Hlavní navigace

Názor k článku Je šifrování českých bank bezpečné, nebo je to jen iluze? od Vít Šesták (v6ak) - Pochybuji, že běžný uživatel do adresy zadá na...

Článek je starý, nové názory již nelze přidávat.

  • 26. 7. 2010 17:41

    Vít Šesták (v6ak)

    Pochybuji, že běžný uživatel do adresy zadá na začátek i „https://“, když to přece „funguje úplně stejně i bez toho“. A když třeba *** (jméno vynecháno) ve své příručce píše adresu bez protokolu… (Již jsem nejmenovaným psal, odpověděli mi něco ve smyslu, že děkují za zajímavý námět, více nevím.)
    K přesměrování na https verzi sice dojde, ale samotné přesměrování probíhá nezabezpečenou cestou (http). V této chvíli má útočník nejjednodušší šanci. Pokud uživatel po zadání adresy ji již dále kontrolovat nebude anebo si nevšimne, že spojení najednou není šifrované, je jakékoli SSL bezpředmětné.
    Že je tu ještě SMS? To považuji za takovou druhou linii, která by neměla být potřeba. Má-li to být stavebním kamenem zabezpečení (nechtěl bych), pak nevidím smysl v SSL.
    Nechápu, proč je tomuto problému věnováno tak málo pozornosti.
    Já si třeba pro ebanking vytvořil speciální profil prohlížeče s domovskou stránkou ebankingu, čímž:
    * řeším problémy se špatnou adresou (překlep) a řeším relativně málo (pro bankovní účely) zabezpečenou synchronizaci záložek, kterou by šla (v případě použití záložek) podstrčit jiná adresa
    * řeším CSRF, clickjacking a případně další útoky mezi stránkami (jasně, toto by měla řešit banka, toto je spíše pojistka)
    * možná odstíním část nepříliš do detailů (kvůli 20/80) navržených útoků na prohlížeč od bankovního účtu.