Vlákno názorů k článku Bezpečnostní chyba v internetovém bankovnictví České spořitelny od Michal Ludvig - Nechapu kde je problem. Cislo smlouvy je sice...
-
Michal Ludvig (neregistrovaný)Nechapu kde je problem. Cislo smlouvy je sice soucasti URL, ale jelikoz je psojeni pres SSL, tak se k nemu "utocnik" stejne nedostane. A jestli nekdo dokaze rozlousknout SSL spojeni, nebo se dostane primo k pocitaci se zalogovanym uzivatelem, tak je ta "obet" v pytli tak jako tak. Takze kde je problem?!
-
Masér (neregistrovaný)Ale tady jde o to útočník může zjistit tvůj login (třeba key logger ... nebo případně rozlouskne SSL ;) ) a pak se do aplikace přihlásit. Ty SMS mají význam v tom, že k zadání transakce potřebuješ dostat kód přes SMS na svůj mobil a tím transakci potvrdit - tj. útočník by musel mít i tvůj telefon. Vzhledem k tomu že si díky této chybě tuto kontrolu můžeš v aplikaci vypnout, ztrácí tyto SMS momentálně smysl - neposkytují žádnou další ochranu.
-
Jaroslav Kvapil (neregistrovaný)O tom to je také. Pokud se dostane k počítači se zalogovaným uživatelem (nebo odkoukáte jeho přihlašovací údaje, apod.). , tak sice můžete procházet pasivní transakce, ale neprovedete bankovní převod (u za-/přeshraničních plateb u žádné platby, u domácího platebního styku u plateb nad nastavený limit, může být též 0 Kč) - to ale samozřejmě v případě, že budou Autorizační SMS fungovat. V této chvíli není pro Vás na zalogovaném počítači problém si zjistit ćíslo smlouvy, a autorizace vypnout (nebo přesměrovat na jiné mobilní číslo - ale proč?), a vesele si penízky převádět...
V tomto se skrývá problém současné bezcennosti této funkcionality... -
Jaroslav Kvapil (neregistrovaný)Mám léta už automatický zvyk: před ukončením IE vymažu historii, offline soubory a cookies... U Netscape Navigatoru vymažu "ručně" příslušné soubory historie, cookies a obsah cache...
Ale toto nejpravděpodobněji nedělá "běžný" uživatel - ano, pak je historie "k dispozici", jak uvádíte. Tento fakt jsem si ani při psaní neuvědomil. -
Pavel (neregistrovaný)Jde o to, že úroveň předchozí mgnetizace ovlivňuje novou. Prostě, pokud byla na disku zapsaná nula a přepíšete ji jedničkou, tak je výsledná magnetizace trochu jiná, než když je jedničkou přepsaná jednička. Navíc se ty bity nikdy netrefí na stejné místo, takže změna magnetizace je pokaždé trochu jinde. Když se disk přesně analogově proměří, tak je opravdu možné z něj vytáhnout data devětkrát přepsaná. Taky programy na skutečné mazání dat z disku napřed celý soubor desetkrát a vícekrát přepíší náhodně vygenerovanou posloupností bitů, než ho smažou.
-
Jaroslav Kvapil (neregistrovaný)Souhlasím. Samozřejmě je otázka, kdo by o taková data stál... Ale nepodezříváte mne, že smazaná data (a poté příp. "vysypaná" z koše) považuji za opravdu "zničená" bez následného "promazání" disku, že ne?? Takže snad alespoň naše diskuze uporní ty uživatele, kteří nemají zrovna specializaci v IT, aby bezpečnost nepodceňovali - a to vidím jako cíl...
ČLÁNKY DO MAILU