Come CartaSi e Telepass fallisce miseramente nell’esporre la pagina di login su HTTP con POST verso HTTPS, con l’aggravante che lo fa verso un dominio diverso. Ma perché?
Il problema del POST da HTTP verso HTTPS è che basta fare tampering della pagina di partenza reindirizzare la POST verso un altro dominio e abbiamo le credenziali dell’utente.
Ma si può fare di peggio
La password è salvata in chiaro, te la mandano allegramente per posta, ed è pure case insensitive. Oh my…
Scappate a gambe levate. Qui non ci sono consigli da dare, se non evitate di salvare qualsivoglia dato importante nel profilo di Trenitalia.