Poslední příspěvky

1

Odkladiště / Re:Zkušenosti s internetovým bankovnictvím

« Poslední příspěvek od Filip Jirsák kdy Dnes v 18:11:07 »

Pobavilo. Na vině jsou spíše samotné prohlížeče a to jak fungují. Banky by mohli provozovat desktopovou aplikaci a splnili by veškeré nároky, ale její instalace je značně nepohodlná, vývoj příliš drahý a ještě by to nemuselo fungovat na všech počítači kvůli potřebě mít HW uložiště klíčů.

To musíte mít radostný život, když vás realita pobaví. Prohlížeče jsou ty nejbezpečnější aplikace na počítačích. Problém je v tom, že všechny aplikace na desktopu běží pod jedním uživatelem, nejsou z pohledu OS nijak oddělené. Je vám k ničemu, že by aplikace měla uložené klíče bezpečně v HW, když přes ni může kterákoli jiná aplikace kreslit nebo získat její vstup.

Prosím, prosím, méně spekulací. I FIDO2 umožňuje challenge&reponse. Yubikey k tomu má pak appku, která vstup zobrazí.

Což je pořád k ničemu, když ta aplikace běží na tom počítači.

Prohlížeče dnes neumí ani bezpečně uchovávat session cookies

Třeba session storage podporují všechny dnešní prohlížeče, to jde pro bezpečné uložení session cookies použít.

Je zajímavé, že SMS jako druhý faktor přestává stačit, ale mobilní aplikace s jedním faktorem stačí. Jde zadat a také potvrdit platbu na jednom zařízení. Přitom vychází studie o tom kolik aplikací ve storech je malware.

Nevím, co je na tom zajímavého. Přístup k SMS může mít spousta lidí, mobilní aplikace je podstatně bezpečnější.

Pochybné appce stačí uniknout ze sandboxu, k tomu privilege escalation a může si potvrzované bankovní transakce upravovat k libosti.

Nebo útočníkovi stačí telepaticky v hlavě změnit to, co v aplikaci vidí. Ono jaksi nede jen o to, že napíšete „stačí jen“, také je potřeba vědět, jak obtížné to je. Teoreticky je možné prolomit všechno, včetně současných nejlepších šifer. Podstatné je, že to nikdo neumí prakticky.

Tohle by mě zajímalo btw. Já žiju ve světě, kde session cookie uměla zmizet se zavřením tabu už před více než 15 lety. Jak se to stane v dnešní době, že se o session má starat javascript? Sleduju spíš opačný trend - session (a jiné důležité) cookies mají httpOnly flag a nejsou javascriptu z bezpečnostních důvodů vůbec dostupné.
Session cookie tady na rootu dokonce umí zmizet v průběhu psaní komentáře

Je to uložené v session storage, kam mají přístup jenom skripty z webové stránky z dané domény. Se zavřením tabu se to smaže. Že je to přístupné z JavaScriptu ničemu nevadí, protože JavaScript provádí všechny ostatní rizikové operace. Takže kdyby útočník měl možnost spouštět na daném webu JavaScript, stejně může napáchat spoustu škod (třeba vám zobrazí číslo účtu, které chcete vidět, ale zadané bude jeho číslo účtu). Pro to, aby útočník nemohl do webu vložit svůj vlastní JavaScript, existují zase jiné ochrany – CSP.

Cookies mají tu nevýhodu, že je odesílá prohlížeč automaticky s každým požadavkem. Pokud máte aplikaci na více poddoménách (třeba přihlášení na jedné poddoméně a aplikaci na jiné, protože to přihlášení je třeba společné pro více aplikací), musí ta cookie být nastavena tak, že je dostupná pro všechny poddomény. Pak stačí jedna aplikace na nějaké subdoméně, která bude mít nějakou díru, a útočník se k session cookie dostane. Ukládat tajemství do cookies je daleko rizikovější, než ukládat ho do session storage.

2

Odkladiště / Re:Zkušenosti s internetovým bankovnictvím

« Poslední příspěvek od Michal Šmucr kdy Dnes v 18:04:40 »

Pokud mám možnost nainstalovat ověřovací appku na více zařízení, je to možné řešení, ačkoliv je to trochu rovnák na vohejbák - člověk musí udržovat více telefonů/tabletů. Ale stejně nějaký starší mám vždy v šuplíku...

Dvoufaktor mám všude vyřešený vícenásobnou zálohou. Ale nikde to není pomocí dvou telefonů/tabletů, jsou to prostě různé metody.

Já jsem právě taky klidnější, pokud můžu mít nějakou formu záložního ověřování. U nějakých obecných TOTP ověření je to jednodušší, ale mám těch různých služeb i pracovně vcelku dost a někdy jsou to prostě vynucené speciální aplikace, takže starý mobil mi přišel nejjednodušší řešení. A s KB klíčem to fungovalo bez problémů, prostě jsem přidal další ověření přes nastavení KB profilu na webu. Podobně také se Smart klíčem od ČSOB.
Samozřejmě beru, že každá varianta má svoje nevýhody a já to bral spíš pragmaticky. V tomhle případě to chce asi počítat s tím, že se za určitou dobu pravděpodobně člověk dostane z nějakého okna podporovaných verzí systému na mobilu. I když KB klíč mi zatím v pohodě chodí na starém telefonu s iOS15. U Androidu je to, myslím, 8 a výš. U toho ČSOB to bylo podobné, když jsem to rozcházel rodičům, tam to dokonce šlo dát i na záložní Huawei s prvním Harmony OS (vykoštěný Android).

3

Odkladiště / Re:Zkušenosti s internetovým bankovnictvím

« Poslední příspěvek od mhepp kdy Dnes v 18:03:51 »

Jen k věci... Prošel jsem si web a nápovědu AirBank a vypadá to, že by bankovnictví mohlo zvládnout vše, co potřebuji a tak, jak potřebuji

Ještě to padlo Fio. To umožňuje demoúčet a vyzkoušení bankovnictví. Super, to zkusím později.

S tím agresivním odhlašovaním je to všude podobné. Rozumějte nahovno.

4

Odkladiště / Re:Zkušenosti s internetovým bankovnictvím

« Poslední příspěvek od martyd420 kdy Dnes v 17:40:14 »

Prohlížeče dnes neumí ani bezpečně uchovávat session cookies, Google si to řeší hardcodování svých věcí do chromu, banky mají smůlu, tak si sezení ve webovém prohlížeči drží v javascript paměti jako proměnnou.

Tohle by mě zajímalo btw. Já žiju ve světě, kde session cookie uměla zmizet se zavřením tabu už před více než 15 lety. Jak se to stane v dnešní době, že se o session má starat javascript? Sleduju spíš opačný trend - session (a jiné důležité) cookies mají httpOnly flag a nejsou javascriptu z bezpečnostních důvodů vůbec dostupné.
Session cookie tady na rootu dokonce umí zmizet v průběhu psaní komentáře

// edit: Kouknul jsem na AirBank a potvrzuji - session cookie je httponly.

5

Odkladiště / Re:Zkušenosti s internetovým bankovnictvím

« Poslední příspěvek od mhepp kdy Dnes v 17:20:55 »

Jen mě trochu zarazilo - teď nezávisle na KB+, jak jste psal, že mobil není bezpečný, můžete ho ztratit atp. Mě to naopak s tím sandboxováním aplikací, vestavěnou biometrií atp. přijde out-of-box výrazně bezpečnější než standardní PC třeba s certifikátem v souboru (jak to kdysi bývalo). A s tím ztracením, řekl bych že i kdybyste to řešil jen přes web a telefonem jen potvrzoval (takhle to preferují třeba mí rodiče), tak většina bank vám umožní nainstalovat a povolit tu ověřovací appku na víc zařízení - může to být třeba tablet, starší mobil v šuplíku (pokud nemá úplně nějaký prehistorický OS).
Takže nějaká forma zálohy, aby člověk při případné ztrátě nebo závadě toho primárního mobilu nemusel hned na pobočku, je také možná. Což tak jako tak podle mě dává smysl pořešit i pro případné ostatní ověřovací aplikace k různým jiným službám mimo bankovnictví, pokud je člověk používá.

Pokud mám možnost nainstalovat ověřovací appku na více zařízení, je to možné řešení, ačkoliv je to trochu rovnák na vohejbák - člověk musí udržovat více telefonů/tabletů. Ale stejně nějaký starší mám vždy v šuplíku...

Dvoufaktor mám všude vyřešený vícenásobnou zálohou. Ale nikde to není pomocí dvou telefonů/tabletů, jsou to prostě různé metody.

6

Odkladiště / Re:Zkušenosti s internetovým bankovnictvím

« Poslední příspěvek od Zopper kdy Dnes v 17:19:18 »

Operační systémy počítačů nejsou dostatečně bezpečné, aby splnily požadavky kladené na banky.

Je zajímavé, že SMS jako druhý faktor přestává stačit, ale mobilní aplikace s jedním faktorem stačí. Jde zadat a také potvrdit platbu na jednom zařízení. Přitom vychází studie o tom kolik aplikací ve storech je malware. Pochybné appce stačí uniknout ze sandboxu, k tomu privilege escalation a může si potvrzované bankovní transakce upravovat k libosti. Někde se o tom už psalo, mám pocit že to byly účty nějaké BTC směnárny. Asi k tomu ale zatím nedochází v takové míře, že by vyžadovali druhý faktor. To by pak uživatelé prskali. Kdyby alespoň nějaká banka měla možnost platby zadané na mobilu potvrzovat na PC.

TLDR odpověď: schopný malware na mobilu je pro banku méně pravděpodobné riziko, než phishing.

Delší odpověď: Útok na aplikaci banky vyžaduje plnou kontrolu nad zařízením, přejít z jedné aplikace do druhé, která se (aspoň teoreticky) snaží obfuscovat a házet tomu klacky pod nohy, a pokud už někdo dokáže tohle, tak si stejně tak přečte i ty SMS. Ne že by to nešlo a nedělo se, ale je to složité.

Oproti tomu ty SMS se dají unést klidně z druhé strany světa jen tak, stačí mít přístup k člověku na správné pozici třeba u nějakého operátora v Africe (což pro organizované skupiny není problém), a získat přístupové údaje přes phisingovou stránku, která se dá krásně udělat na PC (nebyla nějaká falešná stránka banky kdysi v Seznam hledání nad tou pravou?). A tady ani kolikrát není potřeba nějak unášet sms, uživatel si to opíše sám, záleží na útoku. Ale zfalšovat mobilní aplikaci banky uprostřed prohlížeče, to bude vždycky vypadat podezřele. Plus uživatel nemusí zadávat žádnou adresu nikam, prostě klikne na ikonku.

Ergo, webové bankovnictví + SMS se s bezpečností mnohem víc spoléhá na uživatele, který si musí hlídat, jestli je na správné stránce, zatímco ta aplikace pokusy o phishing výrazně komplikuje a to odchycení SMS znemožňuje úplně. Aplikace jsou tedy menší riziko finanční ztráty a novinových článků o "útoku na banku", a o to jde především. Na uživatele kašle pes. 

7

Bazar / Re:Prodám sekundární homeoffice setup

« Poslední příspěvek od CPU kdy Dnes v 17:19:04 »

A jaká je cena?

8

Odkladiště / Re:Zkušenosti s internetovým bankovnictvím

« Poslední příspěvek od martyd420 kdy Dnes v 17:12:41 »

Která banka ti umí zrušit předautorizované transakce na kartě? Snad žádná, on jim takové zásahy totiž zakazují podmínky kartových asociací a částečně i zákon o platebním styku. Daný subjekt by musel by na černé listině. Řešením je bohužel zrušit kartu.

mBank bez problému, ani nemusím kontaktovat banku - bloknu to sám v IB, případně použiju virtuální kartu, která to blokuje automaticky i když tam nechám nabitý zůstatek.  Stejně tak Revolut umí bloknout předplatné.
btw. nikdo jim takový zásah nezakazuje, řekl bych, že spíš naopak přikazuje. Banka je povinna jednat okamžitě, jakmile jsem ohlásil neoprávněné transakce a konkrétně Airbank opraqvdu nedělala nic až do zrušení karty.

Ty obrázky beru jako vtípek, nepamatuji si je a na pobočce s doklady to lze vždy přeskočit.

Ano, to je ono. Musím kvůli toho jet na pobočku a vybrat si nové obrázky z omalovánek, aby moje šestimístné heslo složené pouze z číslic bylo bezpečnější. Tohle od banky fakt nechci.
Co se týče toho javascriptu, to je asi plus mínus pravda, ale Airbank v tom opravdu patří k nejagresivnějším a práce s jejich bankovnictvím (když má trvat déle, než 5 minut) je opravdu hrůza.

9

Odkladiště / Re:Zkušenosti s internetovým bankovnictvím

« Poslední příspěvek od mhepp kdy Dnes v 17:08:31 »

Tak klasika, Fio.
Aj ked "Propojení účtů z jiných bank." je taka neskutocna exotika ze pochybuje ze to niekde najdes.
A "Možnost načtení QR kódu ze souboru" mi pride tiez divne, kedze to je urcene pre mobily.

Fio ma sice aplikaciu ale nie je povinna, akurat ze ak si ju nahodis tak nemozes pouzivas sms kody ale MUSIS verifikovat cez aplikaciu.

Takze s tymi poziadavkmi asi ostan pri tej KB

Možnost načtení QR kódu právě byla ve starém bankovnictví od KB. Umělo si to vyzobnout QR kód a předvyplnit platbu. Super. Vzhledem k tomu, že QR kódy pro platbu jsou součást kdejaké faktury, proč to nevyužít...

Načíst QR kód umí i webový George, ale ten ho umí načíst jen přes kameru. Nádhera, když mám jen elektronickou fakturu (a změnit to neplánují).

Zůstat u KB... no... problém je v tom, že skoro vše (kromě základních věcí jako poslat peníze a trvalý příkaz) je v KB-- nedodělané nebo neplánované - například to propojení účtů. Takže proč jim dělat testera.

10

Bazar / Re:Prodám sekundární homeoffice setup

« Poslední příspěvek od LivingLegend kdy Dnes v 17:05:04 »

Tak kdyztak dej vedet, pookud by byla dobra cena tak bych asi vzal vse...