Re: php java (per pagamenti online)

[Cesare Fontana <c.fontana@ieee.org>]

At 11.48 03/11/2002 +0100, you wrote:
> On Sun, 3 Nov 2002 10:57:51 +0100
> "Cesare D'Amico" <cesare@ngi.it> wrote:
>
> >  Non sono
> >  supportate ufficialmente, ma sono molto usate in tutta Italia per i
> >  collegamenti con Banca Sella, e non dovrebbero avere bug
>
> Io non voglio sparare su un autore di software GPL, però... come fate a
> fidarvi per la gestione di conti correnti di software che non vi è stato
> dato dalla vostra banca (si capisco, si può estendere lo stesso discorso
> a tutto, ma un conto è fidarsi di openssl e di tutti gli audit che
> vengono continuamente fatti, un conto fidarsi di un singolo) ? Io
> qualche perplessità l'avrei.
>
> So che il sorgente è disponibile quindi in teoria uno dice "lo leggo e
> sto tranquillo" però io non mi sentirei in grado di valutare la
> sicurezza di una applicazione.
>
> Vince interrogativo.


bhe  la banca fornisce il sorgente in java.... e non e' troppo grande.... 
quindi si puo' confrontare riga per riga...
inoltre in questo caso l'operazione che compie non e' "vitale"...
nel senso tu ridirigi il cliente verso lo strumento di pagamento della banca...
e se la cosa e' andata a buon fine con una comunicazione server2server essa 
ti comunica l'esito...

il riscontro vero lo hai solo nell'ambiente di backoffice dove devi 
movimentare le operazioni...
la forza crittografica di questo script non sta nello script ma nell'usare 
cups per una transazione https quindi su openssl...
lui semplicemente chiede alla banca l'esito della transazione...
inoltre e' facile uguale che exploitino il java della banca...