Il dispositivo token

Gentile cliente,
in conformità alle procedure di sicurezza previste dalla Banca, in data 23-09-2008 abbiamo inviato, al tuo indirizzo di corrispondenza, un dispositivo Token, il nuovo strumento elettronico che ti consente di avere a portata di mano, in ogni momento, una password “usa e getta”.

La risposta è stata la seguente:

Gentile banca,
non lo voglio il token. Ho cambiato banca proprio perché mi obbligavano a portarmi appresso quella nullità. Per me è sufficiente entrare con la password sicura, occupatevi piuttosto di mettere al sicuro il sito da tentativi di cross site scripting o sql injection semmai dovessero essercene.

Ieri mattina sono andato da un cliente insieme a Jac presentare il loro sito di e-commerce, al nostro arrivo la signora era trafelata perché era appena riuscita a non “inlamarsi” durante un tentativo di phishing.

L’indirizzo nella URL era corretto, nel file hosts non c’era nulla, allora ho richiesto conferma dagli gli activex di IE6 e disattivato la cache.

Ad ogni pagina (qualsiasi, anche google) IE6 cercava di aprire un activex. Inoltre svuotando la cache il problema sembrava essere svanito.

La banca ha dato quindi la colpa al suo cliente mentre invece sul sito capeggiava un enorme messaggio che ineggiava alle frodi informatiche.

Se la pagina era stata memorizzata dal browser, comunque doveva essere stata manipolata no?

Fortunatamente “la mia banca è diversa”