Topic: Fineco e sicurezza

[cecca]

Oggi un amico mi ha instillato un dubbio... 
Se mi collego al sito della Fineco dovrei avere la protezione con SSL a 128 bit.
Il problema è che da nessuna parte mi esce il lucchettino che dovrebbe certificare la protezione e l'indirizzo rimane del tipo http:
Explorer fa lo stesso...
E' normale? Prima di chiedere a loro vorrei capire se la cosa sia normale o meno (a me pare di no...)

[alpor]

Se mi collego al sito della Fineco dovrei avere la protezione con SSL a 128 bit.
Il problema è che da nessuna parte mi esce il lucchettino che dovrebbe certificare la protezione e l'indirizzo rimane del tipo http:
Explorer fa lo stesso...
E' normale? Prima di chiedere a loro vorrei capire se la cosa sia normale o meno (a me pare di no...)

Potrebbe anche essere normale... ovvero il sito con il lucchetto potrebbe essere solo quello in cui si viene ridiretti una volta che fai il login.... Sempre che tu ti riferisca ad una situazione senza loggarti... Io non avendo un account Fineco non posso verificare...

Ad esempio i siti della carta si sono senza codifica SSL se però vai sul sito riservato ai titolari compare la codifica.

ciao

alpor

[cecca]

Scusa lo avevo dato per scontato...
Intendevo dire nel momento in cui entro nel sito con i miei dati...
E quindi dovrei essere in una situazione di sicurezza...

Non ho mai avuto problemi usando Firefox (sebbene negli esmpi di browser che sono sicuri con SSL indichino solo IE e Netscape 4.06 ), ma ho questo amico paranoico ed ora mi ha messo la pulce nell'orecchio...

[Underpass]

Tenderei a confermare - da informazioni di prima mano - che il sito non utilizza SSL per le transazioni.

Ciao

[cecca]

Dal loro sito:

FinecoBank utilizza le migliori tecnologie di protezione
 
› SSL 128 bit (o superiore) anti-intercettazioni
› Doppio livello di codici di accesso (codice utente, password, PIN)
› Monitoraggio costante dei comportamenti anomali
› Verifiche prima di autorizzare transazioni “importanti” o “anomale”
› Storicizzazione completa di tutte le transazioni
› Sistemi di tracciamento delle transazioni sospette

Se è vero quello che dici mi inizio a preoccupare... E soprattutto mi girano visto che scrivono il contrario...

La cosa bella, che mi sono dimenticato di inserire nel primo post e che mi ha portato ad aprire il topic, è che il lucchettino appare quando mi scollego dal sito tramite illink "Exit".... 

[Sokak]

Qui parla di odiosissimi iframes...

Hai controllato, frame per frame?

[cecca]

Cioè? 
Scusa l'ignoranza, ma .....

[Sokak]

In soldoni:questo è un iframe.

L'inline frame è una tecnica che viene deprecata sia dai motori di ricerca, sia dagli standard del w3c:

dai primi, perché indicizzare un riquadro porta spesso a risultati sconclusionati e decontestualizzati, dal w3c per una questione di accessibilità, visto che jaws o altri screen reader li interpretano correttamente solo se strutturati molto bene.

In soldoni per il tuo caso, sembra che le pagine della tua banca mischino parte di pagina sicura e parte di pagina non sicura annidando iframe.

Firefox giustamente considera non sicura la situazione, visto che a occhio nudo non è possibile distinguere se il form dove stai inserendo i dati sia in una porzione di pagina sicura o meno.

Quindi, o visualizzi la sorgente pagina, e vedi se ci sono dei tag <frame> o <iframe> che chiamano pagine https, o filtri il traffico con ethereal (o magari il fiddler, che è molto più semplice, ma funziona solo con ie se non ricordo male) e vedi effettivamente se i pacchetti di dati che contengono le tue informazioni transitano attraverso connessioni ssl o meno.

Se usi ethereal, prova a immettere un dato (sbagliato) nel form, dopo aver creato una regola che faccia scattare un avviso per una determinata stringa di dati (quello sbagliato di prima): se ethereal riesce a rintracciare il dato arbitrariamente sbagliato immesso, purtroppo la connessione viaggia in chiaro...

[cecca]

Grazie per la spiegazione, ma penso di risolverla molto semplicemente: scrivo a loro e vedo cosa mi rispondono...

Poi vi faccio sapere, anche perchè tempo fa vi furono discussioni relative a FF e Fineco e quindi mi pare giusto tenere aggiornati i nostri utenti...

[Sokak]

[OT]

Non so perché... Ma i miei sensi di ragno prevedevano una risposta simile!

[/OT]

[klades]

Sokak in un certo senso ha ragione, il frame da cui si fa il login si connette in modo protetto, è questo https://www.fineco.it/fineco/jsp/login/content.jsp
Certo, poi a me esce un avviso che dice che comunque le informazioni viaggiano in chiaro e questo non è bello.

[flod]

Io di solito faccio il login dalla pagina di errore
https://www.fineco.it/fineco/jsp/login/log_error_ie.html

[cecca]

Ho spedito la mail e vediamo che mi dicono...
Cosa cambia se entri da quella pagina? CHe se è meglio me la memeorizzo...

[flod]

Rispetto a quella indicata da klades direi nulla

[Sheridan]

Vi state allarmando per nulla. Fineco e' sicurissima come ben spiegato nel loro sito. Solo che utilizza i frames per cui alcune informazioni non rilevanti passano in chiaro, mentre quelle sensibili passano criptate.
Ci mancherebbe solo che le password passassero in chiaro...