Navigazione sicura https?
-
- Prode Principiante
- Messaggi: 169
- Iscrizione: martedì 10 maggio 2011, 19:50
- Desktop: KDE
- Distribuzione: ArchLinux x86_64
- Località: Firenze
Navigazione sicura https?
Buongiorno,
di recente mi è presa una mania ossessiva di navigare in maniera sicura su qualsiasi sito... (cosa che poi non sarebbe nemmeno tanto sbagliata).
Ho notato (o almeno, non sono riuscito a trovare il modo per farlo) che su questo forum non posso utilizzare una connessione https: non mi pare una gran bella cosa che le mie credenziali di accesso viaggino "nude" per la rete. C'è un modo per collegarsi in https? (https://forum.ubuntu-it.org non sembra esistere).
Inoltre, è possibile "istruire" il browser a preferire l'https all'http normale (uso Chromium)?
Per esempio, in una ricerca su Google, premendo su un risultato entro nel sito in http perché è specificato nell'href, o è possibile forzare almeno un tentativo con https?
Non ho trovato risposte in merito sul forum o in giro per la rete.
Grazie
giomba
di recente mi è presa una mania ossessiva di navigare in maniera sicura su qualsiasi sito... (cosa che poi non sarebbe nemmeno tanto sbagliata).
Ho notato (o almeno, non sono riuscito a trovare il modo per farlo) che su questo forum non posso utilizzare una connessione https: non mi pare una gran bella cosa che le mie credenziali di accesso viaggino "nude" per la rete. C'è un modo per collegarsi in https? (https://forum.ubuntu-it.org non sembra esistere).
Inoltre, è possibile "istruire" il browser a preferire l'https all'http normale (uso Chromium)?
Per esempio, in una ricerca su Google, premendo su un risultato entro nel sito in http perché è specificato nell'href, o è possibile forzare almeno un tentativo con https?
Non ho trovato risposte in merito sul forum o in giro per la rete.
Grazie
giomba
Linux Registered User #550990
- marco__mg
- Prode Principiante
- Messaggi: 147
- Iscrizione: martedì 4 maggio 2010, 9:50
- Desktop: KDE
- Distribuzione: Debian Sid
Re: Navigazione sicura https?
Mi spieghi che utilità avrebbe crittare tutto?
Sai che quanto costa certificare le chiavi di cifratura?
È solo un forum, non una banca!!!
Sai che quanto costa certificare le chiavi di cifratura?
È solo un forum, non una banca!!!
~ Marco
From debianizzati.org
From debianizzati.org
-
- Prode Principiante
- Messaggi: 169
- Iscrizione: martedì 10 maggio 2011, 19:50
- Desktop: KDE
- Distribuzione: ArchLinux x86_64
- Località: Firenze
Re: Navigazione sicura https?
è solo un forum, sono d'accordissimo.
Ma non vedo perché un qualsiasi ganzo debba avere la possibilità di accedere con le mie credenziali anche solo per uno scherzo.
Che utilità avrebbe crittare tutto? Navigando normalmente, e utilizzando una connessione cifrata solo per determinati servizi, il potenziale "ladro di informazioni" saprebbe già cosa tentare di decifrare, cioè quello che è cifrato: crittando tutto, il suo compito sarebbe ben più arduo.
Per quanto riguarda i costi, nel nostro caso, basterebbe una chiave autofirmata: rimanendo al discorso del forum, ci si collega da una postazione sicura; successivamente, se la chiave per qualche motivo cambia, il browser dovrebbe avvertire. Sarebbe già un campanello di allarme.
In un attacco ben fatto tutti questi accorgimenti sono tuttavia inutili, anche se si trattasse di accedere al portale della banca.
Potrebbero però evitare piccole fastidiose noie all'utente: potrebbero evitare di farlo diventare il "pollo da spennare" per divertimento.
Ma non vedo perché un qualsiasi ganzo debba avere la possibilità di accedere con le mie credenziali anche solo per uno scherzo.
Che utilità avrebbe crittare tutto? Navigando normalmente, e utilizzando una connessione cifrata solo per determinati servizi, il potenziale "ladro di informazioni" saprebbe già cosa tentare di decifrare, cioè quello che è cifrato: crittando tutto, il suo compito sarebbe ben più arduo.
Per quanto riguarda i costi, nel nostro caso, basterebbe una chiave autofirmata: rimanendo al discorso del forum, ci si collega da una postazione sicura; successivamente, se la chiave per qualche motivo cambia, il browser dovrebbe avvertire. Sarebbe già un campanello di allarme.
In un attacco ben fatto tutti questi accorgimenti sono tuttavia inutili, anche se si trattasse di accedere al portale della banca.
Potrebbero però evitare piccole fastidiose noie all'utente: potrebbero evitare di farlo diventare il "pollo da spennare" per divertimento.
Linux Registered User #550990
-
- Scoppiettante Seguace
- Messaggi: 726
- Iscrizione: giovedì 8 ottobre 2009, 21:31
- Desktop: KDE
- Distribuzione: Kubuntu 12.10 x86_64
- Località: Novara
Re: Navigazione sicura https?
Ma una chiave autofirmata non risolve il problema... Un attacker volendo potrebbe creare un suo certificato autofirmato spacciandolo per "autentico" quando l'utente effettua il primo login...
Dual Boot: Kubuntu 12.10 64 bit & Windows 7 Home Premium 64 bit on Acer Aspire M5910.
Messaggi con richieste d'aiuto saranno cestinati!
Messaggi con richieste d'aiuto saranno cestinati!
- MeiMisaki
- Prode Principiante
- Messaggi: 18
- Iscrizione: mercoledì 23 maggio 2012, 11:32
- Distribuzione: Linux Mint 14 Nadia, 32bit
Re: Navigazione sicura https?
Navigare in https non ti salva, se un vuole rubare i tuoi dati lo fa lo stesso.
- marco__mg
- Prode Principiante
- Messaggi: 147
- Iscrizione: martedì 4 maggio 2010, 9:50
- Desktop: KDE
- Distribuzione: Debian Sid
Re: Navigazione sicura https?
Ma poi se usi il wifi crittato (come da normativa) perché ti dovrebbero rubare la password. Mettersi ad accroccare le linee di telecom solo per una password su forum.ubuntu-it.org? Molto meglio il brute force!!
~ Marco
From debianizzati.org
From debianizzati.org
- harrykar
- Entusiasta Emergente
- Messaggi: 1151
- Iscrizione: giovedì 29 gennaio 2009, 19:43
- Desktop: /bin/ksh; /bin/sh; gnome
- Distribuzione: OpenBSD ; Debian ; Lucid10.4 86_64
- Località: World Wide :)
- Contatti:
Re: Navigazione sicura https?
Non c'entra il ponte radio(Wifi, wimax che sia) crittato(a sua vale si decritta) e neanche il "perché ti dovrebbero rubare la password? " si potrebbe rispondere: per 1000+1 motivi attuali e futuri.marco__mg ha scritto:Ma poi se usi il wifi crittato (come da normativa) perché ti dovrebbero rubare la password. Mettersi ad accroccare le linee di telecom solo per una password su forum.ubuntu-it.org? Molto meglio il brute force!!
Cio che dice @giorba è giustissimo in linea di principio(anche se come hai notato ci sono dei punti deboli); purtroppo però Internet non fu progettata con la infosec in mente allora non esistevano queste problematiche complesse, adesso però si e se ne deve tener conto.
"Arguing with an engineer is like wrestling with a pig in the mud; after a while you realize you are muddy and the pig is enjoying it." -- Don't Learn to HACK - Hack to LEARN -- cyberwarfare is now an active part of information warfare -- http://www.eecs.ucf.edu/~leavens/litera ... tions.html
- marco__mg
- Prode Principiante
- Messaggi: 147
- Iscrizione: martedì 4 maggio 2010, 9:50
- Desktop: KDE
- Distribuzione: Debian Sid
Re: Navigazione sicura https?
Quali sarebbero questo 1000+1 motivi? Soldi? Mah!
~ Marco
From debianizzati.org
From debianizzati.org
Re: Navigazione sicura https?
Per dirne uno, scoprire la password del forum, che al 99% se non è la stessa della mail e di altri siti, condivide spesso almeno un pattern con quest'ultime.marco__mg ha scritto:Quali sarebbero questo 1000+1 motivi? Soldi? Mah!
Una volta scoperto il pattern si va di bruteforce e si potrebbe avere accesso alle informazioni dell'utente.
Una volta avuto accesso a quelle, bene che ti va ti fanno uno scherzetto, altrimenti se viene fuori qualcosa su homebanking o altre sei messo maluccio.
Come la mettiamo adesso?
Prima di aprire una discussione leggi le Guide, poi vedi se c'è un HowTo nel Wiki e fai una ricerca nel Forum!
Applica semplicemente il [Risolto]! Prova: http://forum.ubuntu-it.org/viewtopic.php?f=70&t=548821
Vuoi qualcosa di piu' dal forum? Prova i miei script: http://forum.ubuntu-it.org/viewtopic.php?f=70&t=597066
Applica semplicemente il [Risolto]! Prova: http://forum.ubuntu-it.org/viewtopic.php?f=70&t=548821
Vuoi qualcosa di piu' dal forum? Prova i miei script: http://forum.ubuntu-it.org/viewtopic.php?f=70&t=597066
Re: Navigazione sicura https?
La mettiamo che banca, poste, sito della tim e in generale siti con accesso a soldi adesso implemementano la OTP, ossia una password temporanea mandata a mail o sms per fare operazioni e io in genere richiedo sul cell.
Quello che mi lascia perplesso è che se ad esempio rubassero una mia password e capissero l' algortimo che uso per generare le mie, anche se son tutte diverse con un pò di sbattimento potrebbero avere quella della mail, a quel punto fare operazioni leggitimate dall' OTP ricevuta lì.
E' vero che io lo saprei perché mi arriva un sms nel cell subito ma preferirei scegliere il metodo OTP da usare sempre e non poterlo cambiare se non con conferma OTP stessa.
Invece ogni volta mi loggo al mio home banking posso scegliere dove farmela mandare: mail o cell, ma come dicevo se qualcuno scopre la pass della mia e_mail a quel punto nemmeno la OTP mi protegge
Quello che mi lascia perplesso è che se ad esempio rubassero una mia password e capissero l' algortimo che uso per generare le mie, anche se son tutte diverse con un pò di sbattimento potrebbero avere quella della mail, a quel punto fare operazioni leggitimate dall' OTP ricevuta lì.
E' vero che io lo saprei perché mi arriva un sms nel cell subito ma preferirei scegliere il metodo OTP da usare sempre e non poterlo cambiare se non con conferma OTP stessa.
Invece ogni volta mi loggo al mio home banking posso scegliere dove farmela mandare: mail o cell, ma come dicevo se qualcuno scopre la pass della mia e_mail a quel punto nemmeno la OTP mi protegge
Re: Navigazione sicura https?
Appunto, ma nonostante questo non tutti hanno abilitato la notifica via SMS/Mail, quindi sarebbero ignari di tutto.
Io per l'homebanking per potermi autenticare ho richiesto oltre alla richiesta di password cambiata obbligatoriamente ogni tot, di dover fare escplicitamente una chiamata dal mio numero cellulare al numero verde della banca nei 30secondi successivi alal richiesta di login.
In questo modo per poter avere accesso ai miei conti devono conoscere utente, password, possedere o clonare la mia carta SIM e in ogni caso arriva la notifica via SMS e mail.
Questo non esclude al 100% un infrazione ma mi mette piuttosto dalla parte del sicuro.
Si parlava comunque della necessità di HTTPS.
Esistono applicazioni per cellulare che sniffano account facebook, youtube, etc... dalle wifi (è un semplicissimo attacco man-in-the-middle via ARP), tutti quelli che non usano HTTPS su quei siti sono vulnerabili.
Resta il problema dei certificati. Ad esempio Flame la nuova botnet che si sta diffondendo sui PC windows è riuscita a fingersi firmata da un certificato emesso dalla MS stessa. Tant'è che la casa Redmond è stata costretta a revocare ben 3 tipologie di suoi certificati per fare in modo che il worm non fosse piu' "certificato MS".
Io per l'homebanking per potermi autenticare ho richiesto oltre alla richiesta di password cambiata obbligatoriamente ogni tot, di dover fare escplicitamente una chiamata dal mio numero cellulare al numero verde della banca nei 30secondi successivi alal richiesta di login.
In questo modo per poter avere accesso ai miei conti devono conoscere utente, password, possedere o clonare la mia carta SIM e in ogni caso arriva la notifica via SMS e mail.
Questo non esclude al 100% un infrazione ma mi mette piuttosto dalla parte del sicuro.
Si parlava comunque della necessità di HTTPS.
Esistono applicazioni per cellulare che sniffano account facebook, youtube, etc... dalle wifi (è un semplicissimo attacco man-in-the-middle via ARP), tutti quelli che non usano HTTPS su quei siti sono vulnerabili.
Resta il problema dei certificati. Ad esempio Flame la nuova botnet che si sta diffondendo sui PC windows è riuscita a fingersi firmata da un certificato emesso dalla MS stessa. Tant'è che la casa Redmond è stata costretta a revocare ben 3 tipologie di suoi certificati per fare in modo che il worm non fosse piu' "certificato MS".
Prima di aprire una discussione leggi le Guide, poi vedi se c'è un HowTo nel Wiki e fai una ricerca nel Forum!
Applica semplicemente il [Risolto]! Prova: http://forum.ubuntu-it.org/viewtopic.php?f=70&t=548821
Vuoi qualcosa di piu' dal forum? Prova i miei script: http://forum.ubuntu-it.org/viewtopic.php?f=70&t=597066
Applica semplicemente il [Risolto]! Prova: http://forum.ubuntu-it.org/viewtopic.php?f=70&t=548821
Vuoi qualcosa di piu' dal forum? Prova i miei script: http://forum.ubuntu-it.org/viewtopic.php?f=70&t=597066
Re: Navigazione sicura https?
Non tanto da microsoft stessa ma da una falla nel sistema delle certificazioni Microsoft che sta già provvendo a correggere.
Comunque che banca hai per permetterti quel tipo di autenticazione? Sembra migliore della mia
Comunque che banca hai per permetterti quel tipo di autenticazione? Sembra migliore della mia
Re: Navigazione sicura https?
Una banca della mia zona, ma si appoggia a http://www.simplybank.it/AlexDiste ha scritto:Non tanto da microsoft stessa ma da una falla nel sistema delle certificazioni Microsoft che sta già provvendo a correggere.
Comunque che banca hai per permetterti quel tipo di autenticazione? Sembra migliore della mia
Prima di aprire una discussione leggi le Guide, poi vedi se c'è un HowTo nel Wiki e fai una ricerca nel Forum!
Applica semplicemente il [Risolto]! Prova: http://forum.ubuntu-it.org/viewtopic.php?f=70&t=548821
Vuoi qualcosa di piu' dal forum? Prova i miei script: http://forum.ubuntu-it.org/viewtopic.php?f=70&t=597066
Applica semplicemente il [Risolto]! Prova: http://forum.ubuntu-it.org/viewtopic.php?f=70&t=548821
Vuoi qualcosa di piu' dal forum? Prova i miei script: http://forum.ubuntu-it.org/viewtopic.php?f=70&t=597066
- marco__mg
- Prode Principiante
- Messaggi: 147
- Iscrizione: martedì 4 maggio 2010, 9:50
- Desktop: KDE
- Distribuzione: Debian Sid
Re: Navigazione sicura https?
Solo uno scemo mette la password della mail uguale a quella dei forum. (Anche se ce ne sono molti). Quasi tutte la banche hanno l'OTP.
~ Marco
From debianizzati.org
From debianizzati.org
Re: Navigazione sicura https?
Non si tratta di scemenza, ma di ignoranza.marco__mg ha scritto:Solo uno scemo mette la password della mail uguale a quella dei forum. (Anche se ce ne sono molti). Quasi tutte la banche hanno l'OTP.
La maggior parte degli utenti non pensa che qualcuno potrebbe collegare due password ma soprattutto ritiene che le banche siano sicure per definizione.
Prima di aprire una discussione leggi le Guide, poi vedi se c'è un HowTo nel Wiki e fai una ricerca nel Forum!
Applica semplicemente il [Risolto]! Prova: http://forum.ubuntu-it.org/viewtopic.php?f=70&t=548821
Vuoi qualcosa di piu' dal forum? Prova i miei script: http://forum.ubuntu-it.org/viewtopic.php?f=70&t=597066
Applica semplicemente il [Risolto]! Prova: http://forum.ubuntu-it.org/viewtopic.php?f=70&t=548821
Vuoi qualcosa di piu' dal forum? Prova i miei script: http://forum.ubuntu-it.org/viewtopic.php?f=70&t=597066
- marco__mg
- Prode Principiante
- Messaggi: 147
- Iscrizione: martedì 4 maggio 2010, 9:50
- Desktop: KDE
- Distribuzione: Debian Sid
Re: Navigazione sicura https?
Che è ignoranza e non scemenza hai ragione, ma basta guardare il TG che le banche non sono sicure...
~ Marco
From debianizzati.org
From debianizzati.org
Chi c’è in linea
Visualizzano questa sezione: 0 utenti iscritti e 6 ospiti