Poslední příspěvky

21

Odkladiště / Re:Zkušenosti s internetovým bankovnictvím

« Poslední příspěvek od Filip Jirsák kdy Dnes v 10:04:18 »

Jestli si někdo myslí, že bankovní aplikace běžící na mobilu je v bezpečí před jinými aplikacemi, doporučuji se podívat na statistiky CVE Androidu/iOS, třeba tohle:
https://www.cvedetails.com/product/19997/Google-Android.html?vendor_id=1224

Představy, že všichni mají telefony stále podporované výrobcem a mají nainstalované poslední aktualizace, jsou úplně mimo. To, že se zatím masivně neútočí na aplikace našich malých bank neznamená, že se někdy někomu neoplatí tomu čas věnovat.

Ohledně kontroly rootu na telefonu, tak třeba aplikaci od Fio to nevadí, není třeba root maskovat. Pokud bych neměl možnost si zkontrolovat jaké data posílá v PCAPdroidu, tak ji nepoužívám (pouze jako druhý faktor samozřejmě).

Statistiky CVE ovšem vůbec nevypovídají o tom, jestli je jedna aplikace schopna napadnout jinou aplikaci. A to ani kdyby CVE vyjadřovalo skutečně to, jako co se prezentuje.

O představě, že všichni mají telefony stále podporované výrobcem a mají nainstalované poslední aktualizace, tu píšete jediný vy. Když se nevyplatí útočit na aplikace našich malých bank, na aplikace velkých zahraničních bank se přes chyby v softwaru útočí? Na které banky například?

Jaká data tedy aplikace Fio posílá? A jak víte, že vždy posílá jen to, co jste odpozoroval? Že si se svou případnou záškodnickou činností nepočká třeba měsíc od instalace? A v čem by ta záškodnická činnost bankovní aplikace spočívala?

22

Hardware / Re:Redukce USB-C na USB-A

« Poslední příspěvek od Vít Šesták (v6ak) kdy Dnes v 09:58:19 »

Já teď neřeším, jaký přesně protokol se použije, ale jestli si ta redukce nějak inteligentně vyřeší situaci, kdy v důsledku propojím dvě USB A (třeba dva zdroje s výstupem na USB A), zejména když obě strany budou pod napětím. Běžně je v USB A nějaké napětí pořád (zařízení s USB 2.0 bez vlastního zdroje s tím vlastně i musejí počítat), nejen po připojení zařízení. (USB C to řeší jinak.) I pokud se propojí VBUS s VBUSem na druhé straně a GND s GND na druhé straně a pokud nebude žádný rozdíl potenciálů mezi GND, nemusí trefit přesně stejné napětí na VBUS. Obě strany by tam sice měly pouštět 5 V (protože se nemají moc šanci domluvit na jiném napětí), ale to napětí má nějakou toleranci (snad 5 %, tedy 4.75;V až 5.25 V; nepočítám ztráty na vedení), může tu být klidně 0.5V rozdíl, který se budou snažit vyrovnat.

Proto si myslím, že by tato redukce měla správně odpojit napájení, dokud neví, že na Cčkové straně je zařízení, které napájet chce. Asi není nutné odpojovat VBUS i GND současně. Intuice mi říká, že bych odpojil spíše VBUS než GND.

23

Software / Re:Zjištění názvu filmu a zápis do tagu

« Poslední příspěvek od KulichRS kdy Dnes v 09:00:47 »

MKVToolnix umí přidávat tagy

24

Odkladiště / Re:Zkušenosti s internetovým bankovnictvím

« Poslední příspěvek od bmn kdy Dnes v 08:56:17 »

Jestli si někdo myslí, že bankovní aplikace běžící na mobilu je v bezpečí před jinými aplikacemi, doporučuji se podívat na statistiky CVE Androidu/iOS, třeba tohle:
https://www.cvedetails.com/product/19997/Google-Android.html?vendor_id=1224

Představy, že všichni mají telefony stále podporované výrobcem a mají nainstalované poslední aktualizace, jsou úplně mimo. To, že se zatím masivně neútočí na aplikace našich malých bank neznamená, že se někdy někomu neoplatí tomu čas věnovat.

Ohledně kontroly rootu na telefonu, tak třeba aplikaci od Fio to nevadí, není třeba root maskovat. Pokud bych neměl možnost si zkontrolovat jaké data posílá v PCAPdroidu, tak ji nepoužívám (pouze jako druhý faktor samozřejmě).

25

Odkladiště / Re:Zkušenosti s internetovým bankovnictvím

« Poslední příspěvek od Filip Jirsák kdy Dnes v 08:49:06 »

A "nejlevnější mobil" není nějaký backdoornutý Android který dostal poslední aktualizaci rok před tím než jste si ho koupil? Dříve jste tu na tento argument psal, že mobil je jenom druhý faktor, tak je i taková věc v pohodě, ale od té doby se situace změnila: naprostá většina bank již mobil nepoužívá jako druhý faktor, ale jako jediný faktor (i.e., nemají zvlášť "jen autentizační aplikaci pro internetbanking" a plnohodnotné mobilní bankovnictví, ze kterého jde dělat všechno).

Pokud byste se opravdu bál, že Čína prodává backdoornuté mobily zaměřené na české bankovní aplikace (a neví se o tom), můžete ten mobil používat bez připojení k internetu. To potvrzování bankovních transakcí bude sice trochu méně pohodlné, ale riziko napadeného mobilu to řeší.

Mimochodem, nejlevnější noname mobil s Androidem na Alze je jakýsi Infinix Smart zlevněný na 1 790 Kč, základní cenu Alza uvádí 1 890 Kč. Nejlevnější značkový mobil s Androidem mají Motorola Moto E14 za 1 888 Kč. Takže druhé možné řešení vašeho problému je to, že si nekoupíte ten nejlevnější mobil ve slevě, ale připlatíte si stovku za normální značku.

26

Odkladiště / Re:Zkušenosti s internetovým bankovnictvím

« Poslední příspěvek od _Jenda kdy Dnes v 02:33:49 »

a bylo by to podstatně dražší, než nejlevnější mobily

A "nejlevnější mobil" není nějaký backdoornutý Android který dostal poslední aktualizaci rok před tím než jste si ho koupil? Dříve jste tu na tento argument psal, že mobil je jenom druhý faktor, tak je i taková věc v pohodě, ale od té doby se situace změnila: naprostá většina bank již mobil nepoužívá jako druhý faktor, ale jako jediný faktor (i.e., nemají zvlášť "jen autentizační aplikaci pro internetbanking" a plnohodnotné mobilní bankovnictví, ze kterého jde dělat všechno).

A "Možnost načtení QR kódu ze souboru" mi pride tiez divne, kedze to je urcene pre mobily.

Já to chápu, nechce se mu copypastovat X políček. Používá nejspíš nějaké desktopové prostředí, kde je snadné, když má otevřenou třeba PDF fakturu, ten soubor "dropnout" do okna prohlížeče.

Tak klasika, Fio.

Už se taky kazí. Teď třeba poslední věc (na konci roku) zavedli, že už ti také mohou nutit předschválené půjčky online - AFAIK jediná banka která to ještě neměla. A od kamarádů slýchám, že ten jejich javový podepisovač už v podstatě přestali podporovat.

Pobavilo. Na vině jsou spíše samotné prohlížeče a to jak fungují. Banky by mohli provozovat desktopovou aplikaci a splnili by veškeré nároky, ale její instalace je značně nepohodlná, vývoj příliš drahý a ještě by to nemuselo fungovat na všech počítači kvůli potřebě mít HW uložiště klíčů.

Nerozumím, můžete dát příklad útoku, který umožní kompromitaci bankovnictví v prohlížeči, ale ne desktopové aplikace?

Prosím, prosím, méně spekulací. I FIDO2 umožňuje challenge&reponse. Yubikey k tomu má pak appku, která vstup zobrazí. Mícháš dvě věci dohromady, někde potřebuješ mít uložený tajemství (teď se používá zabezpečná enclava uvnitř telefonu), pak aplikaci, která ti zobrazí výzvu a po tvém potvrzení jí skombinuje s tajemstvím a doručí bankce. Ty přepisovací kalkulačky jsou už historie.

Já myslel, že se bavíme o vyhackovaném počítači, kde ti pak ta aplikace může zobrazovat cokoli.

27

Hardware / Zkušenosti s LILYGO T-Watch S3

« Poslední příspěvek od veskotskujehnusne kdy Dnes v 01:11:46 »

Ahoj, má někdo nějaké zkušenosti?

zatím o tom nemám nic načteno a ten firmware, se kterým to přišlo mi nedovolí ani nastavit WiFI, takže nevím, jestli se předpokládá, že to hned něčím flashnu? Mám tam pár watchfaců swipováním nahoru a dolů, test rádia, zvuku a tak, ale vlastně tam nic jiného není, co vidím online to má normálně nějaké GUI pro nastavení a podobně.

28

Odkladiště / Re:Zkušenosti s internetovým bankovnictvím

« Poslední příspěvek od 𝑾𝑰𝑭𝑻 kdy 03. 01. 2025, 21:39:51 »

• Možnost načtení QR kódu ze souboru

Tak pardon, u AirBanky jsem možnost načtení QR kódu ze souboru ve webové aplikaci nenašel (to neznamená, že tam není, já to ale nenašel). Mobilní to samozřejmě má a anžto jinou nepoužívám, tak mi tohle nedocvaklo.

29

Software / Re:Zjištění názvu filmu a zápis do tagu

« Poslední příspěvek od Vietnanka kdy 03. 01. 2025, 21:09:29 »

No on to je možná obecný problém "lze do souboru" připojit nějaký info aniž by se musel celý překopat? Například úprava exif přes NAS taky přenáší 6MB , což mě štve (a asi to dělá i při lokální úpravě na C:)

CO když ty nástroje dělají iluzi, že výsledný soubor je stejný ? (běžně nástroj zapíš to .tmp souboru a přejměnuje zpět)?

co vlastně ten filebot dělá? nějak komunikuje s internetem a zjistí "správný název"? nebo nějak uploaduje název nebo screenshoty filmu (jak se tomu "filmstripu říká - pár políček z filmu?) a to vrátí název?

nestačilo by skriptem spustit for i in *.mp4 ; do $hodnota=$(detekuj_($i)); ffmpeg -i $i -c copy -metadate title=$hodnota $input_.mp4 ; mv $input_.mp4  $input;
(možná ale uplně míjím záměr)

30

Odkladiště / Re:Zkušenosti s internetovým bankovnictvím

« Poslední příspěvek od uwe.filter kdy 03. 01. 2025, 20:43:34 »

Doporučuji kouknout na Fio. Upřímně nevím, jestli umí to propojení účtu a načítání údajů z QR kódu, ale obecně je ze všech bank, které používám nebo o kterých mám povědomí, nejpřátelštější, bez nějakých zákeřností nebo házení klacků pod nohy. K tomu (subjektivně) velmi přehledné webové bankovnictví, rovněž zákaznická podpora reaguje rychle a ochotně. Přesně tak si představuji, že má banka fungovat.