Vlákno názorů k článku Bezpečnost mobilního eKonta Raiffeisenbank podrobně od .-= S474N =-. - Tak jsem si rekl, ze by takova silna...
-
Tak jsem si rekl, ze by takova silna tvrzeni clovek mohl vzit jako vyzvu. Tvrdit, ze HTTPS komunikace je nejak zabezpecena, je dost silna kava. Jedine co je, ze je pouzivana, ale urcite ne nejak solidne zabezpecena. Tak jsem se kouknul, co tam probiha za komunikace, zdali nas "ciste nahodou" nevodi za nos. Z nejakeho prvniho okouknuti komunikace je pravdou, ze je prenaseno pouze "id" a "salt" (tedy otisk a nikoliv samotny PIN nebo nejake heslo). Takze to je pozitivni, ze v tomhle nekecaji :-)
-
Prosím o informaci kde se v článku hovoří o HTTPS - jediné co já tam vidím je SSL/TLS. Ale dobře, řekněme že jste myslel to SSL. V tom případě prosím o informaci v čem je podle vás HTTPS/SSL "nezabezpečené." Pokud narážíte na nedávno vyhřezlé problémy s HTTPS, tak tam se AFAIK jednalo o problémy se správou certifikátů - za předpokladu důvěryhodnosti certifikátů (a to si IMHO v případě vlastní aplikace zajistit lze) je to spolehlivé zabezpečení kanálu.
-
fermi (neregistrovaný)
Ale no tak!! ;-)
Nechcete nam tady snad tvrdit, ze "naprosto bez problemu" univerzalne lustite vsechny sifry pouzite v SSL/TLS? V tom pripade smekam... (mate zrovna dovcu z NSA, ze jo :-)))Asi jste mel na mysli, ze za urcitych podminek jste schopen SSL/TLS nejak obelstit. Pak se slusi tyto podminky jasne deklarovat, pac se muze ukazat, ze to diky nim tak uplne "naprosto bez problemu" nejni...
-
fermi (neregistrovaný)
Souhlas ;-)
Jenze v tomhle pripade se tem "urcitym podminkam" dokaze vyvojar i uzivatel (je to i o sprave tech koncovych zarizeni - bohuzel...) vyhnout a utocnik ma smulu.
Takhle receno je to, kolego, jiny kafe nez puvodni formulace, ktera zavanela tim, ze SSL/TLS je totalne prolomene. Tak to neni. Jadro toho protokolu je celkem slusne - prinejmensim zamestnava kryptoanalytiky uz pres deset let - a da se pouzit tak, aby to cele z praktickeho hlediska splnilo svuj ucel.
Povim to je jeste jinak: Ve sve praxi "penetratora" jsem potkal jak apky, co pouzivaly SSL/TLS, tak i ty, co mely nejakou vlastni samohonku. Ty s tou vlastni samohonkou dopadaly tak, ze krome tech "urcitych podminek" jim hrozily zavazne utoky i za mnohem, mnohem volnejsich predpokladu. To diky tomu, ze ty "urcite podminky" jsou dany charakterem protokolu a kazdy takovy se s nimi nakonec musi vyporadat. Ti, kdo to zkouseli obejit samohonkou, si navic natloukli kokos jeste v jinych partiich - tam, kde si soucasne verze TLS preci jen uz svoje detsky nemoci odmarodily...
Takze tak.
ČLÁNKY DO MAILU