L’attendibilità dei siti web con i certificati SSL

[Chukie]

Quote:

Spesso a chi è meno esperto e si trova a dover inserire dei dati personali online, si usa consigliare di verificare l’attendibilità del sito web attraverso la presenza del famoso lucchetto e del prefisso https:// al posto del classico http://.

D’altronde l’utilizzo di Internet per i servizi di pagamento online, di gestione dei propri conti correnti o della propria carta di credito è diventato all’ordine del giorno. Pagamenti delle utenze sul sito delle poste italiane o per mezzo del proprio conto corrente gestito totalmente online sono solo alcuni esempi di come sul web passino ogni ora migliaia e migliaia di dati personali pronti per essere catturati dai pirati informatici...

http://www.pcalsicuro.com/main/2010/...rtificati-ssl/

Un attacco simile è stato dimostrato all'ultimo blackhat se non ricordo male

[xcdegasp]

se nè parlato un annetto fa quando hanno cominciato ad apparire i primi siti repository malware che possedevano una connessione ssl

[eraser]

Quote:

Originariamente inviato da xcdegasp

se nè parlato un annetto fa quando hanno cominciato ad apparire i primi siti repository malware che possedevano una connessione ssl

confermo sia xcdegasp che Chukie qualcosina se n'è parlato Ho solo voluto specificare in maniera chiara ed efficace (spero) a tutti cosa sta succedendo piu esattamente.

per Chukie: sì, un attacco simile (un po piu avanzato, nel senso di mantenere l'avviso del browser di EV SSL - la barra verde - pure con certificati non EV sfruttando alcune falle dei browser) è stato dimostrato al blackhat '09

[Sisupoika]

In un post dell'anno scorso ho menzionato come spesso, oggi giorno, non e' troppo difficile compromettere la sicurezza di un sito a prescindere dall'uso o meno del protocollo https e certificati SSL, grazie a ben altre vulnerabilita' fin troppo diffuse e non dipendenti appunto da https/SSL.

In aggiunta, e' opportuno anche ricordare che esistono diverse possibilta' che, in determinate condizioni, possono addirittura vanificare il ruolo base di una connessione https e del certificato SSL. Mai sentito di webmitm / arpspoof / ssldump, ettercap, ssl sniffers in generale e quant'altro?

[Sisupoika]

Ed un'altra cosa: e' pratica comune, quando si configurano servizi Internet dal punto di vista della sicurezza, ignorare i condomini nello stesso data centre

Capisc a me'

[eraser]

Quote:

Originariamente inviato da Sisupoika

Mai sentito di webmitm / arpspoof / ssldump, ettercap, ssl sniffers in generale e quant'altro?

Io sì, le persone là fuori che sanno a malapena distinguere una pagina protetta da una non protetta non credo Vice versa, penso che sia piu utile tentare di sensibilizzare a gradini prima su macro concetti e dire che se una persona ti starnutisce addosso rischi di prenderti anche tu il raffreddore piuttosto che dire che la rinofaringite causata dal picornaviridae virus tende a diffondersi per via aerea ed attecchisce nelle cavità nasali

(non so se ti riferivi a me )

[Sisupoika]

picorna-what?

Non mi riferivo a nessuno, dicevo in generale

[xcdegasp]

allora sisu non ti sei volatilizzato ci sei ancoraaa.. sto ancora attendendo che crei nuove lezioni!

[Sisupoika]

Quote:

Originariamente inviato da xcdegasp

allora sisu non ti sei volatilizzato ci sei ancoraaa.. sto ancora attendendo che crei nuove lezioni!

ad esempio?

[xcdegasp]

sei tu il maestro potresti proseguire le lezioni sul web-oriented
qualcosa legato alle password.. dei cookies qualcosa avevi detto..