Widziałem wczoraj w TV reklamę - "Nie loguj się do banku jak jesteś
połączony przez ogólnodostępne wifi bo ktoś ci może wykraść hasło.
Ostrzega mBank."

Mi się wydawało, że sesja jest tworzona między serwerem banku a
komputerem na którym się człowiek loguje więc przez wifi leci już
nieczytelna sieczka.

Ktoś nie pomyślał, czy ja czegoś nie ogarniam?
P.G.

do góry

Cały dynks jest w "między serwerem banku".
Jeśli podłączasz się pod otwarte wifi - i jest ono przejęte lub po prostu ustawione
przez hackera - a to żaden problem, wystarczy ustawić to samo SSID co jakiś popularny
hot-spot - to może być tak ustawione, że przeglądarka połączy się z serwerem
wskazanym przez hakera.
I albo będzie to po chamsku http a nie https - ale niewiele osób zwraca uwagę na
"kłódkę" - albo nawet https, ale z certyfikatem wystawionym na hakera - co prawda np.
firefox wyświetla wystawcę certyfikatu w pasku adresu, ale na to też niewiele osób
zwraca uwagę.
Zapewne sporo trudniej jest oszukać apkę.

do góry

W dniu 2017-12-15 o 11:45, Dawid Rutkowski pisze:

> I albo będzie to po chamsku http a nie https - ale niewiele osób zwraca uwagę na
"kłódkę" - albo nawet https, ale z certyfikatem wystawionym na hakera - co prawda np.
firefox wyświetla wystawcę certyfikatu w pasku adresu, ale na to też niewiele osób
zwraca uwagę.

Dzięki.
To już wiem, czego nie wiem. Człowiek zawsze sądzi po sobie i pewne
rzeczy przyjmuje za oczywiste. Ja przy każdej zmianie certyfikatu
oglądam odcisk palca i znajduję sobie jakieś łatwe do zapamiętania dwa
bajty i przed każdym logowaniem sprawdzam.
To jest takie inne zapamiętanie - nie umiem z pamięci podać tych bajtów,
ale jak widzę odcisk palca, to wiem, że one się zgadzają.

Kiedyś na samym początku historii bankowości internetowej mBank pisał,
żeby sprawdzać, więc sprawdzam. Inne banki nie pisały to u nich nie
sprawdzam :)
P.G.

do góry

Użytkownik "Piotr Gałka" napisał w wiadomości grup
dyskusyjnych:p10b95$25k$1$P...@n...chmurka.ne
t...
W dniu 2017-12-15 o 11:45, Dawid Rutkowski pisze:
>> I albo będzie to po chamsku http a nie https - ale niewiele osób
>> zwraca uwagę na "kłódkę" - albo nawet https, ale z certyfikatem
>> wystawionym na hakera - co prawda np. firefox wyświetla wystawcę
>> certyfikatu w pasku adresu, ale na to też niewiele osób zwraca
>> uwagę.

>Dzięki.
>To już wiem, czego nie wiem. Człowiek zawsze sądzi po sobie i pewne
>rzeczy przyjmuje za oczywiste. Ja przy każdej zmianie certyfikatu
>oglądam odcisk palca i znajduję sobie jakieś łatwe do zapamiętania
>dwa bajty i przed każdym logowaniem sprawdzam.
>To jest takie inne zapamiętanie - nie umiem z pamięci podać tych
>bajtów, ale jak widzę odcisk palca, to wiem, że one się zgadzają.

Strasznie wygodna ta bankowosc internetowa, co nie ? :-)

>Kiedyś na samym początku historii bankowości internetowej mBank
>pisał, żeby sprawdzać, więc sprawdzam. Inne banki nie pisały to u
>nich nie sprawdzam :)

Mbank pare miesiecy temu zmienil certyfikatora, teraz jest DigiCert
... ale czy gdzies napisal, ze bedzie taka zmiana.

Czy nie zmienil, a ja powinienem poszukac kto mi grzebie w sieci ? :-)

J.

do góry

W dniu 2017-12-15 o 13:36, J.F. pisze:
>
> Strasznie wygodna ta bankowosc internetowa, co nie ? :-)

Nawet z dokładnym sprawdzaniem to jednak szybciej niż wybierać się do
bankowości marmurkowej :).

> Mbank pare miesiecy temu zmienil certyfikatora, teraz jest DigiCert ...
> ale czy gdzies napisal, ze bedzie taka zmiana.

https://www.mbank.pl/bezpieczenstwo/bezpieczny-kompu
ter/
Rozwiń "Jaki jest certyfikat ..." Ten bold to aktualny przy logowaniu.

Kiedyś to było mi dość trudno znaleźć.
Potem było tak, że na stronie Loguj były linki i dawało się np. ten
odcisk palca od razu zobaczyć.
Teraz tam nie widzę (może ślepy) - znów było mi trudno znaleźć.

Czy takie roszady to z tego samego powodu, co półki w sklepach co rusz
przestawiają.
P.G.

do góry

W dniu 2017-12-15 o 15:56, Piotr Gałka pisze:
> Teraz tam nie widzę (może ślepy) - znów było mi trudno znaleźć.

Jednak ślepy - szukałem jakoś naokoło.
Na stronie logowania na dole Bezpieczeństwo i pkt.3.
P.G.

do góry

On Fri, 15 Dec 2017 15:56:12 +0100, Piotr Gałka
<p...@c...pl> wrote:

>> Mbank pare miesiecy temu zmienil certyfikatora, teraz jest DigiCert ...
>> ale czy gdzies napisal, ze bedzie taka zmiana.
>
>https://www.mbank.pl/bezpieczenstwo/bezpieczny-komp
uter/
>Rozwiń "Jaki jest certyfikat ..." Ten bold to aktualny przy logowaniu.
>
>Kiedyś to było mi dość trudno znaleźć.
>Potem było tak, że na stronie Loguj były linki i dawało się np. ten
>odcisk palca od razu zobaczyć.

Na "dobrze" podmienionej stronie będą podmienione również te
informacje... Musiałbyś mieć odciski z innego (pewnego) źródła.

WAM
--
www.nawakacje.pl ?
pokoje w górach www.wpolskichgorach.pl
pokoje na Mazurach www.spanienamazurach.pl
pokoje nad morzem www.nadmorze.pl

do góry

W dniu 2017-12-15 o 16:05, WAM pisze:
>
> Na "dobrze" podmienionej stronie będą podmienione również te
> informacje... Musiałbyś mieć odciski z innego (pewnego) źródła.
>

Tym pewnym źródłem są dla mnie te zapamiętane dwa bajty i mniej więcej
wiem kiedy spodziewać się zmiany certyfikatu. Dużo wcześniejsza zmiana
(nawet jakby na stronie było to samo) zapali mi czerwoną lampkę.

Kiedyś (jeszcze za czasów starego systemu) zmienili certyfikat, a nie
poprawili w opisie bezpieczeństwa. Napisałem maila, czy mogę się
zalogować jak to się nie zgadza. Poprawili natychmiast.

Zakładam, że nie da się (chyba) zrobić takiej strony, aby przeglądarka
pokazywała kłódkę i aby odcisk palca wychodził taki sam.
P.G.

do góry

Użytkownik "Piotr Gałka" napisał w wiadomości grup
dyskusyjnych:p10nq6$6n2$1$P...@n...chmurka.ne
t...
W dniu 2017-12-15 o 13:36, J.F. pisze:
>> Strasznie wygodna ta bankowosc internetowa, co nie ? :-)

>Nawet z dokładnym sprawdzaniem to jednak szybciej niż wybierać się do
>bankowości marmurkowej :).

Szczegolnie, ze u mnie marmurki mbank tez zmienia.

Jakby tak falszywy oddzial otworzyc ... tylko ludzie juz rzadko
pieniadze wplacaja.

Wiem - falszywy wplatomat :-)

J.

do góry