Vlákno názorů k článku George klíč končí, bankovnictví George Česko už v emulaci nespustíte od občasný počítačový údržbář - Jak se chovají tyhle bankovní šaškárny na Androidu...
-
Jak se chovají tyhle bankovní šaškárny na Androidu instalovaném např. na Raspberry Pi 4?
- virtualizované to není, Android běží nativně
- je snazší u toho mít velkou obrazovku
- je snazší k tomu připojit klávesnici a myš, nematlat po obrazovce jako retard
- je to levnější
- lze minimalizovat GooglePředpokládám, že tomu asi chybí nějaký šifrovací hardware, nebo ne?
12. 12. 2023, 12:22 editováno autorem komentáře
-
Už jsem to psal v jiné odpovědi: banky (a nejen ony!) se snaží zredukovat podporu na pouze majoritní mobilní hardwareové platformy - Samsung a Apple.
Bylo by to pro ně levnější. A především by si elegantně umyly ruce od problémů s potenciálně nebezpečnými a nezabezpečenými zařízeními (Huawei počínaje, Raspberry zdaleka nekonče).
Jen ti uživatelé jim to kazí, když si odmítají kupovat každý rok nové značkové zařízení... -
DannyStříbrný podporovatelA nebo proste jen pracuji s cisly. Spocitaji si, kolik jakych zarizeni uzivatele pouzivaji, tedy do kolika platformem ma smysl vrazet penize - a pripadne kolik ztrati, kdyz nejakou konkretni platformu odepisou. Vsechno jde prepocitat na penize. Pokud klient bude banku stat v nakladech vic penez, nez ji klientela s minoritnim zarizenim prinese... tak je pres palubu proste hodi.
-
DannyStříbrný podporovatel
To nikdo nerozporuje - ale i v tomhle oboru funguje jista setrvacnost, protoze i vyvojari jsou jen lidi a neradi meni sve drivejsi navyky a neradi adoptuji nove veci. A samozrejme drhnou i ty implementace - takove FIDO2 stale neni poradne dotazene treba ve Firefoxu, po peti letech... ano, v Chrome to funguje lip, ale to zas budou mit jini duvod nadavat, ze se protezuje jedna konkretni implementace... tak trosku zacarovany kruh :-)
-
Smazaný profil
Ale FIDO2 už také není žádná novinka. MojeID už mám nějaký rok s FIDO2 tokeny a myslím, že to bude popsané dobře.
Banky si dost často stěžují, že lidé klikají na falešné odkazy. FIDO2 phisingu brání, ale že by FIDO2 zavedly to ne.
Osobně používám aplikace a ne SMS, ale nejsem rád za nemožnost volby.
Dokázal bych si představit variantu jen přes aplikace a druhou možnot FIDO2 pro příhlášení a SMS pro potvrzení (klidně i FIDO2 + aplikace).Ty technologie tu jsou, ale banky je ignorují. Google zavedl povinně HW klíče před pár lety a od té doby nemají problém s ukradenými účty.
-
DannyStříbrný podporovatel
MojeID ma hardwarovy token od rijna 2019, takze take sotva ctyri roky. Ja vim, ten cas leti strasne rychle... ale zas tak dlouho to take neni. V pripade MojeID je to svym zpusobem benefit, ze s tim prisli az v tom roce 2019 - mohli rovnou implementovat novejsi standard. Vsak proto tu zminuji ten Firefox - tam prave z FIDO2 v kombinaci s Linuxem byl i u MojeID v urovni "vysoka" problem az do vydani Firefoxu 114 (tedy do cervna 2023), kdy aspon cast veci kolem FIDO2 se nekam posunula.
-
Není to jenom o číslech. Třeba se nemůžou domluvit se Samsungem, že za nějaký bakšiš budou vyžadovat jejich telefony. A je úplně jedno, že by to pro tu banku bylo výhodné.
Vždycky tam bude nějaké neostré rozhodování, jestli je pro zaříznutí nějaké menšiny zásadní důvod, nebo ne. A zbytek společnosti do toho rozhodování bude kecat. -
DannyStříbrný podporovatel
Ani mistni hospoda na te vesnici neuspokoji potreby a chute vsech. Aneb musite vzit zavdek pivem, co tam toci - a ze ho jinak nepijete hospodsky resit fakt nebude :-)
-
Vy na to koukáte skrz to "městské" paradigma, kde zákazníci jsou jen jakési peněženky s nožičkama, o kterých hospodský může přemýšlet jenom statisticky. Tohle ale vychází z počtu hospod a lidí.
Vztah hospodský-štamgast ale může fungovat trochu jinak. Když se můžou domluvit jako lidi, tak se najednou otvírají až nečekané možnosti. V pozici ber nebo nech jsem spíš někde na výletě, ne když se do té hospody vracím pravidelně. -
DannyStříbrný podporovatel
Ono muze byt levnejsi vyresit nejakou blokaci, nez pak na podpore resit problemy z kategorie a me to nefunguje.
-
Možná Vás překvapí (ale spíš ne...), že někdy ty banky sáhnou i k řešení:
je levnější klientovi pořídit mobil, než to řešit jinak
.
Zrovna nedávnou běžela u jedné banky akce, kdy oslovili klienty z kategoriesenioři s ověřováním po SMS
a za přechod k ověřování mobilním klíčem jim věnovali nový smartphone... -
DannyStříbrný podporovatel
Ono je to logicke, kdyz si uvedomite kolik stoji cas vyvojaru, co by meli pokryt nejake jine reseni - a navic lidi jsou v tomhle oboru chronicky nedostatkove zbozi. Aneb potvrzujete co pisu uz na zacatku - je to o penezich :-) I u tech SMS to neni jen o cene za odeslani kusove zpravy, ale take o udrzbe toho cirkusu okolo, co vam ty ruzne komunikacni kanaly obhospodaruje, vc. nakladu personalnich s tim spojenych.
-
Zrovna ta výše zmiňovaná KB mě chtěla na nějakou pozici. Nezdála se mi špatná, navíc, říkal jsem si, banky by měly slušně platit. Ovšem po otázce, kolik mi tedy plánují zaplatit jsem se málem dotázal, jestli to myslí vážně, i když jsem se nakonec naštěstí ovládl. Odmítl jsem a šel jsem do malé firmy, kde mám o třetinu víc za zajímavější projekt.
A to je pak těžký.
-
Musíte si uvědomit, že to je
banka
a nikoliv IT firma.
Veškerá ajťařina je jen nákladová položka zralá k optimalisaci. Jejich představa je, že peníze se vydělávají finančními operacemi, případně prodejem méně důležitých služeb.
Ano, chápou, že ICT potřebují, alesakra, proč by to mělo bejt tak drahý!?
-
a myslíš, že IT firmy mají svoje systémy lepší a že to pro ně není náklady?
A jak by jinak banka měla vydělávat peníze? Zákon dost striktně omezuje to, v čem může banka podnikat a kam může vložit peníze.
Banky jsi na ty odborné věci najímají externí lidi, rozpočty na to mají obrovské a spíše je zvyšují než omezují. Pro ně jsou teď největší koulí na noze právě fyzické pobočky a produkty, které jsou pro ně vysoce ztrátové (třeba směna devizí je snad pro každou banku červená položka).
-
Jasně, že jsou, ale v IT firmě je to tak nějak jejich business, takže lze předpokládat, že vědí, kdy, jak a na čem tu mohou ušetřit.
Banky mají své podnikání v úplně jiné sféře a veškeré informační a komunikační technologie jsou jen nutné zlo.
Dobře je to vidět i na Vašem příkladu:na ty odborné věci najímají externí lidi, rozpočty na to mají obrovské a spíše je zvyšují než omezují
- to je totiž poměrně trefný příklad. O veškerém IT rozhodují manageři, kteří to posuzuji nikoliv z odborného pohledu, ale čistě finančně. Ano, nechají si poradit, ale zcela typicky nastává jedna ze dvou situací:
* neporozumí tomu, co jim odborník říká a rozhodují se nahodile,
* mají poradce, který mluví jejich jazykem, ale během překladu se ztratí smysl a rozhodnutí jsou nahodilá.
(Navíc je obměna managerů příliš častá na to, aby se dodržela nějaký jednotná dlouhodobá strategie.)
A pak jsou věci, které banka prostě dělat musí (směna deviz...), byť na nich prodělává - a ztrátu snadno sníží škrty v ICT... (Máme vysoký rozpočet, aby se dal snadno hodně seškrtat.
) -
to netuším teda o kterých bankách mluvíš, ale v našich největších bankách hraje IT velký prim. Nové banky typu Airbank zaměstnávají nejvíce lidí právě v IT.
Vem si kolik bank začalo dělat osvětu v IT, dělají meetupy, účastní se komunitních setkání, předávají znalosti dál.
Naše velká pětka už před mnoha lety zahájila velkou transformaci a začala všechny procesy digitalizovat.
-
Zaměstnávají - napřímo i externě.
Jenže tomu nikdo neumí dát nějaký jasný a jednotný kurz - natož držet jej třeba pět let. Přeskakují od jednoho k druhému a trumfují se, která banka má lepšího robota na lince, víc funkcí v mobilním bankovnictví nebo chytřejší umělou inteligenci.
Potřeby klientů řeší stylemkdyž to je perfektní pro většinu klientů a vyhovující pro 85 % klientů, tak to tak budou mít všichni!
Místo prostého poskytování bankovních služeb se vrhly na neustálé změny produktů - a to se v jejich IT produktech nutně projevuje jistým chaosem a neustálými změnami.
K čertu: proč musí klient mobilní bankovnictví během podzimu pětkrát upgradeovat - jednou kvůli bezpečnosti a čtyřikrát kvůli změnám funkcí? -
Ehm ... androidi aplikace ma velmi omezene moznosti. Takze pokud system kolem vhodne upravis, nema jak zjistit na cem bezi.
Podivej, jak treba aplikace zjisti, ze system je "rootnuty"? Jedine tak, ze ji to system rekne. Kdyz ji rekne ze neni, tak nema (bez roota) jak to zjistit.
To plati zcela vseobecne o cemkoli .. proc browsery posilaji fake hlavicky? Z absolutne stejneho duvodu. Specielne pro android existuje cela plejada aplikaci fejkujicich vsechno mozne. Chce mit aplikace moci mermo pristup k telefonimu seznamu? Tak at si nejaky random vygenerovany uzije ... atd atd atd...
Jen to samozrejme znamena, ze musis resit ten narovnavak na vohejbak.
-
Jan HrachStříbrný podporovatel> Ehm ... androidi aplikace ma velmi omezene moznosti. Takze pokud system kolem vhodne upravis, nema jak zjistit na cem bezi.
Bohužel, remote attestation.
> Podivej, jak treba aplikace zjisti, ze system je "rootnuty"? Jedine tak, ze ji to system rekne. Kdyz ji rekne ze neni, tak nema (bez roota) jak to zjistit.
To jsem si také naivně myslel -- a například na normálním Linuxu si myslím, že bych dokázal skoro cokoli „cracknout“. Ale na Androidu se ukázalo, že je to tak strašně složité, neupravitelné, bordel a skoro nikdo tomu nerozumí, že smůla.
-
Jan HrachStříbrný podporovatel
Pro informaci, body 2 a 3 řeší "scrcpy" (něco jako VNC ale pro Android). Mám pocit, že to ani bankovní aplikace nedetekují jako narušení bezpečnosti.
Jinak ano, na RPi bude chybět "attestation" (šifrovací hardware s klíčem od Googlu do kterého nemůžete).
