Luca ha scritto:
> Ciao,
> curiosità, ma come mai fineco non ha ancora fornito la chiavetta OTP
> (one-Time Password) ai suoi clienti come tutte (o quasi) le altre banche?
> voglio dire, ci vuol poco a un haccker a installare i keylogger al
> giorno d'oggi....
Non solo ma io sono rimasto di stucco quando ho osservato che la pagina
iniziale (www.Fineco.it) ha il "lucchetto" in basso a destra di Firefox
aperto.
Quando invece è chiuso significa che il sito ha una connessione cifrata.
Essendo aperto significa che "le informazioni non cifrate trasmesse
attraverso internet possono essere lette da terzi durante il transito".
Io, per maggiore sicurezza ho salvato come segnalibro la pagina che si
apre quando si inseriscono i codici errati e cioè:
> Non solo ma io sono rimasto di stucco quando ho osservato che la pagina
> iniziale (www.Fineco.it) ha il "lucchetto" in basso a destra di Firefox
> aperto.
Anche se non va più di moda, il sito della Fineco fa ancora uso dei Frame.
Il Frame per il login, come puoi vedere è di tipo https, quindi le
informazioni viaggiano cifrate.
<frame src="https://www.fineco.it/fineco/jsp/login/content.jsp" noresize=""
name="f2" marginwidth="0" marginheight="0"
> Io, per maggiore sicurezza ho salvato come segnalibro la pagina che si
> apre quando si inseriscono i codici errati e cioè:
> https://www.fineco.it/fineco/jsp/log...l?SP=log_error
> I miei codici li inserisco in quest'ultima pagina che invece ha il
> lucchettino chiuso e vuol dire che è una connessione cifrata.
> Non solo ma io sono rimasto di stucco quando ho osservato che la pagina
> iniziale (www.Fineco.it) ha il "lucchetto" in basso a destra di Firefox
> aperto.
Come già detto, Fineco usa i frame. Ecco il sorgente del frame dei
contenuti:
On Tue, 20 Jan 2009 18:01:03 +0100, CDelRio <cdelrio@tin.it> wrote:
>Luca ha scritto:
>>> Ciao,
>>> curiosità, ma come mai fineco non ha ancora fornito la chiavetta OTP
>> (one-Time Password) ai suoi clienti come tutte (o quasi) le altre banche?
>>> voglio dire, ci vuol poco a un haccker a installare i keylogger al
>> giorno d'oggi....
>>Non solo ma io sono rimasto di stucco quando ho osservato che la pagina
>iniziale (www.Fineco.it) ha il "lucchetto" in basso a destra di Firefox
>aperto.
>Quando invece è chiuso significa che il sito ha una connessione cifrata.
> Essendo aperto significa che "le informazioni non cifrate trasmesse
>attraverso internet possono essere lette da terzi durante il transito".
>Io, per maggiore sicurezza ho salvato come segnalibro la pagina che si
>apre quando si inseriscono i codici errati e cioè:
>https://www.fineco.it/fineco/jsp/log...l?SP=log_error
>I miei codici li inserisco in quest'ultima pagina che invece ha il
>lucchettino chiuso e vuol dire che è una connessione cifrata.
serve a nulla.
il click del pulsante di login è collegato a questo indirizzo
On 21 Gen, 19:24, Passo di Giada
<CIAO_CIAO___passo.di.gi...@RRRRRRgmail.com> wrote:
> On Tue, 20 Jan 2009 18:01:03 +0100, CDelRio <cdel...@tin.it> wrote:
> >Luca ha scritto:
> >> Ciao,
> >> curiosità, ma come mai fineco non ha ancora fornito la chiavetta OTP
> >> (one-Time Password) ai suoi clienti come tutte (o quasi) le altre banche?
> >> voglio dire, ci vuol poco a un haccker a installare i keylogger al
> >> giorno d'oggi....
> >Non solo ma io sono rimasto di stucco quando ho osservato che la pagina
> >iniziale (www.Fineco.it) ha il "lucchetto" in basso a destra di Firefox
> >aperto.
> >Quando invece è chiuso significa che il sito ha una connessione cifrata.
> > Essendo aperto significa che "le informazioni non cifrate trasmesse
> >attraverso internet possono essere lette da terzi durante il transito".
> >Io, per maggiore sicurezza ho salvato come segnalibro la pagina che si
> >apre quando si inseriscono i codici errati e cioè:
> >https://www.fineco.it/fineco/jsp/log...l?SP=log_error
> >I miei codici li inserisco in quest'ultima pagina che invece ha il
> >lucchettino chiuso e vuol dire che è una connessione cifrata.
> serve a nulla.
> il click del pulsante di login è collegato a questo indirizzo
> https://www.fineco.it/fineco/PortaleLogin
> quindi i tuoi dati viaggiano comunqe cifrati
> ;-)
No, i tuoi dati viaggiano criptati se la pagina da cui parti e` quella
di fineco. Se la pagina da cui parti non e` quella di fineco ma quella
di qualcun'altro tu invii i tuoi dati da un'altra parte. E essendoci
di mezzo i frame non puoi saperlo a meno di controllare ogni volta.
Tu controlli ogni volta?
In piu`:
Anche se fineco fa uso dei Frame, il frame principale (https:// www.fineco.it/fineco/jsp/login/login.html, quello con il pulsante di
login) e` sicuro a meta` (quindi = NON SICURO) perche` anche essendo
HTTPS include alcuni javascript non sicuri.. (ossia HTTP)
Luca wrote:
> Ciao,
> curiosità, ma come mai fineco non ha ancora fornito la chiavetta OTP
> (one-Time Password) ai suoi clienti come tutte (o quasi) le altre banche?
> voglio dire, ci vuol poco a un haccker a installare i keylogger al
> giorno d'oggi....
tante belle risposte, ma nessuna alla mia domanda....
"Luca" <luca@tin.it> ha scritto nel messaggio
news:497871be$0$1118$4fafbaef@reader4.news.tin.it. ..
> Luca wrote:
>>> Ciao,
>>> curiosità, ma come mai fineco non ha ancora fornito la chiavetta OTP
>> (one-Time Password) ai suoi clienti come tutte (o quasi) le altre banche?
>>> voglio dire, ci vuol poco a un haccker a installare i keylogger al giorno
>> d'oggi....
>> tante belle risposte, ma nessuna alla mia domanda....
> Luca
maporca di quellatroia e na vita che aspetto che Fineco si adegui con il
token,
se insistono chiudo il conto, dai è assurdo.....
ma che aspettano!!!!!!!!!!!
>>> come mai fineco non ha ancora fornito la chiavetta OTP (one-Time
>>> Password) ai suoi clienti come tutte (o quasi) le altre banche?
>>Evidentemente non si vuole o non si ritiene necessario spendere
(investire) nella sicurezza del sistema..
Vorrei comunque far osservare che anche il semplice inserimento della
password tramite tastierina video come quelle di chebanca o di conto
arancio eviterebbe i keylogger.
On Thu, 22 Jan 2009 00:24:30 -0800 (PST), giorgio <vecchioc@gmail.comwrote:
>On 21 Gen, 19:24, Passo di Giada
><CIAO_CIAO___passo.di.gi...@RRRRRRgmail.com> wrote:
>> On Tue, 20 Jan 2009 18:01:03 +0100, CDelRio <cdel...@tin.it> wrote:
>> >Luca ha scritto:
>>> >> Ciao,
>>> >> curiosità, ma come mai fineco non ha ancora fornito la chiavetta OTP
>> >> (one-Time Password) ai suoi clienti come tutte (o quasi) le altre banche?
>>> >> voglio dire, ci vuol poco a un haccker a installare i keylogger al
>> >> giorno d'oggi....
>>> >Non solo ma io sono rimasto di stucco quando ho osservato che la pagina
>> >iniziale (www.Fineco.it) ha il "lucchetto" in basso a destra di Firefox
>> >aperto.
>> >Quando invece è chiuso significa che il sito ha una connessione cifrata.
>> > Essendo aperto significa che "le informazioni non cifrate trasmesse
>> >attraverso internet possono essere lette da terzi durante il transito".
>> >Io, per maggiore sicurezza ho salvato come segnalibro la pagina che si
>> >apre quando si inseriscono i codici errati e cioè:
>>> >https://www.fineco.it/fineco/jsp/log...l?SP=log_error
>>> >I miei codici li inserisco in quest'ultima pagina che invece ha il
>> >lucchettino chiuso e vuol dire che è una connessione cifrata.
>>> serve a nulla.
>>> il click del pulsante di login è collegato a questo indirizzo
>>> https://www.fineco.it/fineco/PortaleLogin
>>> quindi i tuoi dati viaggiano comunqe cifrati
>>> ;-)
>No, i tuoi dati viaggiano criptati se la pagina da cui parti e` quella
>di fineco. Se la pagina da cui parti non e` quella di fineco ma quella
>di qualcun'altro tu invii i tuoi dati da un'altra parte. E essendoci
>di mezzo i frame non puoi saperlo a meno di controllare ogni volta.
>Tu controlli ogni volta?
Certo che no. Ovvio che se riescono a far si che il mio pc www.fineco.it lo risolva verso un loro ip allora mi fregano. Ma mi
fregano a prescindere dall'https, perchè a mettere su un apache con
SSL ci vogliono 5 minuti.
>In piu`:
>Anche se fineco fa uso dei Frame, il frame principale (https://
>www.fineco.it/fineco/jsp/login/login.html, quello con il pulsante di
>login) e` sicuro a meta` (quindi = NON SICURO) perche` anche essendo
>HTTPS include alcuni javascript non sicuri.. (ossia HTTP)
per mettere i puntini sulle l'https con il javascript non c'entra
nulla. L'https è il protocollo con cui viaggiano i dati. Il javascript
è il codice lato client che potrebbe anche tranquillamente non
esserci.
> Certo che no. Ovvio che se riescono a far si che il mio pc
> www.fineco.it lo risolva verso un loro ip allora mi fregano. Ma mi
> fregano a prescindere dall'https, perchè a mettere su un apache con
> SSL ci vogliono 5 minuti.
non è proprio così. Il certificato che dice che il sito è proprio fineco.it dove
se lo beccano?
On 23 Gen, 12:00, Passo di Giada
<CIAO_CIAO___passo.di.gi...@RRRRRRgmail.com> wrote:
> On Thu, 22 Jan 2009 00:24:30 -0800 (PST), giorgio <vecch...@gmail.com> wrote:
> >On 21 Gen, 19:24, Passo di Giada
> ><CIAO_CIAO___passo.di.gi...@RRRRRRgmail.com> wrote:
> >> On Tue, 20 Jan 2009 18:01:03 +0100, CDelRio <cdel...@tin.it> wrote:
> >> >Luca ha scritto:
> >> >> Ciao,
> >> >> curiosità, ma come mai fineco non ha ancora fornito la chiavetta OTP
> >> >> (one-Time Password) ai suoi clienti come tutte (o quasi) le altre banche?
> >> >> voglio dire, ci vuol poco a un haccker a installare i keylogger al
> >> >> giorno d'oggi....
> >> >Non solo ma io sono rimasto di stucco quando ho osservato che la pagina
> >> >iniziale (www.Fineco.it) ha il "lucchetto" in basso a destra di Firefox
> >> >aperto.
> >> >Quando invece è chiuso significa che il sito ha una connessione cifrata.
> >> > Essendo aperto significa che "le informazioni non cifrate trasmesse
> >> >attraverso internet possono essere lette da terzi durante il transito".
> >> >Io, per maggiore sicurezza ho salvato come segnalibro la pagina che si
> >> >apre quando si inseriscono i codici errati e cioè:
> >> >https://www.fineco.it/fineco/jsp/log...l?SP=log_error
> >> >I miei codici li inserisco in quest'ultima pagina che invece ha il
> >> >lucchettino chiuso e vuol dire che è una connessione cifrata.
> >> serve a nulla.
> >> il click del pulsante di login è collegato a questo indirizzo
> >>https://www.fineco.it/fineco/PortaleLogin
> >> quindi i tuoi dati viaggiano comunqe cifrati
> >> ;-)
> >No, i tuoi dati viaggiano criptati se la pagina da cui parti e` quella
> >di fineco. Se la pagina da cui parti non e` quella di fineco ma quella
> >di qualcun'altro tu invii i tuoi dati da un'altra parte. E essendoci
> >di mezzo i frame non puoi saperlo a meno di controllare ogni volta.
> >Tu controlli ogni volta?
> Certo che no. Ovvio che se riescono a far si che il mio pcwww.fineco.itlorisolva verso un loro ip allora mi fregano. Ma mi
> fregano a prescindere dall'https, perchè a mettere su un apache con
> SSL ci vogliono 5 minuti.
dunque, la cosa e` che *se* non ci fossero i frame tu potresti
controllare che sei collegato correttamente su www.fineco.it.
e se la connessione e` SSL sei sicuro che e` veramente fineco; oppure
- vedresti un altro indirizzo nella barra dell'indirizzo
- vedresti il lucchetto rotto/aperto etc..
> >In piu`:
> >Anche se fineco fa uso dei Frame, il frame principale (https://
> >www.fineco.it/fineco/jsp/login/login.html, quello con il pulsante di
> >login) e` sicuro a meta` (quindi = NON SICURO) perche` anche essendo
> >HTTPS include alcuni javascript non sicuri.. (ossia HTTP)
> per mettere i puntini sulle l'https con il javascript non c'entra
> nulla. L'https è il protocollo con cui viaggiano i dati. Il javascript
> è il codice lato client che potrebbe anche tranquillamente non
> esserci.
si, pero` anche se i dati della pagina sono criptati/firmati e sei
stra sicuro che siano prodotti da fineco, se includi un javascript non
sicuro (proveniente da HTTP: ) tutto va a farsi benedire, perche` il
javascript potrebbe alterare semplicemente un pezzetto della pagina e
fare in modo che la tua login/password vanga mandata in
utzbekisyan !!!!
my two cents:
e` inutile stare a disquisire della pagliuzza quando si ha una trave
nell'occhio.
ossia invece del token potrebbero semplicemente dare una sistemata.
e poi il token non e` che fa migliora enormente la sicurezza.
> >Quindihttps://www.fineco.it/fineco/jsp/login/log_error_ie.html?SP=log_error
> >e` sicuro
> >la pagina principale e il framehttps://www.fineco.it/fineco/jsp/login/login.html
> >NO
> >ciao
Chiavetta USB
Nevada: Purtroppo quando inserisco la mia chiavetta usb,oppure carico l'ipod,succede
che il mio vista business va in tilt e non risponde.Devo togliere il cavo
della stampante anch'esso usb,che e' collegato...
Chiavetta OTP 
20-01-2009, 14.36.43
Sponsored links 
Modalità lineare
