Topic: Fineco e sicurezza

[Sokak]

Fidarsi è bene, non fidarsi è meglio...

Io farei la prova ethereal per vedere se i dati passano in chiaro nei pacchetti.

E anche per vedere dove vanno a finire: il cross site scripting è sempre dietro l'angolo.

[Sheridan]

Ma suvvia...siamo al limite della paranoia..

[Godai71]

Direi meglio paranoici che senza soldi.....

[Sokak]

Quoto e sottoscrivo.

Va di lusso che la mia prima esperienza di commercio elettronico è passata attraverso una carta di credito ricaricabile...

Altrimenti, adesso il mio conto sarebbe a secco!

Vorrei il conto online, ma sono tutt'ora titubante...

[cecca]

Vi state allarmando per nulla. Fineco e' sicurissima come ben spiegato nel loro sito. Solo che utilizza i frames per cui alcune informazioni non rilevanti passano in chiaro, mentre quelle sensibili passano criptate.
Ci mancherebbe solo che le password passassero in chiaro... 

Sai.... loro possono dirmi quello che vogliono, ma se non vedo il lucchettino qualche dubbio mi può venire....
Ora aspetto che mi diano una risposta...
Di sicuro finora in anni di utilizzo non ho mai avuto problemi per cui credo che il sistema sia sicuro, ma....

[klades]

Premettendo che io non ho nulla a che fare con fineco, i dubbi che avevo espresso sopra derivano unicamente da un alert che a me appare con Firefox se inserisco username e password e che testualmente recita:

Anche se questa pagina è cifrata, le informazioni che ci si appresta a inviare verranno spedite attraverso una connessione in chiaro e potrebbero facilmente essere lette da terzi.

Non so se questo è vero o dipende dal fatto che ci sono oggetti protetti e non protetti in quella pagina.
Resta il fatto che tutto questo non ingenera certo il massimo della fiducia e secondo me fa bene cecca a chiedere spiegazioni.

[cecca]

@klades: dove ti esce quella finestra?
Nel caso che io abbia messo la spunta per non vedere più simili avvisi, come potrei tornare a vederli? (Mi pare strano: di solito li lascio.... ma dato che non mi pare di vedere una simile finestra...)

Appena mi rispondono vi faccio sapere che mi dicono...

[klades]

L'avviso è questo:



Non ho trovato nessuna chiave in about:config relativa a alert di questo tipo.
Ovviamente io faccio un login di fantasia, con usename e password inventati.

[Sokak]

Ci ho provato anche io, e sbirciando con charles posso dire che sembra che user e password passino attraverso una connessone https.

Usando username Sokak e password kakos, le ho trovate solo in questa richiesta:

https://www.fineco.it/fineco/PortaleLogin

nel corpo della richiesta, sotto forma della seguente stringa

LOGIN=Sokak&PASSWD=kakos&btn_login.x=0&btn_login.y=0.

Appena ho tempo, mi reinstallo ethereal e sbircio "pacco a pacco"

[Sheridan]

Vi state allarmando per nulla. Fineco e' sicurissima come ben spiegato nel loro sito. Solo che utilizza i frames per cui alcune informazioni non rilevanti passano in chiaro, mentre quelle sensibili passano criptate.
Ci mancherebbe solo che le password passassero in chiaro... 

Sai.... loro possono dirmi quello che vogliono, ma se non vedo il lucchettino qualche dubbio mi può venire....
Ora aspetto che mi diano una risposta...
Di sicuro finora in anni di utilizzo non ho mai avuto problemi per cui credo che il sistema sia sicuro, ma....

Il fatto e' che questo dubbio apparve nei NG anni e anni fa e puntualmente si ripete. Fineco ha messo, a scanso di dubbi, una chiara spiegazione nell'help e mi risulta che si possa fare anche una facile prova per dimostrare che i frames sensibili sono in https (vado a memoria). Ma credete davvero che su una cosa stranota da anni, nessuno avrebbe cominciare a "sniffare" password e svuotare migliaia di conti?

[Sheridan]

Ho fatto un salto sul sito di Fineco: ecco la prova da fare per verificare che i frame sensibili sono protetti:

[dall'Help di Fineco]
Quando navighi in un sito che utilizza i frames (come quello Fineco), puoi verificare di essere in una pagina sicura in due modi:

    * seleziona con il tasto destro del mouse la funzione "proprietà" della pagina ("properties") e controlla che sia utilizzato il protocollo SSL 128 Bit
    * apri un link in una nuova finestra (tasto destro del mouse » "open link in a new window") e verifica che il browser visualizzi il lucchetto chiuso.

[cecca]

Sostanzialmente è la stessa cosa che mi hanno risposto via mail...

Io mi fido di loro: ho il conto da loro da anni e non ho mai avuto problemi di sorta.
Solo che mi pare assurdo che abbiano realizzato la pagina in quel modo...
E certo non li aiuta ad attirare i clienti....

[Sheridan]

Facendo delle prove p.es. nella finestra di trading, si scopre la parte che passa in chiaro e quella che viene criptata.

Qui c'e' la parte "in chiaro"

Per chi conosce Fineco e' l'unica parte non "privata" della pagina. Contiene le linguette dei menu e gli indici di borsa continuamente aggiornati.

Se clicco con tasto dx su "trading" e scelgo "apri in nuova finestra", mi appare la parte criptata, che infatti non contiene la parte in chiaro che si vede sopra 

Ciao