Názory k článku
Bezpečnost českého internetového bankovnictví

"Všechny (banky) používají dostatečně silné šifrování a certifikát vystavený u oficiální certifikační autority."
Tak by me zajimalo, co to je dostatecne silne sifrovani, v tom pdf zminujete SSL a 128bitove klice. Obavam se, ze SSL pouziva napr. RC4 se 128 bit klicem a to rozhodne neni "silne sifrovani", to je dokonce "temer zadne" sifrovani :-)

Marně jsem na CS hledal primitivni ochranu ve forme IP bezpečnosti. Pristupuji na ucet ze dvou pocitacu s pevne pridelenou IP a lepe by se mi spalo, kdybych mohl pristup k uctu omezit prave k temto dvou pocitacum.

Tudy bohuzel cesta nevede, v par bankach jsem se na to ptal a nic.

U CS je bezpečnost v současné době tak myzerná že bych jim moje peníze nesvěřil, ale nadruhou stranu jsem shodou okolností četl článek že ČS zavadi uplně novej systém elektronického bankovnictví kterej by měl bejt na znatelně lepší urovni než je teď. A zavedení do plného provozu je snad v Září 2005.
Ale i přesto ČS nemám rád a je drahá.

SEDA

Ne že bych se chtěl svého fin ústavu přehnaně zastávat, ale aktivní operace jsou chráněny certifikátem, který mám bez problémů na pendrivu na klíčích (na rozdíl od pouze přihlášení, jak je mylně uvedeno)

Když už se teda zastávám, tak teda dodám, že mi to všechno bez problému jede na GNULinuxMozile

A ja bych jeste doplnil, ze RF automaticky odhlasuje pri necinosti...

A aktivni operace se daji uz tak mesic dva autorizovat i pomoci SMSky.

Skoro to vypada, jako by tu studii nekdo trochu odflaknul.

O.

Máte pravdu, že RB poměrně čerstvě nabízí též autorizaci transakcí pomocí SMS zpráv. Bohužel tuto službu zavedla v časovém rozpětí mezi napsáním části studie a jejím vydání.

Co takhle dodelat errata? :-)

No ja spis puvodne narazel na to odhlasovani. To tam je uz od zacatku co RB pouzivam.
Mozna vas zmatlo to, ze k automatickemu odhlaseni dojde az pri pokusu delat neco dal
po nejake dobe necinnosti?

Tj. kdyz to necham lezet ladem, tak je tam do aleluja zobrazena posledni stranka, ale
kdyz chci po nejake dobe delat neco dal, tak to napise, ze jsem byl automaticky odhlasen.

O.

Ve studii je uvedeno, že aktivní operace jsou ověřovány certifikátem. To, o čem se zmiňujete, je autentizace klienta při vstupu na účet, což není totéž - a tu RB provádí uživatelským jménem a heslem.

Myslite skor pomocou asymetrickej kryptografie, neviem si totiz predstavit ako ochrani certifikat nejake data ...

Pozuva jeste rb i ty applety, kterym se pomoci java policy muselo povolit vsechno a ty (a asi nejen ony) si pak mohly trajdat libovolne po celem disku? To reseni me tehdy (cca 2 roky zpet) dost pobavilo. :-)

doporucuji si precist i podle me lepsi clanky na www.penize.cz

Naopak si myslim, ze je vice nez vhodne udrzovat pro pristup do banky jiny separatni OS, ktery je na tento ucel vyhrazeny (v souladu se soucasny virtualizacnim trendem vmware, xen a pod to ani neni nic tezkeho). To co zde uvadi je pekny blabol a soudnejsi clovek se do takoveho hazardu nepusti.
Uplne idealni na pristup do banky by byla jednoucelova CD live distribuce (napr. upraveny knoppix, nebo specialni verze win) vytvorena primo bankovnim institutem. Samozrejmosti by meli byt bezpecnostni aktualizace resene dodanim noveho CD. Prubezna kontrola zranitelnosti (starsi vezre by byli odmitnuty)
Bankovni institut by mohl lepe garantoval bezpecnost transakci, neb by mel pod primou kontrolou oba body. To by se dalo povazovat za bezpecny pristup do banky. Nevi nekdo o takove bance, ktera nad bezpecnosti alespon trochu uvazuje?

Nevím proč, do eBanky nic takového potřeba není. Autentizační algoritmus je zcela mimo prohlížeč a OS a každé heslo má omezenou platnost. Klidně provedu transakci u jakéhokoliv počítače, i kdyby si ten počítač něco logoval a o nic nejde.

Ano, podobne to je u dalsich bank, ktere maji autentizacni kalkulator (CS, HVB Bank).

Jinak o neco preci jenom u logujiciho pocitace jde, asi neni uplne zadouci, aby mel zly utocnik prehled o zustatcich, transakcich ...

"Uplne idealni na pristup do banky by byla jednoucelova CD live distribuce"

Uplne idealni rozhodne ne, mozna dobre z pohledu bezpecnosti.

Pominu spoustu veci a zminim jenom nejdulezitejsi -- umite si predstavit uzivatele, ktery pokazde, kdyz bude chtit do banky prebootuje a bude rucne opisovat vsechna data?

"Bankovni institut by mohl lepe garantoval bezpecnost transakci, neb by mel pod primou kontrolou oba body."

Mozna oba pocitace, mozna i sifrovany tunel, ale banka bez slozitejsi biometriky stale netusi, kdo sedi na druhem konci.

Internet Explorer na linuxu funguje dobre, jedinym problemem je "freeware" licence.

Nevim jak na jinde, ale na Gentoo staci stahnou a spustit instalacni skript, pak uz jen staci klikat na "Ano".

http://www.h3.dion.ne.jp/~rspretty/serverinfo.html?ddo=%2Fwinetips%2Fconfig.html
http://forums.gentoo.org/viewtopic.php?t=148168

Nu, moc dobre zase ne, ale s Komercni banka mi tam pri malem priohnuti funguje. Na licenci jsem se ptal, ale nejsem si uplne jisty, jak to je a hlavne, kde se zeptat. (mejl na podporu MS)

mám el. bank. u čsob. je velmi pěkné a přehledně udělané, ale má jednu podstatnou chybu. nefunguje s firefoxem. možná by se nad sebou banka s mnohamiliardovým ziskem mohla zamyslet.

ohledně bezpečnosti, při zadávání příkazu k převodu peněz mi systém pošle sms s heslem a teprv potom je příkaz přijat. to, že mi třeba někdo vidí kolik mám na účtě, odkud a kam mi peníze chodí.... nemám z toho dobrej pocit, ale přece nebudu běhat do banky. a mobil je titěrný (gsm banking).

Potesim vas, funguje i s Mozillou/Firefoxem, ale neni to prilis pohodlne. Viz Internetové bankovnictví v linuxu (6) - ČSOB.

Dik. Na trik "kliknut na vlajocku" ked to zostane vo faze "cekam odpoved z banky" som prisiel. Potom som narazil na tu blbost, kde je send button defaultne disabled. Ten trik napisat javascript na enablenutie toho tlacitka do address baru je celkom fajn, moje riesenie bolo zlozitejsie ;-)

Ve skutečnosti to už od včerejška (zprovozněna nová verze Max Internetbanking PS) konečně funguje v Mozille samo na jedničku.
Chvalme Alláha!

Zaujimala by ma studia, kolko ludi (specialne ne-IT profesionalov) naozaj pozera tie certifikaty a rozumie myslienke certifikacnej autority.

Ak ma aspon 1% klientov CSOB/Postovni sporitelny nainstalovany root certifikat 1.CA, tak to povazujem za uspech. Ostatni musia proste verit, ze predkladany certifikat je pravy (nemaju si to inak ako overit).

Nedavno sa jedna banka na Novom Zelande trocha oneskorila pri obnoveni certifikatu (o 11 hodin). Z 300 klientov, ktori sa za ten cas pripajali, len jeden odmietol spojenie. Mozeme si namyslat, ze si povedali 'tak im certifikat vyprsal pred chvilou, tak to neni az take velke nebezpecenstvo'. Ale skor si myslim, ze vobec nerozumeli, co odklikavaju. (link: http://computerworld.co.nz/news.nsf/UNID/FCC8B6B48B24CDF2CC2570020018FF73?OpenDocument&pub=Computerworld)

Nie je vobec problem spravit SSL man-in-the-middle utok, ak user odsuhlasi kazdy certifikat, ktory mu poslem.