I signori di Telepass riescono, per certi versi, a fare anche peggio di CaratSi. Anche in questo caso la home page su cui c’è la form di login non è in HTTPS, ma attenzione attenzione la form fa post verso HTTPS. Altro colabrodo di sicurezza vulnerabile a DNS Poisoning e a tutte le tecniche di phishing.
Perché riescono a fare anche peggio? Semplicemente perché l’home page funziona alla perfezione anche in HTTPS (https://www.telepass.it/ecm/faces/public/telepass/) basterebbe quindi che una buon’anima configurasse il web server per consentire solo HTTPS e se proprio vogliamo mettesse un bel redirect da HTTP a HTTPS.
Consiglio: passate sempre e solo dalla versione HTTPS.
Ma è tanto difficile avere a cuore la sicurezza dei propri clienti? Questo è l’ABC, anzi è solo A :-(