196
Sítě / Re:Bezpečnost a soukromí v domácí síti
« kdy: 25. 04. 2022, 03:15:19 »By ma zaujimalo, co to konkretne bolo. Mozete sa podelit? Ja som v primabanke nasiel peknu vec, ze ked platbu musi potvrdit druha osoba (dvaja majitelia spolocnosti s pravon nakladat s majetkom spolocne), tak pri trvalych platbach sa potvrdenie druhou osobou nepozadovalo... Fixli to asi do mesiaca. A tiez nieco podobne mali vo fiobanke. Teda kategoria aplikacna chyba.
Bylo to u České Spořitelny, tehdy nebylo HTTPS vynucováno, takže když člověk šel na www.servis24.cz, tak ho to z HTTP přesměrovalo na HTTPS. Ovšem pokud si člověk otevřel jiný web HTTPS a vzal si session id, tak ho mohl aplikaci podstrčit při HTTP a jak se to přesměrovalo na HTTPS tak se pak použilo to samé session id, které bylo získáno přes HTTP. Člověk tak mohl nadhárně dělat MITM. Prostě na HTTP podstrčil session id a pak na jiném počítači v pohodě mohl chodit internetovým bankovnictvím. Přičemž taková blbost, u Cookie byl špatně nastavený flag.
A na takových věcí jsem přišel i u jiných velkých firem.

NAT rozhodně nesupluje funkci firewallu. Navíc zvláště v době kdy spoustu lidí má IPV6 a každé zařízení má public ip mě to přijde poněkud úsměvné. Krom toho si představte, že dneska máme spoustu smart zařízení. Televize, pračky, vypínače, světla, žárovky... Které se připojují do internetu. Každé takovéhle zařízení v případě hacknutí lze použít jako proxy pro další hacky na síti.