19 aprile, 2008

PayPal metterà al bando i vecchi browser

di Percy Cabello

In una white paper pubblicata la scorsa settimana, PayPal ha annunciato che inizierà a far comparire degli avvisi ai clienti che accedono al proprio sito con browser che non supportano in qualche modo l'identificazione del sito web e una protezione anti-phishing.

"Secondo noi permettere agli utenti di visualizzare il sito PayPal con uno di quei browser equivale ad un produttore di automobili che permette ai propri clienti di acquistare uno di quei veicoli senza cinture di sicurezza", si legge nella white paper redatta da Michael Barret e Dan Levy, rispettivamente Responsabile per la Sicurezza delle informazioni e Direttore per la gestione dei rischi per l'Europa di PayPal.

Il documento suggerisce anche alle istituzioni finanziarie di prumuovere tra i propri utenti l'utilizzo delle versioni più recenti dei propri browser bloccando di fatto gli utenti con versioni obsolete, poiché queste presentano vulnerabilità che sono state risolte in versioni più recenti.

Con tutti quei browser disponibili gratuitamente, come Internet Explorer, Firefox, Safari e Opera, è difficile criticare questa proposta. L'unico svantaggio potrebbe essere l'incompatibilità con il sistema operativo. Ad esempio, gli utenti Windows 95/98 e le vecchie versioni di Mac OS X non potranno aggiornare a Firefox 3, in quanto il requisito minimo sarà un sistema Windows 2000. Gli stessi utenti non saranno in grado di accedere ad altri siti finanziari se il consiglio di PayPal viene accolto.

In merito all'identificazione del sito, il metodo attualmente più valido è quello di utilizzare un certificato EV (extended validation) SSL emesso da un'autorità di certificazione come Go Daddy, Thawte, VeriSign e poche altre.

A differenza dei "normali" certificati SSL che molti siti utilizzano per cifrare le informazioni che transitano dal server al computer dell'utente, questi certificati richiedono alle aziende di fornire informazioni sulla loro sede legale, i dati delle persone che gestiscono il processo di certificazione, e così via.

Così, ad esempio, quando accedete ad un sito come Paypal.com non solo sapete che si tratta di paypal.com (come garantisce il certificato SSL) ma che è davvero la PayPal Inc. la società che state contattando.

Qual è il vantaggio? Se quei cattivoni là fuori volessero truffarvi potrebbero registrare il dominio paypa1.com (notate che la "l" è diventata un "1") ed ottenere addirittura un certificato SSL. Gli utenti che abboccano alle loro email di phishing potrebbero non notare la leggera differenza di scrittura del sito nella barra degli indirizzi (ora gialla) e non avranno problemi ad inviare le loro informazioni personali al sito di phishing.

I browser che supportano i certificati EV, come Internet Explorer 7, Firefox 2 grazie all'estensione EV Green Bar di VeriSign e Firefox 3, sono in grado di visualizzare il nome della società che detiene di fatto il nome di dominio. Con una breve occhiata, gli utenti saranno in grado di distinguere i siti fasulli da quelli validi.

In Firefox 3, il nuovo pulsante del sito diventa verde quando sono rilevati dei siti con certificati EV. Cliccando sul pulsante viene visualizzato il nome della società che gestisce il sito.

Nessun commento: