Vlákno názorů k článku Předstihne Česká spořitelna eBanku? od Massagerrrr - Také si myslím že zabezpečení není dostatečné. Samotný...

Také si myslím že zabezpečení není dostatečné. Samotný přenos je v pořádku (SSL3 zatím s přehledem odolává, tuším že již pár let), ale okamžik zadávání hesla je problém (certifikát je to samé v bledě modrém). Pokud uživatel dokáže svůj počítač napojený na internet zabezpečit tak, aby na něj nikdo cizí nemohl, je vše v pořádku. Bohužel takových lidí asi moc neni, a ani člověk zabývající se bezpečností si nemůže být jistý ... hacker je vždy o krok vepředu.

Takže ať žijou trojské koně a hádky mezi bankou a klientem, jestli jí opravdu zadal on. V podmínkách je ale uvedeno, že přihlašovací údaje nesmí uživatel nikomu sdělit .. Lze samozřejmě namítnout, že takovýto nezvaný návštěvník může způsobit škodu maximálně 50 000 (což nemusí být ten správný motiv, peníze musí někam převést atd...komplikace...), ale i kdyby míň, tak přeci jen ty nepříjemnosti. Skoro mě přepadá paranoia, představte si, že onen neznámý převede peníze na můj účet ... problémy bude mít okradený, i já nic netušící nevinný. Snad mě mají všichni rádi ...

Řešení vidím v použití kalkulátoru (respektive přenos hesel na telefon gsm), nebo ještě lépe v čipu a čtečce čipových karet. Ale to už asi není služba pro širokou veřejnost. Přece jen by tam byly vysoké náklady a občan zaplatit nákou tisícovku asi hodlat nebude. Jde tedy o rozhodnutí, zda se pořízení např. kalkulátoru vyplatí, to závisí na rozhodnutí každého z nás. Nicméně mi nejvíce vadí, že při nabízení služby je prezentována bezpečnost a s kalkulátorem vyšší míra zabezpečení, ale není klientovy sdělena podrobnější informace o bezpečnosti (respektive o možných nástrahách), obdobná těmto dvou odstavcům. (no možná by to leckoho odradilo)

Že klientské číslo / heslo není dle mého názoru bezpečné uvedu na hypotetickém příkladu: stačí vytvořit opticky stejnou stránku jako je vstupní strana IB Sevis 24 na vlastním serveru, nasměrovat na ni uživatele ve vnitřní síti (nebo využít v překlepu v názvu domény) a poté nechat uživatele zapsat dvojici údajů (uložit si je) a poté ho ihned pomocí metody POST poslat na "pravý" IB a zalogovat ho (vyzkoušeno). Nezkušený uživatel nic nepozná, protože nebude kontrolovat, zda server je autentifikován správným certifikátem (ikonka vpravo dole v browseru mu stačí).

Obvyklá metoda. Jak je to ale v tomto případě s SSL3? Než se klient přihlásí, tak se naváže spojení pomocí SSL3 a jméno a heslo už běží šifrovaně.

V tomto případě tedy klient zadá něco na falešné stránce a to máme k dispozici. to je bez problémů. Jak ho potom ale přihlásit do systému??
K tomu je potřeba aby klient navázal SSL3 spojení se serverem. Je možné navázat takovéto spojení z jiného počítače?? Nebo je k tomu potřeba se dostat do počítače uživatele?

Jinak by asi podle víkendových zkušeností stačilo jako odpověď napsat "služba je momentálně nepřístupná, zkuste za chvíli ...". Ale zajímá mě, jestli to lze udělat kompletně i s logováním, když je tam to ssl.

Nemám v tomhle úplně jasno, dík za odpověď.

Tak už jsem si to zjistil sám. Server při navázání spojení ssl pošle klientovi digitálně podepsaný certifikát. Když se shoduje url s hodnotou v certifikátu a certifikát je vytvořen důvěryhodnou certifikační autoritou, tak je vše ok. Podvrh není možný.