Hlavní navigace

Názor k článku Je šifrování českých bank bezpečné, nebo je to jen iluze? od anonym - Ahoj, rad bych se zastal CS … myslim ze...

Článek je starý, nové názory již nelze přidávat.

  • 14. 7. 2010 23:07

    bez přezdívky

    Ahoj,
    rad bych se zastal CS … myslim ze to neni tak spatne jak maluje hucul a ani ne tak spatne jak by se mohlo zdat jen z vysledku testu.
    Take mam ucet o CS a take jsem s CS komunikoval ohledne problemum s SSL.


    Dostal jsem pomerne zajimave informace:
    1) Na servis24 je v planu na podzim uplne zakazat pouziti SSLv2


    2) Pri pouziti slabsiho sifrovani < 128 bit se nedostanu do aplikace ale zobrazi se jen varovani o nedostatecne sile sifrovani (Muzete vyzkouset pres nastaveni ssl ve firefoxu about:config )


    Tim bych rekl ze je i odstinena nejvetsi slabina SSLv2 – i kdyz se povede nepozorovany MITM downgrade na slabsi sifovani – vysledkem je jenom varovna stranka.


    Na popud tohoto clanku CS pravdepodobne jeste behem cervence moznost slabsiho sifrovani vypne uplne, aby se zlepsilo jeji skore ve statistice, ale pravdepodobne se tim bezpecnost nezvysi – bude to jen na ukor komfortu toho maleho procenta klientu, kteri zkusi internet banking na velmi velmi starem pocitaci. (Pravdepodobne ted na helpdesk dochazi vic dotazu proc slabe sifrovani funguje nez proc nefunguje :) ).


    Poznamenal bych jen ze puvodni tvrzeni supportu CS bylo ze se do aplikace neni mozne dostat s nizsi verzi protokolu (SSLv2) ale to neni pravda.


    3) Co se tyce renegotiation – asi bych v tom ve vztahu k servis24 takovy problem nevidel. Na strankach www.servis24.cz jsem zatim nenasel zadny blog nebo mail formular, ktery by usnadnoval zneuzitelnost renegotiation. Treba casem zmenim nazor a napadne me nejaky kreativni zpusob jak post-request vmestnat do nejakeho formulare nezabezpeceneho posilanim SMS :).


    Michal Ambroz