-
Data: 2020-06-07 17:02:51
Temat: Re: mBank - zablokowany dostęp
Od: Krzysztof Halasa <k...@p...waw.pl> szukaj wiadomości tego autora
[ pokaż wszystkie nagłówki ]Piotr Gałka <p...@c...pl> writes:
> Poza tym moje założenie (nie znam się na internecie) było takie, że to
> przeglądarki jak są w trybie z kłódeczką to wymuszają logowanie w taki
> sposób, że hasło jest hashowane (z loginem i solą) na miejscu i hasło
> nie wychodzi poza mój komputer. Tak między innymi rozumiałem znaczenie
> tej kłódeczki - że jestem w bezpiecznym połączeniu i przeglądarka tego
> pilnuje, że jest ono bezpieczne między innymi nie dopuszczając do
> wycieku mojego hasła.
> Zakładałem, że jak ktoś definiował protokół dla bezpiecznego
> połączenia dającego prawo wyświetlenia kłódeczki to o to zadbał.
Nie zadbał. SSL (obecnie TLS) dba wyłącznie o to, by niedobry Mallory
nie mógł uzyskać dostępu do danych transmitowanych między Alicją
i Bobem.
A tak w ogóle, to TLS jest tylko częścią techniczną, zaś całą reszta
infrastruktury (PKI) jest podatna na takie ataki, że z kłódeczką nie
wiązałbym zbyt wielkich gwarancji.
>> by ten
>> mógł je zweryfikować. Np. policzyć hash i porównać z przechowywanym
>> w bazie.
>
> Hash powinien być liczony w komputerze użytkownika.
I co dalej? Wystarczyłoby uzyskać ten hash (np. z jakiegoś serwera),
i następnie używać go zamiast hasła. Przecież nie trzeba liczyć hasha,
można użyć znanego - to się dzieje pod kontrolą atakującego, na jego
własnym komputerze.
> Hash powinien być liczony w komputerze użytkownika. Hasło nigdy nie
> powinno być przesyłane do serwera.
Niestety tak się nie da dobrze zrobić. Jeśli idziemy w tym kierunku, to
racjonalne jest użycie kryptografii asymetrycznej, nie tylko tak jak to
jest robione w TLS, ale także do autoryzacji wszelkich operacji. Z tym,
że jeśli "typowy klient" (a nawet nietypowy) nie jest w stanie opanować
bezpieczeństwa przeglądarki i w ogóle swojego komputera, to nie wiem jak
miałby panować nad certyfikatami, kluczami itd.
--
Krzysztof Hałasa
Następne wpisy z tego wątku
- 07.06.20 17:07 Krzysztof Halasa
- 07.06.20 19:29 J.F.
- 07.06.20 19:34 J.F.
- 07.06.20 23:14 Krzysztof Halasa
- 08.06.20 07:19 Dominik Ałaszewski
- 08.06.20 15:08 Piotr Gałka
- 08.06.20 15:20 Piotr Gałka
- 08.06.20 15:22 Piotr Gałka
- 08.06.20 15:23 ąćęłńóśźż
- 08.06.20 15:35 Piotr Gałka
- 08.06.20 16:13 Krzysztof Halasa
- 08.06.20 16:16 Krzysztof Halasa
- 08.06.20 16:20 Krzysztof Halasa
- 08.06.20 16:23 Krzysztof Halasa
- 08.06.20 16:33 Krzysztof Halasa
Najnowsze wątki z tej grupy
- wojna wojno a kredyt trzeba spłacać
- Citi... zmiany warunków umowy o kartę kredytową Citibank?
- Millenium czyli DEBILE bankowości
- Chess
- Vitruvian Man - parts 7-11a
- Re: Prawo móżdżek...
- frankowicze odcinek NNN
- O wisienkach
- zysk NBP
- Dostałem nową kartę
- Velobank -- KK Mastercard
- cyrk Kometa
- uczcie się Anglicy
- no w końcu zadzwonił wnuczek
- zbyt silny złoty byłby problemem
Najnowsze wątki
- 2024-05-18 wojna wojno a kredyt trzeba spłacać
- 2024-05-16 Citi... zmiany warunków umowy o kartę kredytową Citibank?
- 2024-05-15 Millenium czyli DEBILE bankowości
- 2024-05-07 Chess
- 2024-05-07 Vitruvian Man - parts 7-11a
- 2024-05-06 Re: Prawo móżdżek...
- 2024-04-29 frankowicze odcinek NNN
- 2024-04-25 O wisienkach
- 2024-04-25 zysk NBP
- 2024-04-23 Dostałem nową kartę
- 2024-04-22 Velobank -- KK Mastercard
- 2024-04-21 cyrk Kometa
- 2024-04-19 uczcie się Anglicy
- 2024-04-16 no w końcu zadzwonił wnuczek
- 2024-04-11 zbyt silny złoty byłby problemem