Lo dico senza mezzi termini: questi signori non hanno la più pallida idea di cosa sia la sicurezza. E il problema è che quelli di CartaSi gestiscono i nostri soldi, il che rende la cosa ancor più grave.

Arrivi sul portale e la home page in cui c’è il form per il login al portale titolari non è in HTTPS, la form di login viene caricata in un iFrame che è in HTTPS ma ovviamente l’intera pagina è soggetta a DNS Poisoning, e a tutte le tecniche di phishing, e quindi l’unico modo per essere sicuri che stai immettendo le credenziali nel vero portale di CartaSi è usare i tool del browser per verificare che la form di login arrivi effettivamente da loro, cosa ovviamente alla portata di qualunque cliente di CartaSi.

Quello che in buona sostanza CartaSi sta dicendo è che non ha interesse nella sicurezza dei suoi clienti, perché basterebbero poche decine di euro l’anno per un certificato SSL, mi accontenterei anche di uno standard senza extended validation, nonostante gli EV si trovino a cifre assai ragionevoli, parliamo di ~1000$/anno.

Consiglio: se volete usare il portale titolari e essere al contempo sicuri, non passate dalla home page ma andate direttamente alla pagina di login (https://titolari.cartasi.it/portal/login/login.xhtml) e cambiate spesso la password.