All’inizio dello scorso fine settimana si era diffusa la voce che PayPal potesse decidere di bloccare l’accesso ai propri servizi a chiunque utilizzasse il browser di Apple, Safari, o qualsiasi altro browser che non fosse dotato di alcuni basilari standard di sicurezza volti alla prevenzione del phishing. L’ipotesi era stata avanzata dopo che Michael Barrett, il direttore del Dipartimento Sicurezza Informatica della compagnia legata ad eBay, aveva diramato un comunicato in cui spiegava in dettaglio motivi e metodi dell’adozione di una nuova e più restrittiva policy di sicurezza.
I browser sono il mezzo principale attraverso il quale vengono attuate le pratiche più diffuse di phishing, ovvero quelle che prevedono l’utilizzo di un sito falsificato in tutto simile al sito originale e sicuro del servizio al quale si vuole accedere. Per questo motivo, secondo Barrett, un buon browser deve essere in grado di segnalare all’utente l’affidabilità di un sito e soprattutto deve poter rassicurare chi utilizza servizi online che prevedono la gestione di dati sensibili autenticando correttamente i siti ufficiali.
Barrett non aveva nominato espressamente Apple, ma poiché Safari non implementa al proprio interno servizi di questo tipo in un primo momento si riteneva che il dirigente potesse riferirsi implicitamente al software di Apple. Oggi, sul blog Business Technology del Wall Street Journal Ben Worthen riporta la conferma di PayPal: Safari non verrà bloccato, solamente i browser più vecchi (come Internet Explorer, versione 5 e minori) verranno limitati nell’accesso al servizio.
Barrett ha precisato inoltre che dapprincipio agli utenti che cercano di accedere tramite browsers meno sicuri non verrà impedito l’utilizzo del sito, ma verranno mostrati loro messaggi di avvertimento volti a consigliare l’aggiornamento del software o l’utilizzo di un browser dalla comprovata sicurezza.
Tuttavia la posizione dell’azienda di Cupertino circa l’implentazione di parametri antiphishing nel proprio browser rimane piuttosto ambigua. Apple sembrava aver fatto un passo nella direzione giusta implementando all’interno di una delle ultime beta di Leopard il database di siti fraudolenti realizzato e amministrato da Google. La feature non è stata però implementata nelle versioni successive e ufficiali, anche se a livello di codice essa è ancora presente e si suppone che possa essere sbloccata semplicemente tramite un futuro Aggiornamento Software. Al momento utilizzando l’ultima versione di Firefox 2 e collegandosi alla pagina di test di Google il browser avverte l’utente circa la probabile contraffazione del sito, mentre utilizzando Safari 3.1.1 l’accesso alla pagina di prova non viene ristretto o limitato in alcun modo.
[via]
sembra quasi un controsenso in questo caso. insomma, Apple spinge così tanto gli utenti a comprare su internet, vedi itunes store, movie rental, l’apple store stesso! perchè proprio il suo browser per eccellenza dovrebbe essere privo di certi standard di sicurezza?! io conosco Apple come un’azienda che mira oltre gli standard, trovo assurdo una mancanza del genere in un programma basilare ai tempi d’oggi quali un browser!