Fol News

Tutti gli approfondimenti
Tutte le notizie

Directa è un sito sicuro?

K

KingBOB

Nuovo Utente
Registrato
8/10/16
Messaggi
55
Punti reazioni
0
Buongiorno a tutti,

Ho appena aperto un account su Directa. La prima cosa che noto è che la piattaforma non utilizza un protocollo https per garantire la criptazione e l'integrità dei dati scambiati. ( Directa Sim | Trading Online since 1996 | USER LOGIN )
Inoltre la password è limitata a 10 caratteri.

Non essendo un esperto di informatica chiedo a voi se è un modus operandi sufficientemente sicuro ed in linea con la best practice in materia di sicurezza web.

Grazie
 
KingBOB ha scritto:
Buongiorno a tutti,

Ho appena aperto un account su Directa. La prima cosa che noto è che la piattaforma non utilizza un protocollo https per garantire la criptazione e l'integrità dei dati scambiati. ( Directa Sim | Trading Online since 1996 | USER LOGIN )
Inoltre la password è limitata a 10 caratteri.

Non essendo un esperto di informatica chiedo a voi se è un modus operandi sufficientemente sicuro ed in linea con la best practice in materia di sicurezza web.

Grazie
Clicca per espandere...

Difficile valutare senza conoscere l’implementazione ma in linea generale no, queste non sono le best practice.

Login in https e password più lunghe di 10 caratteri dovrebbero essere il livello minimo nel 2018.

A parziale discolpa di directa, il login funziona anche in https (il link che hanno in home page manda alla versione https). Sarebbe meglio che il sito forzasse solo l’uso di https, ma se non lo fa meglio cambiarlo a mano.
 
L’utilizzo di http sul login è qualcosa di pericolosissimo: potenzialmente chiunque sia sulla tua stessa rete Wi-Fi può leggere la tua password.

Ho controllato dal Chrome inspector, e la password viaggia proprio in chiaro.
 
l'accesso con Dlite è con https, basta entrare da li
 
KingBOB ha scritto:
Buongiorno a tutti,

Ho appena aperto un account su Directa. La prima cosa che noto è che la piattaforma non utilizza un protocollo https per garantire la criptazione e l'integrità dei dati scambiati. ( Directa Sim | Trading Online since 1996 | USER LOGIN )
Inoltre la password è limitata a 10 caratteri.

Non essendo un esperto di informatica chiedo a voi se è un modus operandi sufficientemente sicuro ed in linea con la best practice in materia di sicurezza web.

Grazie
Clicca per espandere...

finche nessuno poi sostare i mei soldi su un altro Iban, per me e piu che sicuro....

sia Binck che con Directa poi solo spostare il Soldi su uno dei tuoi Iban....
 
franzl-2 ha scritto:
finche nessuno poi sostare i mei soldi su un altro Iban, per me e piu che sicuro....

sia Binck che con Directa poi solo spostare il Soldi su uno dei tuoi Iban....
Clicca per espandere...

Perdonami, ma è una visione piuttosto limitata. Se ottengo la password di un utente posso comunque fare danni:
- accedere alle tue informazioni personali (ed eventualmente usarle per impersonarti su altri servizi, ad esempio facendo resettare la password etc)
- disinvestire, o investire comprando strumenti, pericolosi
- provare ad usare la tua password su altri siti: molti utenti usano la stessa password su siti diversi (magari l'home banking?)

E ottenere le password è solo una delle cose che si possono fare su un sito web senza https. È anche possibile intercettare la comunicazione e modificare le pagine in modo che a te sembri di operare su Directa, ma stai facendo altro.

Non avere https come obbligatorio nel 2018 è un comportamento incompetente.


consindip ha scritto:
l'accesso con Dlite è con https, basta entrare da li
Clicca per espandere...

Come ho scritto, https funziona anche sul sito principale (il link dalla home ad esempio è in https) ed è sempre possibile modificare http in https a mano. Ma quanti utenti sono abbastanza consci/informati per farlo?
 
Directa consiglia di loggarsi a questo indirizzo: Directa Sim | Trading Online since 1996 | USER LOGIN come vedi è in https, inoltre puoi certificare il pc dal quale operi, questa è un'ulteriore misura di sicurezza, chiunque acceda da un' altro dispositivo non avrà l'accesso pur dovesse conoscere user e password. Puoi implementare ulteriormente la sicurezza facendoti arrivare un SMS ad ogni accesso oppure gratuitamente una notifica se hai telegram installato (io uso questa), inoltre come già detto puoi spostare i soldi solo sul conto predefinito che scegli in fase di apertura.
 
Oltretutto, non è questione di login.

Se c’è anche una sola pagina a cui accedo dopo essermi loggato che utilizza http, posso tranquillamente rubare il cookie ed impersonare l’utente.

Saranno almeno 5 anni che non esiste più alcuna giustificazione di alcun tipo per un sito di non avere ssl su tutte le pagine, figuriamoci esporre un login form in chiaro. Giustificare una cosa simile facendo un’analisi della portata del danno attuabile non ha alcun senso: la sicurezza non si fa così.

Questo per non parlare di altri vettori d’attacco a cui saranno probabilmente vulnerabili: più tardi controllo. Probabilmente non c’è alcun tipo di protezione CSFR o, sarebbe spaventoso, qualche parametro da cui passano sql injection. Per il primo, bastano due click per verificare. Per la injection, se trovi un buco (o se lo cerchi) mi sa che rischi di andare nel penale.
 
Pulsewave ha scritto:
Oltretutto, non è questione di login.

Se c’è anche una sola pagina a cui accedo dopo essermi loggato che utilizza http, posso tranquillamente rubare il cookie ed impersonare l’utente.

Saranno almeno 5 anni che non esiste più alcuna giustificazione di alcun tipo per un sito di non avere ssl su tutte le pagine, figuriamoci esporre un login form in chiaro. Giustificare una cosa simile facendo un’analisi della portata del danno attuabile non ha alcun senso: la sicurezza non si fa così.

Questo per non parlare di altri vettori d’attacco a cui saranno probabilmente vulnerabili: più tardi controllo. Probabilmente non c’è alcun tipo di protezione CSFR o, sarebbe spaventoso, qualche parametro da cui passano sql injection. Per il primo, bastano due click per verificare. Per la injection, se trovi un buco (o se lo cerchi) mi sa che rischi di andare nel penale.
Clicca per espandere...

Protezione CSFR non ce n'è.
A parziale discolpa di Directa, dalle impostazioni dell'account si può abilitare una navigazione full HTTPS (TLS 1.2 - non 1.3...). Inoltre si può abilitare un unico dispositivo ad effettuare l'accesso (tramite cookies).

Detto ciò, ancora non mi sento convinto al 100% perchè mi sembra che la sicurezza sia gestita alla meno peggio (vedi anche password 10 caratteri, no token fisico, no autenticazione a due fattori, lasciare pagine http come default e chissà che altro.)

Qualcuno di voi mi può dare un parere sull'attenzione che pone Fineco sulla sicurezza? Perchè non mi aggrada moltissimo che i miei soldi debbano operare tramite un sito che ha degli standard di sicurezza del genere...
 
KingBOB ha scritto:
Protezione CSFR non ce n'è.
A parziale discolpa di Directa, dalle impostazioni dell'account si può abilitare una navigazione full HTTPS (TLS 1.2 - non 1.3...). Inoltre si può abilitare un unico dispositivo ad effettuare l'accesso (tramite cookies).

Detto ciò, ancora non mi sento convinto al 100% perchè mi sembra che la sicurezza sia gestita alla meno peggio (vedi anche password 10 caratteri, no token fisico, no autenticazione a due fattori, lasciare pagine http come default e chissà che altro.)

Qualcuno di voi mi può dare un parere sull'attenzione che pone Fineco sulla sicurezza? Perchè non mi aggrada moltissimo che i miei soldi debbano operare tramite un sito che ha degli standard di sicurezza del genere...
Clicca per espandere...

Fineco è ottima dal punto di vista sicurezza ma i 19€ minimi ad eseguito sono una mazzata (a meno di usare Fineco Replay)... Sotto i 10000€ ad ordine non conviene mai. Io avevo scelto Directa ingolosito dalla commissione minima di 1€ con il profilo variabile allo 0,19%. Adesso sto considerando Binck che con il profilo variabile costa lo 0,17% e commissione minima di 2,5€. Ho provato la piattaforma demo ed è fantastica. Il problema è che per me che devo fare un PAC di 400€ mese su due ETF, Binck mi costerebbe 60€ l'anno contro i 24€ di Directa. Binck inizierebbe ad essere conveniente a partire da ~1350€ per eseguito.
Resta il fatto che sto seriamente pensando di cambiare perché Directa fa schifo per usabilità, (anche nella versione dLite) oltre che come si parlava qui nel thread, mi ha lasciato sbigottito per le mancate misure di sicurezza (impensabile non avere 2FA nel 2018).
 
franzl-2 ha scritto:
finche nessuno poi sostare i mei soldi su un altro Iban, per me e piu che sicuro....

sia Binck che con Directa poi solo spostare il Soldi su uno dei tuoi Iban....
Clicca per espandere...

Aprire un conto a nome di un'altra persona, una volta entrati nel tuo PC è un gioco da ragazzi
 
[+] ha scritto:
Aprire un conto a nome di un'altra persona, una volta entrati nel tuo PC è un gioco da ragazzi
Clicca per espandere...
Mi sembra che il conto directa sia associato ad un altro conto di banca esterna e solo in quello si può bonificare in uscita, non mi sembra sia possibile modificare quel iban di appoggio.
 
Interessante discussione.
Perché Directa non implementa accorgimenti per la sicurezza al passo con i tempi?
 
[+] ha scritto:
Aprire un conto a nome di un'altra persona, una volta entrati nel tuo PC è un gioco da ragazzi
Clicca per espandere...

Non ci credo che sia un Gioco da ragazzi cambiare il mio Iban attuale.....visto che si po solo spostare gli Soldi sul quello Iban frefissato...

io ametto che Directa anche per me non e' quello che ci credevo, le commissioni piu bassi gli hai solo se operi sotto 800 Euro ad operazione, sopra perfino Bnck mi costa di meno....

poi dal Sito non parliamo neanche.....io sono a quel Punto che Binck e Directa non si po neanche confrontare.....
io uso pochissime volte Directa e' forse fra qualche Tempo lo chiudo di nuovo....
 
Directa in questi giorni aveva la pagina principale che non funzionava bene.

Oggi è tornata con https, quindi siete capitati nei giorni sbagliati.
 
franzl-2 ha scritto:
Non ci credo che sia un Gioco da ragazzi cambiare il mio Iban attuale.....visto che si po solo spostare gli Soldi sul quello Iban frefissato...

io ametto che Directa anche per me non e' quello che ci credevo, le commissioni piu bassi gli hai solo se operi sotto 800 Euro ad operazione, sopra perfino Bnck mi costa di meno....

poi dal Sito non parliamo neanche.....io sono a quel Punto che Binck e Directa non si po neanche confrontare.....
io uso pochissime volte Directa e' forse fra qualche Tempo lo chiudo di nuovo....
Clicca per espandere...

Beh veramente puoi fare ipoteticamente operazioni da 100.000 200.000 € pagando il fisso di 5 €.

Per quello che riguarda il trading quindi la visione del book non so se in Italia ci sia qualcos’altro di così evoluto.
 
Pulsewave ha scritto:
Oltretutto, non è questione di login.

Se c’è anche una sola pagina a cui accedo dopo essermi loggato che utilizza http, posso tranquillamente rubare il cookie ed impersonare l’utente.

Saranno almeno 5 anni che non esiste più alcuna giustificazione di alcun tipo per un sito di non avere ssl su tutte le pagine, figuriamoci esporre un login form in chiaro. Giustificare una cosa simile facendo un’analisi della portata del danno attuabile non ha alcun senso: la sicurezza non si fa così.

Questo per non parlare di altri vettori d’attacco a cui saranno probabilmente vulnerabili: più tardi controllo. Probabilmente non c’è alcun tipo di protezione CSFR o, sarebbe spaventoso, qualche parametro da cui passano sql injection. Per il primo, bastano due click per verificare. Per la injection, se trovi un buco (o se lo cerchi) mi sa che rischi di andare nel penale.
Clicca per espandere...
Ti bollinerei pure qua se potessi sia questo che il tuo precedente intervento li trovo illuminanti
consindip ha scritto:
Directa in questi giorni aveva la pagina principale che non funzionava bene.

Oggi è tornata con https, quindi siete capitati nei giorni sbagliati.
Clicca per espandere...
"Capitati" sta ceppa, doveva andare down directa se aveva questi problemi, e tornare online una volta risolti
 
Trendfriend ha scritto:
Beh veramente puoi fare ipoteticamente operazioni da 100.000 200.000 € pagando il fisso di 5 €.

Per quello che riguarda il trading quindi la visione del book non so se in Italia ci sia qualcos’altro di così evoluto.
Clicca per espandere...

Sinceramente se veramente fai Operazioni da 100 K - 200 K che mi frega se ci pago 5 Euro o 18 euro ??? (io da anni ci vedo un grosso errore che non si deve pagare la intera somma il 0,19 % per tutta la somma investita....)
questa tatica e solo fatto per i ricchioni e niente altro...che cosi posso quardagnare 200 - 500 euro al Giorno con pochi cent di differenza sul Prezzo, mentre il piccolo rispariatore non lo po fare....tutto li...

io da anni ho la mia media sulle 1000 - 1500 Euro ad operazione, per cui per me con Directa io non rispameo niente, ci pago solo di meno se n ordine va evaso solo parzialmente.....alla fine del anno forse risparmeo 30 euro al anno....non di piu...
 
ragazzi riapro questo thread..la sicurezza a distanza da due anni è migliorata in qualche modo?
 
Devi accedere o registrarti per poter rispondere.
Indietro