-
Data: 2017-05-16 20:18:32
Temat: Re: mBank znowu podnosi ciśnienie
Od: Krzysztof Halasa <k...@p...waw.pl> szukaj wiadomości tego autora
[ pokaż wszystkie nagłówki ]s...@g...com writes:
>> Sprawdzenie ścieżki certyfikatów jest łatwe, ale wymaga komputera,
>> nad którym mamy kontrolę. Jeśli komputer ma zainstalowane wredne
>> oprogramowanie, to niczego nie możemy być pewni.
>
> Jest łatwe jak wiesz co powinno byc w łancuchu certyfikacji.
Nie, nie jest to potrzebne.
Musisz (np. przeglądarka musi) wyłącznie znać odpowiedni zestaw "root
CA" (zawierający w szczególności root CA, od którego zaczyna się
"ścieżka").
Ew. korzystne może też być wykluczenie certyfikatów korzystających
z MD5, ostatnio było to dość mocno atakowane.
> Dziś większość antywirusów podmienia certyfikaty i jak zajrzysz to
> widzisz scieżkę i wszystko jest zielnie i wogóle cacy.
Nie wiem o jakie antywirusy chodzi, ale jeśli mamy złamany komputer, to
może on nam wyświetlać jakie mu się podobają "ścieżki", i nic to nie daje.
> Ale jak nie masz informacji na stronie banku jak powinien ten łańcuch
> wyglądać to nie wiesz czy jest taki jak ma byc czy jest dobrze
> zrobiony ale oszukany.
https://pl.wikipedia.org/wiki/Infrastruktura_klucza_
publicznego
https://pl.wikipedia.org/wiki/Certyfikat_klucza_publ
icznego
>> > A ja bym chciał aby był url z obrazkiem z numerkami certyfikatu i
>> > scieżki certyfikacyjnej aby ktos mi mógł taki obrazek przysłać albo
>> > przeczytać abym mógł szybko sprawdzić czy ktos mi przeglądarki nie
>> > oszukał.
>>
>> I to by miało coś gwarantować?
>>
>
> Oczywiscie. Jak bank opublikuje jak powinien wyglądać ciag
> certyfikacyjny wraz z numerami seryjnymi i modulo to ja wiem co
> powinno być widoczne w przeglądarce.
> Zrobienie certa zawierającego takie numerki jak w poprawnym jest dziś dosyc
trudne...
Ale spowodowanie (np. przez wirusa), by przeglądarka wyświetlała
dokładnie taki obrazek "jak powinien być" jest już zupełnie proste.
> No nie, Jak ktos ci zawirusował komputer to jaka jest szansa ze nie
> wlazł w komórke? OK. Jak to głupia komórka to spoks (choć ostatnio u
> niemców kody sms tez zhackowali na poziomie sieci gsm). smartfony tez
> są hackowane i po bezpieczeństwie nici.
Jest pewne ryzyko, ale jest ono dużo mniejsze niż w przypadku tylko
samego komputera, o którym wiemy, że jest "zawirusowany".
> W takim wypadku tylko hasla jednorazowe i token.
Hasła jednorazowe nie sprawdzają treści dyspozycji. Podobnie "zwykły"
token.
Oczywiście "token", który pokazuje szczegóły np. przelewu, jest dużo
bardziej bezpieczny.
> Tak czy siak, mialem taki problem i szukalem na stronie banku
> opublikowanych certyfikatów aby je porównać z tymi widzianymi w
> komputerze. Nie znalazłem w takiej formie jak napisalem. Musialem
> zalozyc ze inny komp jest czysty i porównać z widocznymi na tamtym...
BTW certyfikat może się zmienić w dowolnej chwili. Co z tego że
sprawdzisz podczas logowania. Jeśli przeglądarka nie sprawdza
prawidłowości certyfikatu, to sprawa jest z góry przegrana. Szukanie
czegokolwiek tego typu na stronie banku to nieporozumienie
(niezrozumienie idei PKI).
--
Krzysztof Hałasa
Następne wpisy z tego wątku
- 17.05.17 11:30 s...@g...com
- 17.05.17 22:46 Marek
- 18.05.17 10:28 Dawid Rutkowski
- 19.05.17 16:01 Krzysztof Halasa
- 19.05.17 17:55 Marek
- 19.05.17 18:27 Dawid Rutkowski
- 19.05.17 23:12 Marek
- 20.05.17 02:03 s...@g...com
- 20.05.17 07:40 cef
- 20.05.17 08:39 Marek
- 20.05.17 11:15 cef
- 21.05.17 02:20 J.F.
- 21.05.17 17:27 Krzysztof Halasa
Najnowsze wątki z tej grupy
- Chess
- Vitruvian Man - parts 7-11a
- Re: Prawo móżdżek...
- frankowicze odcinek NNN
- O wisienkach
- zysk NBP
- Dostałem nową kartę
- Velobank -- KK Mastercard
- cyrk Kometa
- uczcie się Anglicy
- no w końcu zadzwonił wnuczek
- zbyt silny złoty byłby problemem
- Re: VATafera
- Karta Revolut a Allegro
- VeloBank przejęty przez amerykanski fundusz
Najnowsze wątki
- 2024-05-07 Chess
- 2024-05-07 Vitruvian Man - parts 7-11a
- 2024-05-06 Re: Prawo móżdżek...
- 2024-04-29 frankowicze odcinek NNN
- 2024-04-25 O wisienkach
- 2024-04-25 zysk NBP
- 2024-04-23 Dostałem nową kartę
- 2024-04-22 Velobank -- KK Mastercard
- 2024-04-21 cyrk Kometa
- 2024-04-19 uczcie się Anglicy
- 2024-04-16 no w końcu zadzwonił wnuczek
- 2024-04-11 zbyt silny złoty byłby problemem
- 2024-04-04 Re: VATafera
- 2024-04-04 Karta Revolut a Allegro
- 2024-03-29 VeloBank przejęty przez amerykanski fundusz