Macworld | PayPal: Steer clear of Safari: Quando questo articolo è apparso nei feed RSS che leggo, mi sono subito incuriosito, perché… Beh, perché uso Safari per gestire il mio account PayPal. Ho pensato quindi che l’avvertimento di Michael Barrett, chief information security officer (c’è da riempirsi la bocca a leggerlo — sostanzialmente il tizio è il funzionario a capo della sicurezza informatica di PayPal), si riferisse a qualche problema tecnico presente in Safari che possa portare a errori nel caricamento di pagine contenenti informazioni sensibili, o cose del genere.
Dopo aver letto poche righe mi rendo conto invece che si tratta di una sciocchezza colossale.
Barrett consiglia di utilizzare altri browser “se si vogliono evitare frodi e phishing”. Secondo lui Safari non può far parte dell’elenco di browser consigliati da PayPal perché “manca di due importanti funzionalità anti-phishing”. In un’intervista Barrett ha affermato:
Purtroppo Apple è rimasta indietro rispetto a quel che dovrebbe fare, ossia proteggere i propri clienti. A questo punto ai nostri clienti consigliamo di utilizzare Internet Explorer 7 (o la versione 8 quando uscirà), oppure Firefox 2 o Firefox 3, oppure Opera.
Le due tecnologie anti-phishing a cui Barrett fa riferimento sarebbero: 1) un filtro anti-phishing incorporato nel browser che avverte gli utenti quando accedono a un sito fraudolento. 2) I certificati EV (Extended Validation), una tecnologia di navigazione Web sicura che colora di verde il campo indirizzo del browser quando si visita un sito sicuro.
L’articolo di Macworld fa notare che:
Anche i certificati EV sono oggetto di critiche. Lo scorso anno, ricercatori di Microsoft e della Stanford University hanno pubblicato uno studio che dimostra come le persone, senza apposite istruzioni, non si accorgevano della colorazione verde nella barra dell’indirizzo del browser fornita dai certificati EV.
Ma il pezzo forte è il paragrafo conclusivo, in cui si riportano le parole di Barrett:
Opera, IE e Firefox sono più sicuri perché li riteniamo più sicuri per il cliente medio. Mi piacerebbe poter dire lo stesso di Safari, ma a questo punto non è possibile.
Avete letto bene: gli altri browser sono più sicuri perché i signori di PayPal la pensano così. Un’argomentazione forte, no? Il vero problema di tutta la questione non è Safari. PayPal deve assumersi pienamente la responsabilità di proteggere la sicurezza dei propri clienti, e dev’essere PayPal a rendere il proprio sito sicuro a prescindere da quale browser utilizziamo. Non può permettersi di scaricare una grossa parte di tale responsabilità puntando il dito su mancanze altrui (tutte da dimostrare peraltro). Non può permettersi di implementare cattiva sicurezza sul sito e poi pretendere che la gente usi strumenti esterni a PayPal per proteggersi e ottenere una sicurezza che PayPal dovrebbe fornire in primo luogo.
Per aggiungere un commento tecnico, il signor Barrett dovrebbe tornare a fare i compiti. Da una parte afferma che “Le prossime versioni di Firefox e Opera dovrebbero supportare tale tecnologia [anti-phishing]”, dall’altra, come potete leggere sopra, fra i browser consigliati Barrett mette le versioni attuali di Firefox e Opera.
E la sicurezza dei nostri dati personali e finanziari è in mano a gente simile. Un commentatore scrive: Paypal e Ebay non sanno nemmeno che cosa sia la sicurezza. […] Che cosa hanno fatto per proteggere i loro siti? NIENTE! […] Qualcuno ha mai chiamato PayPal per riportare una transazione problematica con un account rubato? L’impiegata al telefono si è messa a ridere quando le ho detto che il loro sito sostiene di essere così sicuro….