Perchè se ne riparla dopo poco più di due mesi? E' proprio di questi giorni la pubblicazione di un certificato (e chiave privata) attribuito a PayPal carpita proprio grazie alla vulnerabilità descritta da Moxie Marlinspike al BlackHat USA nel luglio di quest'anno (vedi video dell'intervento al defcon 17).
Per quanto riguarda Mozilla, i security advisor riportano di avere chiuso la falla a partire dalla versione di firefox 3.5 e 3.0.13 (vedi variante attacco su 3.0.11 vulnerabile), Thunderbird dalla 2.0.0.23, SeaMonkey dalla 1.1.18 e NSS dalla 3.12.3
Al momento sembra che le crypto API di windows siano vulnerabili.
Ci sono ripercussioni e impatti anche nel campo delle applicazioni mobile.
PayPal ha nel frattempo sospeso l'account di Moxie Marlinspike.
Raccomandazioni: massima attenzione sulle transazioni in https e scrivere manualmente il link sul browser (possibilmente firefox, aggiornato) e mai fidarsi di link specialmente contenute in messaggi di posta elettronica.
Alessandro, bella domanda. Per motivi di business dobbiamo fidarci per non essere tagliati fuori. Sul quanto ci fidiamo direi abbastanza, possiamo essere ragionevolmente fiduciosi. Quello che mi preoccupa è il lato organizzativo e umano che rende estremamente critica una problematica tecnica. L'anello debole alla fine siamo sempre noi.
Armando Leotta
Scritto da: twitter.com/ArMyZ | 03/11/2009 a 11:20
Ma quanto ci fidiamo dei servizi on-line tramite Internet??
Scritto da: www.facebook.com/profile.php?id=100000279960767 | 01/11/2009 a 10:44