposto che gli acquisti online non si facciano seduti su una panchina di una piazza pubblica con wi-fi gratuito o in un internetcaffè o in una stazione ferroviaria o aereoporto.. confido però che chi faccia l'acquisto quando è in questi luoghi abbia una certa necessità e fretta tale da far pasare tutto il resto come non importante

[mattia.pascal]

Anche quando scarichi e invii la posta tramite pop3/smtp la connessione non è cifrata. Te lo sei mai posto il problema? Poi a meno che ti colleghi tramite una lan con altri utenti, i rischi che corri sono limitati.
Questo non li esonera però dal rendere il sito un po più sicuro, qualche pecca ce l'ha, me ne ero accorto anch'io facendo qualche acquisto.

[ramo102e]

[quote=mattia.pascal;23380846]Anche quando scarichi e invii la posta tramite pop3/smtp la connessione non è cifrata. Te lo sei mai posto il problema? [quote]

Si, infatti uso pop3s e simili, o webmail protetta con https se la prima
modalita' non e' prevista dal provider...

[ramo102e]

Secondo me e' grave...
Una persona che si impossessa dei miei dati di login non potrebbe acquistare nulla se non volesse farlo, ma sarebbe comunque in grado di effettuare "falsi acquisti".
Inoltre verrebbe a conoscenza dei miei dati personali, cosa non proprio bella, visto che comprendono indirizzo e numero di telefono.

Io, per non saper ne' leggere ne' scrivere, rispondero' alla loro mail criticando la "gestione" della sicurezza.