Zobrazit příspěvky

Tato sekce Vám umožňuje zobrazit všechny příspěvky tohoto uživatele. Prosím uvědomte si, že můžete vidět příspěvky pouze z oblastí Vám přístupných.


Příspěvky - Filip Jirsák

Stran: [1] 2 3 ... 400
1
Server / Re:Nastavení DNS na hosting web a email server
« kdy: 12. 01. 2025, 18:28:45 »
vfko popsal většinu DNS záznamů, které potřebujete nastavit pro e-mail. Chybí ještě nastavení reverzního záznamu pro IP adresu – A záznam povede na IPv4 adresu vašeho druhého VPS serveru, AAAA záznam na jeho IPv6 adresu. A k nim potřebujete reverzní záznamy – tedy u provozovatele druhého VPS nastavit, že IPv4 adresa vašeho serveru má název box.onnkoněco.cz a IPv6 adresa serveru také název box.onnkoněco.cz. Zejména kdyby chyběl ten záznam u IPv4 adresy, bude spousta vašich odchozích e-mailů končit ve spamu.


Pokud pro TLS certifikáty (SSL protokol byl už dávno nahrazen protokolem TLS) použijete Let's Encrypt certifikáty, které jsou zdarma, počítejte s tím, že jejich platnost je pouhé tři měsíce. Takže to nechcete řešit nějak ručně, ručně je vystavovat nebo je někam kopírovat. TLS certifikát se váže vždy na doménové jméno, takže bude jiný pro web a jiný pro e-mail. Pro web to bude jednoduché, pro ně existuje spousta hotových řešení. Na tom e-mailovém serveru ale předpokládám budete mít také nějaké webové rozhraní, takže vyřešte vystavování certifikátu pro něj a pak ten stejný certifikát použijete i pro e-mail. Bude to asi vyžadovat napsání nějakého skriptu, který se zaháčkuje do procesu vydávání certifikátu pro web, ale to spousta nástrojů pro vydávání certifikátů podporuje.

Každopádně pokud se takhle musíte ptát, na vašem místě bych pro e-mail spíš zvolil nějakou službu. Provozovat e-mailový server není jednoduché, pořád musíte řešit, aby vaše e-maily někde nepadaly do spamu a že naopak příchozí e-maily u vás do spamu padají, když by neměly, nebo naopak nepadají, když by měly… Pokud byste přeci jen chtěl jít cestou, že se to vše sám naučíte, budete toho muset hodě nastudovat. Tady dostanete jen pár zkratek, co vše řešit, ale kompletní příručku jak nastavit a provozovat webový a poštovní server tady neodstanete.

2
Jenom explicitně doplním jeden detail – přesně tak, jak to popisujete, tu bezpečnost vnímají např. banky a je zapracována v různých bezpečnostních aplikacích (autentizační aplikace, mobilní bankovnictví apod.). Tj. bezpečnost se bere (dnešní implementace v mobilech): sken obličeje < otisk prstu < PIN.

Uživatel obvykle používá buď sken obličeje nebo otisk prstu, takže se s tím nesetká, ale jsou situace, kdy sken obličeje není postačující ale otisk prstu stačí.

3
A viděl jste snad internetové bankovnictví? Otisk prstu se dá získat ze skleničky a možná se nějaký otisk najde na telefonu samotném
Jo, a zkoušel jste to? Bude vás to stát míň, než kolik je limit platby potvrzené otiskem prstu?

nedá se říct že jedno je bezpečnější než druhé, vždy platí za nějakých okolností (zda nosím  "ten PIN" do  smartphone bankovnictví nebo login údaje do internet.banking vyrytý do zadní stěny telefonu ) nebo zda telefon má primitivní čtečku skenu obličeje která se dá ošálit přilepením vytisklé fotky na obličej nebo že otisk prstu není bezpečnost(ní zvyšující )prvek ale  (bezpečnost) zjednodušující prvek, funguje, pokud zloděj najde telefon kdesi na zemi a nedokáže zjistit otisk prstu
Bezpečnější než kód poslaný SMS je to vždy. Ono mimochodem tu bezpečnost také hodně ovlivňuje chování uživatelů. Takže to, aby neměl uživatel vyrytý bankovní PIN na zádech telefonu, má banka do značné míry v ruce – tak, že umožní klientovi obsluhovat bankovnictví tak, aniž by potřeboval mít PIN vyrytý na telefonu.

Mimochodem, když banka povolí autorizaci platby pomocí SMS, co by udělala spousta lidí? No otevřou si internetové bankovnictví v prohlížeči v mobilu, tam zadají transakci, nechají si na ten samý mobil poslat SMS a tou platbu potvrdí. Co pak udělá útočník? Pošle uživateli odkaz na nějaký super prohlížeč, který mu bude úplně sám blokovat veškerou reklamu. Uživatel tomu prohlížeči pak povolí čtení SMS, a útočník má všechno, co potřebuje. A uživatel se bude hrozně divit, vždyť přece používal ten hrozně bezpečný prohlížeč.

odborník dokáže věci pochopit, že věci závisí na mnoha faktorech a dalším způsobu použití
Strefujete se do špatného. Já jsem oponoval tvrzení, že je důležitý počet zařízení. A tvrdil jsem, že důležitý je počet faktorů a jejich bezpečnost.


ne jen slepě papouškovat reklamní tvrzení, že smrt-phone banking je bezpečnější protože je novější
Kde tady někdo něco takového tvrdil?

rozdíl mezi smartphone bankingem a internetovým bankovnictvím je ten, že v případě smartphone bankingu je bankovnictví nedílně vázáno na ten daný kus smartphonu a, kdežto internetové bankovnictví na žádné zařízení vázané není
Hm, jako bych tohle v této diskusi už četl. Teda, vlastně, já jsem to v této diskusi už psal.

Možná příště, až se mnou zase budete chtít polemizovat, zkuste napsat něco, co jsem nepsal. Zatím se vám to povedlo v jediném případě – bohužel zrovna tehdy, když jste parafrázoval něco, co jsem údajně měl napsat.

4
Odkladiště / Re:Zkušenosti s internetovým bankovnictvím
« kdy: 09. 01. 2025, 16:13:33 »
Proto jsem v počátku psal, že o vaši reakci nestojím. Neobsahuje často argumenty, je jen urážlivá.
To jste si popletl. Urážlivé jsou příspěvky uživatelů Trident Vasco, technomaniak, jirsk – a od vás. Já jsem nic urážlivého nepsal, a uvádím argumenty.

Jak jsem psal v úvodu, řešil jsem odborné lidi, nikoli BFU.
To jste se ovšem polně minul se zadáním. Bankám totiž nestačí zabezpečit bankovnictví pro pár odborníků. Banky je potřebují zabezpečit pro všechny své klienty – tedy i pro ty, kteří si myslí, že jsou odborníci, ale nejsou, i pro tu většinu, která počítačové bezpečnosti nerozumí a přiznává si to.

Samotné technické řešení jednoho jediného zařízení ve kterém se sejde více faktorů je méně bezpečné než když se faktory sejdou odděleně a člověk je musí spojit.
To není pravda. Ukázal jsem vám příklad, kdy jste měl 5 zařízení, a bylo to stejně nebezpečné, jako kdyby to bylo jedno zařízení. Nezáleží na počtu zařízení, záleží na počtu a síle faktorů.

Potvrzovací SMS s infomací co je potvrzováno není vyšší level zabezpečení, je to prostě standart.
Já jsem neřešil, zda je to standard nebo nadstandard. Porovnával jsem dvě různé úrovně zabezpečení.

Každé elektronické zařízení je nutno z principu považovat za děravé, žádný software není na 100% dokonalý
To neplatí je o elektronických zařízeních, ale o všem. O nelektronických zařízeních, o papíru a tužce, o lidech.
A hlavně je to tvrzení bezpečnostně naprosto nerelevantní. Bezpečnost totiž není ano/ne, není to digitální veličina, nýbrž je to veličina spojitá.

a radeji si chybu udělám já než aby to udělalo zařízení za mě
To je ovšem přístup, který bezpečnost snižuje.

ano odlišuju se od BFU, jak jsem psal, ty jsem neřešil.
Ano, z hlediska bezpečnosti jste na tom hůř než BFU. BFU aspoň používá ta bezpečnostní opatření, která mu nějaký odborník připravil a vhodně mu je podstrčil – třeba v bance mu nainstalují mobilní bankovnictví. Vy nemáte lepší informace o bezpečnosti než BFU, jenom navíc věříte nějakým nesmyslům, které vás vedou k tomu, že bezpečnost aktivně bojkotujete.

Máte každopádně můj obdiv za to, že se takto veřejně ztrapňujete. Osobně bych vás na žadné pozici nezaměstnal :)
Lidé, kteří aspoň něco tuší o bezpečnosti, vědí, který tábor v této diskusi je který. Ostatně i ten, kdo si podívá, na které straně výrazně převažují argumenty a na které nadávky, v tom má jasno.

Nemluve o tom, ze sme porad u toho, ze ti ten mobil fyzicky seberu.
Viděl jste někdy nějaké mobilní bankovnictví? A viděl jste vůbec někdy nějaký chytrý mobil? Protože do bankovnictví se nedostanete bez přihlášení alespoň otiskem prstu, skenem obličeje nebo zadáním PINu. A obvykle je něčím takovým chráněn i přístup do samotného mobilu. Takže to, že někomu fyzicky seberete mobil, fakt neznamená, že byste se dostal do banky.

5
Odkladiště / Re:Zkušenosti s internetovým bankovnictvím
« kdy: 08. 01. 2025, 22:58:38 »
Mě ale v potvrzovací SMS s kodem chodí číslo proti účtu a částka, takže kde je problém?
Aha, takže vyššího zabezpečení nedosáhnete vyšším počtem zařízení (jak jste tvrdil), ale bezpečnějšími faktory. Nebo větším počtem faktorů, to ale z vaší odpovědi neplyne.

Mimochodem, ještě lepšího zabezpečení byste dosáhl, kdyby vám to nechodilo jako SMS, ale zobrazovalo by se to přehledně v aplikaci. Protože přehledné zobrazení v aplikaci by vás více motivovalo k tomu, abyste ty údaje opravdu zkontroloval a zmenšilo by to pravděpodobnost přehlédnutí nějaké nesrovnalosti.

6
Odkladiště / Re:Zkušenosti s internetovým bankovnictvím
« kdy: 08. 01. 2025, 19:39:24 »
ČSOB má dvě aplikace do mobilu. Jednou se dostanete do mobilního bankovnictví a druhá (Smart klíč) je na ověření jak mobilního bankovnictví tak i bankovnictví přes prohlížeč.
Pravděpodobně to bude jen dočasné, kdy ta aplikace pro ověřování vznikla z nutnosti řešit bezpečnost, zatímco mobilní bankovnictví jako poskytnutí služby, kterou má spousta bank okolo a zákazníci to chtějí. Raiffeisenbank to také původně měla ve dvou aplikacích, ale pak to logicky sloučili do jedné – protože to drtivá většina klientů chce, je to pro ně jednodušší na ovládání, a i pro banku je jednodušší vydávat jednu aplikaci a ne dvě.

7
Odkladiště / Re:Zkušenosti s internetovým bankovnictvím
« kdy: 08. 01. 2025, 18:16:32 »
Jste docela odvážní na odborném serveru tvrdit, že používaní bankovníctvi na jednom, opakuji jednom zařízení bezpečnější než kombinace desktopu + ověřovací sms tj dvou koncových zařízení.

Nejde o počet zařízení, ale o počet faktorů. Už to tu několikrát zaznělo, ale holt pro BFU je tohle dost obtížně pochopitelné.

Pokud se faktory sejdou v jednom zařízení, a je jedno zda dva či dvacet je pořád potíž pokud je to jedno zařízení kompromitováno. Pokud se dva faktory sejdou odděleně ve dvou různých zařízenich a pak až uživatel je "spojí" tak je to násobně bezpečnější. Ale to je pro zabedněnce dost těžko pochopitelné. A je mě jedno, že two faktor toto umožnuje, je to zhovadilost.
Zjevně tu máme dva tábory. Jeden tábor neuvádí žádné konkrétní příklady útoků, omezuje se na obecné „když to selže“ a za nejpádnější argument považuje označit ostatní za zabedněnce nebo tvrdit, že blábolí. Tento tábor tvrdí, že nezáleží na počtu a síle faktorů, ale na počtu zařízení.

Pak tu máme druhý tábor, do kterého patří odborníci na bezpečnost, ať už „obecní“ nebo z bank a z orgánů bankovního dohledu. Dále do tohoto tábora patří také diskutující L.. a _Tomáš_ (čímž je nevylučuji z předchozí skupiny odborníků, nevím, zda tam patří nebo ne), do tohoto tábora patřím i já (a nejsem odborník na bezpečnost). Tento tábor tvrdí, že záleží na počtu nezávislých faktorů a jejich síle a nezáleží na počtu zařízení. (Například proto, že není jasné, co je vlastně zařízení.)

Každý si může vybrat, kterému táboru bude fandit.

Jako pomůcka může sloužit takový drobný příklad. Zadáte příkaz k úhradě na počítači, a ten příkaz na počítači potvrdíte 4 hesly: zadáte své heslo k bankovnictví; zadáte jednorázové heslo, které vám přijde SMS (přijde identifikátor platby a jednorázové heslo, nebude tam číslo účtu nebo částka); zadáte jednorázové heslo, které vám nadiktuje automat, který vám zavolá na jiné číslo (které máte v jiném mobilu) – opět nadiktuje jen identifikátor platby a jednorázové heslo; a zadáte další heslo ze seznamu jednorázových hesel, který jste dostal vytištěný při poslední návštěvě banky a postupně si z nich hesla odškrtáváte. Takže tam zadáte čtyři různá hesla ze čtyřech různých zařízení – a stejně vám to bude houby platné, protože útočník, který ovládá váš počítač, přesměruje vaši platbu na svůj účet. Prostě jen vymění číslo účtu, které  se odešle do banky.

8
Server / Re:VPS freebsd
« kdy: 05. 01. 2025, 15:16:06 »
Standard je, že se to administruje přes terminál (přes SSH). Případně tam můžete mít nainstalovaný nějaký software pro vzdálenou administraci přes web, např. Plesk. Nainstalovat si tam nějaké desktopové prostředí a k němu se vzdáleně připojovat by asi také teoreticky šlo, ale nikdy jsem neslyšel o tom, že by to tak někdo používal.

Pozor na to, že jsou různé způsoby, jak je ta virtualizace řešená, a ne každý způsob vám umožní rozběhnout uvnitř další virtualizaci, navíc ještě s Windows. Pro tohle využití by byl lepší fyzický server, kde takovéhle omezení mít nebudete.

9
Odkladiště / Re:Zkušenosti s internetovým bankovnictvím
« kdy: 05. 01. 2025, 14:07:46 »
Naprosto souhlasím s p. Kučerou. Toto by se mělo vytesat do kamene a ten postavit do vchodu banky tak, aby o něj její vedení pravidelně klopýtalo při příchodu a odchodu z práce.
Nejdřív mě ve Spořitelně přesvědčili abych používal George klíč, a pak když ho za půl roku zrušili, tak se hodně divili že se chci vrátit zpět k SMS.

Pokud přijdu o MT (závada, krádež, spadne mi do záchodu,...), tak zprovoznit náhradní SIM kartu pro volání + SMS je otázka 1-2 hodin, ovšem bankovní aplikace, ... kdo ví ..., a také - i když to může jít snadno zrovna teď - bude tomu tak i za rok?

Na mé argumenty o dvou různými zařízeních pokud možno s různými technologiemi (PC pro zadávání plateb a MT pro autorizaci) koukali jak na zjevení. Ale na druhou stranu se to dá pochopit - pokud většina jejich klientů má na účtu nevelkou částku. asi se jim nevyplatí investovat do vyššího zabezpečení.
Ale upravit tu jejich mobilní aplikaci tak, aby se s ní dalo pouze autorizovat platby a nic jiného - to by snad tak těžké být nemuselo.
Mobilní bankovnictví je řádově bezpečnější, než posílání nešifrované SMS. Myslí si to bezpečnostní odborníci, myslí si to banky, myslí si to bankovní dohled. To, že si laik Libor myslí opak (bůhví proč, žádné argumenty neuvádí), na tom nic nemění.

10
Odkladiště / Re:Zkušenosti s internetovým bankovnictvím
« kdy: 05. 01. 2025, 12:13:05 »
Ehm, historicky se bezpečnostní chyby umožňující získání roota stávají mnohořádově častěji než prolomení běžně používané asymetrické kryptografie.
To je úplně jedno, že je to častěji. Podstatné jsou dvě věci – závažnost chyby a její pravděpodobnost.

Že se toho masivně nezneužívá neznamená, že to nejde. Jen jsou jednodušší způsoby jak krást peníze.
To je to podstatné.

Naprosto vůbec nic? No tak to bych si asi měl začít hledat novou práci, ach jo. :D
Nevíte ty nejzákladnější věci. Že bezpečnost=nebezpečnost se neposuzuje podle počtu chyb, ale podle jejich závažnosti a pravděpodobnosti. Že bezpečné není jen to, co je absolutně neprolomitelné (což není nic), ale to, kde náklady na prolomení jsou vyšší než to, co bych prolomením získal.

Já zase nemůžu důvěřovat proprietárnímu softwaru a zařízení, které může na dálku ovládat někdo další (Google, Apple, tajné služby atd.).
Takže nemůžeš důvěřovat ničemu. Jinak bezpečnost bankovnictví (mobilního, internetového nebo fyzického na pobočce) není proto, aby chránila tebe, ale aby chránila banku. To, že tím banka chrání i tebe, je jenom proto, že aby banka chránila sebe, musí do určité míry chránit i své klienty. A nechci nějak podceňovat, kolik máš na účtě v bance, ale nemyslím si, že by si Google nebo Apple nějak pomohl, kdyby ti účet vybílil.

Já bych řekl, že záleží. Jak na počtu zařízení, tak komunikačních kanálů. Napadnout počítač a mobil dá útočníkovi víc práce než napadnout jen počítač nebo jen mobil. Stejně tak s těmi komunikačními kanály - můžeme se sice vysmívat chatrnému zabezpečení SMS nebo psát o tom, že útočník může mít komplice u operátora... ale pořád je složitější prolomit dva komunikační kanály než jeden.
Ne, nezáleží. U vícefaktorové autentizace záleží ne počtu faktorů a jejich bezpečnosti. Ostatně, co bys vlastně počítal jako zařízení? Když OTP vygeneruju na mobilu a zadám ho do počítače, jsou to dvě zařízení nebo jedno? A pokud jedno, tak které – počítač nebo mobil?

11
Odkladiště / Re:Zkušenosti s internetovým bankovnictvím
« kdy: 05. 01. 2025, 10:44:54 »
Takhle jsou ale oba přes jedno zařízení.
Na počtu zařízení nezáleží.

Jedna bezpečnostní chyba stačí na to, aby si útočník převedl vaše peníze kam chce.
Takhle ale bezpečnost nefunguje. Bezpečnost se posuzuje podle dvou kritérií – závažnost chyby a její pravděpodobnost. Je spousta jiných případů „jedné chyby“, které mohou položit bezpečnost celého internetového bankovnictví. Třeba prolomení asymetrické kryptografie. Jenže riziko je tak nízké, že s ním banky dokážou bez problémů žít. A to samé se týká té vaší hypotetické bezpečnostní chyby v Androidu/iOS.

Citace
Android i iOS jsou pro bankovnictví dostatečně bezpečné systémy.
Ne, nejsou. Malware může získat root oprávnění a mít plnou kontrolu nad zařízením, třeba ukázat pozměněnou platbu v bankovní aplikaci. Ta se tomu obecně nemá jak bránit, její kod si útočník může libovolně měnit.
No, jsou. Shodují se na tom banky i odborníci na počítačovou bezpečnost. Vaše názory jsou irelevantní, když o počítačové bezpečnosti nic nevíte.

Pro představu jsem dával odkaz na CVE statistiky.
Ano, já jsem si na základě toho odkazu udělal představu, že o bezpečnosti nic nevíte.

Banky dělají jen minimum nezbytné pro to, aby nepřišly o licenci. Skutečná bezpečnost je nezajímá, pracují s tím, jaké útoky se aktualně dějí. Klienti chtějí hlavně pohodlí. A útočníci nebudou ztrácet čas psaním root exploitů, když fungují mnohem jednodušší a levnější útoky. To ale neznamená, že bankovní aplikace jsou bezpečné. Jen to zatím není velký problém.
Bankovní aplikace jsou natolik bezpečné, aby klienti používaly služby banky a zároveň to banku nestálo víc, než kdyby aplikace víc zabezpečila. Což je v pořádku. Vy si taky domů nebudete pořizovat trezor za 100 000 Kč, abyste do něj pak uložil 10 000 Kč.

12
Odkladiště / Re:Zkušenosti s internetovým bankovnictvím
« kdy: 04. 01. 2025, 18:41:49 »
ked uz spamujete, tak aspon inteligentne.
Příště si tohle blábolení nechte pro sebe. Na rozdíl od vás aspoň nepíšu o věcech, o kterých nic nevím.

To co pisete je mozne uplne bez problemov aplikovat na bezny IB na pocitaci: mate nieco na com to bezi (identifikovane konkretne domace PC) a nieco co poznate (PIN).
Fakt chcete niekomu nahovorit, ze to je 2FA v uspokojivej podobe?
Ne, nikomu to namluvit nechci. Také jsem nic takového nenapsal. Je to 2FA v neuspokojivé podobě, proto to také banky nepoužívají.

Cela bezpecnost appiek na telefone je zalozena na jedinej veci: dovere v OS na ktorom to bezi. (ktory vam povie, ze otlacok prsta je v poriadku a ze kluc v ulozisku nie je skopirovany).
Ne, důvěra v OS je podmínka nutná, nikoli postačující. Dále je potřeba například důvěryhodné úložiště klíčů, ze kterého nejde klíč získat s vynaložením rozumných nákladů. No a právě proto, že je potřeba důvěra v OS, obvykle se bankovní aplikace brání provozu na rootnutém systému, protože takovému systému důvěřovat nemohou.

13
Software / Re:rsync se nezastavi na chybe
« kdy: 04. 01. 2025, 13:48:30 »
Pro kopírování dat z poškozených médií je lepší ddrescue. Ve vašem případě je pravděpodobné, že rsync ta chybná data dostává od něčeho před sebou, tipoval bych řadič toho USB disku.

14
Odkladiště / Re:Zkušenosti s internetovým bankovnictvím
« kdy: 04. 01. 2025, 13:11:38 »
Vy jste tvrdil, že mobilní aplikace jsou tak bezpečné, že není potřeba druhý faktor.
Netvrdil. Například proto, že bankovní aplikace používají dva faktory – prokazujete jimi, že 1. něco máte (konkrétní mobil, ve kterém je uložený klíč) a že 2. někdo jste (otiskem prstu, skenem obličeje) nebo něco znáte (PIN).

K tomu by minimálně byl potřeba bezpečný OS, ale to Android ani iOS není, jak ukazuje existence velkého množství závažných bezpečnostních chyb.
Android i iOS jsou pro bankovnictví dostatečně bezpečné systémy. Ani existence závažných bezpečnostních chyb sama o sobě neznamená, že by ty systémy nebyly použitelné pro elektronické bankovnictví (např. pokud by systém umožnil bez vědomí uživatele aktivovat kameru, je to závažná bezpečnostní chyba, ale bankovnictví to nijak neohrozí). Statistika historických CVE navíc existenci velkého množství závažných bezpečnostních chyb neukazuje.

Třeba tady jsou nějaké vypsané:
https://www.tomsguide.com/news/dangerous-android-trojan-can-drain-your-bank-accounts-how-to-stay-safe
Nějak tam postrádám informaci o tom, jaké bezpečnostní chyby v systému ta aplikace zneužila. Naopak tam vidím zneužití funkce zobrazení překryvných oken, což je přesně to, před čím bankovní aplikace varují (a pak si tu někdo stěžuje, že nejdou používat na rootnotých telefonech – tohle je právě ten důvod).

Narušení soukromí, třeba posíláním seznamu aktivit na telefonu, kontaktů, zpráv, jmen souborů na disku apod.
Jak by se k těm datům aplikace dostala, když jí nedáte oprávnění? K čemu by bance takové informace byly?

Už si nevzpomínám co tam všechno bylo, ale nic podezřelého jsem tam neviděl, byly to velmi krátké zprávy. To mi stačilo na to, abych věřil Fio, že se nesnaží dolovat data ze všeho kde by to šlo a nahradil tou jejich aplikací SMS jako druhý faktor.
Takové práce to dalo a přitom taková blbost…

15
Odkladiště / Re:Zkušenosti s internetovým bankovnictvím
« kdy: 04. 01. 2025, 10:04:18 »
Jestli si někdo myslí, že bankovní aplikace běžící na mobilu je v bezpečí před jinými aplikacemi, doporučuji se podívat na statistiky CVE Androidu/iOS, třeba tohle:
https://www.cvedetails.com/product/19997/Google-Android.html?vendor_id=1224

Představy, že všichni mají telefony stále podporované výrobcem a mají nainstalované poslední aktualizace, jsou úplně mimo. To, že se zatím masivně neútočí na aplikace našich malých bank neznamená, že se někdy někomu neoplatí tomu čas věnovat.

Ohledně kontroly rootu na telefonu, tak třeba aplikaci od Fio to nevadí, není třeba root maskovat. Pokud bych neměl možnost si zkontrolovat jaké data posílá v PCAPdroidu, tak ji nepoužívám (pouze jako druhý faktor samozřejmě).
Statistiky CVE ovšem vůbec nevypovídají o tom, jestli je jedna aplikace schopna napadnout jinou aplikaci. A to ani kdyby CVE vyjadřovalo skutečně to, jako co se prezentuje.

O představě, že všichni mají telefony stále podporované výrobcem a mají nainstalované poslední aktualizace, tu píšete jediný vy. Když se nevyplatí útočit na aplikace našich malých bank, na aplikace velkých zahraničních bank se přes chyby v softwaru útočí? Na které banky například?

Jaká data tedy aplikace Fio posílá? A jak víte, že vždy posílá jen to, co jste odpozoroval? Že si se svou případnou záškodnickou činností nepočká třeba měsíc od instalace? A v čem by ta záškodnická činnost bankovní aplikace spočívala?

Stran: [1] 2 3 ... 400