diegor

joined 10 months ago
sorted by: new top controversial old
China carries out test flight of world's first maritime ground-effect vehicle in c/technology@lemmy.ml
In queste ore si sta verificando un attacco per rubare gli account agli utenti Mastodon. Ecco cosa sapere per evitare le truffe su Mastodon e nel Fediverso con la guida di @FediTips in c/fediverso@feddit.it
[–] diegor@social.gl-como.it 0 points 2 weeks ago

@macfranc @FediTips Noto che l'ultima ondata arrivava da "utenze" di mastodon.cloud. Che sembra un istanza abbandonata a se stessa. Valuterei un eventuale blocco.

ECCO COME LA “POPOLARE DI SONDRIO” HA DECISO DI PERDERE UN CLIENTE in c/news@feddit.it
[–] diegor@social.gl-como.it 0 points 4 months ago (1 children)

@macfranc @luca

Un normalissimo sistema a più fattori (password+ codice generato da un seed)
è più pratico e non presenta criticità aggiuntive.

Il codice generato da un seed non è sufficiente, deve essere generato da un codice segreto associato al tuo account, più i dati dell'operazione, altrimenti è vulnerabile come i vecchi token. E come dicevo, normalmente la banca associa il codice generato anche al cellulare stesso.

ECCO COME LA “POPOLARE DI SONDRIO” HA DECISO DI PERDERE UN CLIENTE in c/news@feddit.it
[–] diegor@social.gl-como.it 0 points 4 months ago

@macfranc @luca I token fisici normali sono stati eliminati a causa delle nuove norme.

Contrariamente a quello che dice l'articolo la maggior parte dei token fisici non era affatto sicuro. Il problema è che il token generato era basato su due informazioni un codice che identifica il cliente e l'ora in cui veniva generato approssimato a qualche minuto. Questo per far si che scadesse naturalmente dopo un tempo "ragionevole" per utilizzarlo.

Ma se qualcuno ti spiava il codice, se era veloce, poteva usarlo per fare qualsiasi operazione sul tuo conto.

Le nuove regole prevedevano che il codice invece fosse sempre legato ai dati dell'operazione. Quindi ad esempio alla cifra e al beneficiario. E quindi lo spione di cui sopra non può usare quel codice per fare un bonifico sul suo di conto.

Nota anche che tutte le banche che conosco quando usano l'app, richiedono che l'app sia installata su un SOLO dispositivo. Perchè il dispositivo stesso è il secondo fattore di autenticazione, se si potesse installare l'app su qualsiasi dispositivo e usarle contemporaneamente, e come avere in giro n chiavi di casa, dicendo massì se la perdo uso un altra, e intanto la chiave rubata viene usata per entrare a casa tua.

Si significa che se perdi il cellulare devi andare sul sito, se non addirittura in filiale, per farti associare il cellulare nuovo al tuo conto.

Poi pensare che "hai tutto il tempo per fare la denuncia", non tiene conto che può passare parecchio tempo prima di accorgersi di non avere più il cellulare (parlo di me e non solo). Secondo me sei troppo ottimista, e l'ufficio sicurezza della banca ti cazzierebbe :).

Ora ci sono anche altri modi che non richiedono l'uso dell'app. Ad esempio su banca etica, in alternativa all'app puoi associare il tuo numero di telefono (anche fisso) al tuo conto, e quando entri o fai un operazione sul sito, ti viene indicato un codice associato univocamente a quella specifica operazione. A quel punto chiami un numero verde e digiti il codice, e viene controllato codice e numero di telefono. Rispetta le regole di sicurezza e non serve un APP.

Energia dalla pioggia: Singapore trasforma le gocce d’acqua in elettricità con una nuova tecnologia in c/scienza@feddit.it
[–] diegor@social.gl-como.it 0 points 10 months ago

@colonnello Non lo so, mi pare una notizia un po' farlocca. Non è chiaro quanta corrente venga generata (suppongo molto poca). Non ci sono link alla fonte della notizia, per eventuali approfondimenti.

Anche l'effetto triboelettrico non credo possa essere sfruttato in questo modo, parlano di energia elettrica a partire dall'energia cinetica, mi sarei aspettato l'effetto piezoelettrico, che trasforma la pressione in corrente.