Poslední příspěvky

1

Odkladiště / Re:Zkušenosti s internetovým bankovnictvím

« Poslední příspěvek od Vietnanka kdy Dnes v 20:01:26 »

Nebudu zabředávat do diskuse nebezpečných  desktopových prohlížečů a vyhypovaně ultrabezpečných mobilních aplikací, jak to líčí Jirsák. Takovéhle reklamní strašení používají i banky a další šiřitelé zla. Má to jeden háček, který jaksi zamlčují, když se vám ztratí telefon, tak jste s nějakou aplikací uplně v čoudu, pokud si nějak obskurně propojíte nějaká zařízení. a úplně se zamlčuje, že ty aplikace nechtějí chodit na rootovaných telefonech, protože jsou plné šmírování a hlídání a těžko se kontroluje, co mobilní aplikace dělá na rozdíl od konzole browseru. (druhá strana bude tvrdit že to tak je správně, že aplikace se aktivně brání nekalostem)

Ano, odhlašování na fóru je legendární, například se to stane  i minutu potom, co v druhém refresnu stránku.

 a Mohu přihodit zkušenost s moneta. Sice taky tlačí aplikaci (dokonce nešly termínované vklady  na webu zrovna náhodou v létě, kdy byl úrokkolem 5%), přes ten desktopový prohlížeč je to taky jako když běží javascriptový reaktor, dokáže úplně zpomalit 4jádrový CPU.
Ale naštěstí pořád , neoficiálně, s autorizačními SMSkami funguje i pro ostatní než pro pozitivně diskriminované důchodce nad 65 let, akorát je to pain in hell, každé příhlášení přes webovou konzoli smazat varovné výhružné okénko, že autorizační SMS byly zrušeny v roce 2023 a když používáte ty autorizační SMS, tak vám ti zlí hackeři mohou se nabourat do účtu.

(právě díky příchozí SMS uvidím, kdyby někdo náhodou si našel mé login údaje)
Taky nejsem z SMSek nadšený, protože kód má kulervoucích osem číslic, snad víc má jen RB, 10. Přitom je to totální úlet, webpage nedovolí vložit víc než 100 pokusů kódu. bohatě stačí i 4místný jako kdysi měly banky. Kdyby třeba banky nabídly nějaký OTP způsob nezávislý na operačním systému, což není nějaká obskurní aplikace z nějakého nestažitelného než jinde google play nebo nějakého obchodu s jablky

Jediné co je potřeba, je aplikace na čtení SMS

2

Server / Re:Jak na deploy Python aplikace na Roští.cz

« Poslední příspěvek od Vietnanka kdy Dnes v 19:47:29 »

spustitelná příkazem "python3.13 -m app", tedy že nevzniknou problémy s importy závislostí atp.

 Tento software potřebuje, aby se v mém kořenovém "app.py" souboru vyskytovala globální proměnná
 přenasazení (tedy alespoň mi jo)

>matt.sh : __ini__.py, pyproject.toml
Wow, tak to je ještě horší bolilerplateismus java. Aneb vítejte v GDD. (Generator Driven Development)
Ještě mi tam chybí podmínka, aby index.py měl velikost dělitelnou  3130 bajty a project.toml součet číslic datu vzniku souboru 88 a aby existovala funkce uštknutí_pythonem()

3

Server / Re:Jak na deploy Python aplikace na Roští.cz

« Poslední příspěvek od snugar_i kdy Dnes v 19:31:50 »

Trochu OT, ale kdyz vidim requirements.txt, to je hadí pravěk.

-> https://matt.sh/python-project-structure-2024

Většina OK, ale ta sekce "le example" je docela děs (ten "web fetcher nicely encapsulated in a dataclass", kde je potřeba 7 řádků komentářů vysvětlujících ty prasárny, co musí udělat, aby mohl použít nějakou pochybnou knihovnu). S tím souvisí i sekce "basically every python class should be a dataclass going forward with no exceptions", WTF.

4

Sítě / Re:Zbyl ještě nějaký použitelný tunnelbroker route64 má plno?

« Poslední příspěvek od Vietnanka kdy Dnes v 19:22:30 »

Mám pocit, že nějak předělali GUI a (nevím kdy, za poslední 3 měsíce) a zmizely mi nadefinovaný tunele.
Nejde mi přidat tunnelbroker, https://manager.route64.org/tunnelbroker/add/ hlásí mi to "Notification: No free subnet for transport network found, please try later again."
Zatím to tunnel jde přidat . https://manager.route64.org/tunnel/ ( ale asi je to na něco jiného  to je pro nějaké BGP, to já nechci)

LOL, ty se krmíš trustpilot?

5

Odkladiště / Re:Zkušenosti s internetovým bankovnictvím

« Poslední příspěvek od Filip Jirsák kdy Dnes v 18:11:07 »

Pobavilo. Na vině jsou spíše samotné prohlížeče a to jak fungují. Banky by mohli provozovat desktopovou aplikaci a splnili by veškeré nároky, ale její instalace je značně nepohodlná, vývoj příliš drahý a ještě by to nemuselo fungovat na všech počítači kvůli potřebě mít HW uložiště klíčů.

To musíte mít radostný život, když vás realita pobaví. Prohlížeče jsou ty nejbezpečnější aplikace na počítačích. Problém je v tom, že všechny aplikace na desktopu běží pod jedním uživatelem, nejsou z pohledu OS nijak oddělené. Je vám k ničemu, že by aplikace měla uložené klíče bezpečně v HW, když přes ni může kterákoli jiná aplikace kreslit nebo získat její vstup.

Prosím, prosím, méně spekulací. I FIDO2 umožňuje challenge&reponse. Yubikey k tomu má pak appku, která vstup zobrazí.

Což je pořád k ničemu, když ta aplikace běží na tom počítači.

Prohlížeče dnes neumí ani bezpečně uchovávat session cookies

Třeba session storage podporují všechny dnešní prohlížeče, to jde pro bezpečné uložení session cookies použít.

Je zajímavé, že SMS jako druhý faktor přestává stačit, ale mobilní aplikace s jedním faktorem stačí. Jde zadat a také potvrdit platbu na jednom zařízení. Přitom vychází studie o tom kolik aplikací ve storech je malware.

Nevím, co je na tom zajímavého. Přístup k SMS může mít spousta lidí, mobilní aplikace je podstatně bezpečnější.

Pochybné appce stačí uniknout ze sandboxu, k tomu privilege escalation a může si potvrzované bankovní transakce upravovat k libosti.

Nebo útočníkovi stačí telepaticky v hlavě změnit to, co v aplikaci vidí. Ono jaksi nede jen o to, že napíšete „stačí jen“, také je potřeba vědět, jak obtížné to je. Teoreticky je možné prolomit všechno, včetně současných nejlepších šifer. Podstatné je, že to nikdo neumí prakticky.

Tohle by mě zajímalo btw. Já žiju ve světě, kde session cookie uměla zmizet se zavřením tabu už před více než 15 lety. Jak se to stane v dnešní době, že se o session má starat javascript? Sleduju spíš opačný trend - session (a jiné důležité) cookies mají httpOnly flag a nejsou javascriptu z bezpečnostních důvodů vůbec dostupné.
Session cookie tady na rootu dokonce umí zmizet v průběhu psaní komentáře

Je to uložené v session storage, kam mají přístup jenom skripty z webové stránky z dané domény. Se zavřením tabu se to smaže. Že je to přístupné z JavaScriptu ničemu nevadí, protože JavaScript provádí všechny ostatní rizikové operace. Takže kdyby útočník měl možnost spouštět na daném webu JavaScript, stejně může napáchat spoustu škod (třeba vám zobrazí číslo účtu, které chcete vidět, ale zadané bude jeho číslo účtu). Pro to, aby útočník nemohl do webu vložit svůj vlastní JavaScript, existují zase jiné ochrany – CSP.

Cookies mají tu nevýhodu, že je odesílá prohlížeč automaticky s každým požadavkem. Pokud máte aplikaci na více poddoménách (třeba přihlášení na jedné poddoméně a aplikaci na jiné, protože to přihlášení je třeba společné pro více aplikací), musí ta cookie být nastavena tak, že je dostupná pro všechny poddomény. Pak stačí jedna aplikace na nějaké subdoméně, která bude mít nějakou díru, a útočník se k session cookie dostane. Ukládat tajemství do cookies je daleko rizikovější, než ukládat ho do session storage.

6

Odkladiště / Re:Zkušenosti s internetovým bankovnictvím

« Poslední příspěvek od Michal Šmucr kdy Dnes v 18:04:40 »

Pokud mám možnost nainstalovat ověřovací appku na více zařízení, je to možné řešení, ačkoliv je to trochu rovnák na vohejbák - člověk musí udržovat více telefonů/tabletů. Ale stejně nějaký starší mám vždy v šuplíku...

Dvoufaktor mám všude vyřešený vícenásobnou zálohou. Ale nikde to není pomocí dvou telefonů/tabletů, jsou to prostě různé metody.

Já jsem právě taky klidnější, pokud můžu mít nějakou formu záložního ověřování. U nějakých obecných TOTP ověření je to jednodušší, ale mám těch různých služeb i pracovně vcelku dost a někdy jsou to prostě vynucené speciální aplikace, takže starý mobil mi přišel nejjednodušší řešení. A s KB klíčem to fungovalo bez problémů, prostě jsem přidal další ověření přes nastavení KB profilu na webu. Podobně také se Smart klíčem od ČSOB.
Samozřejmě beru, že každá varianta má svoje nevýhody a já to bral spíš pragmaticky. V tomhle případě to chce asi počítat s tím, že se za určitou dobu pravděpodobně člověk dostane z nějakého okna podporovaných verzí systému na mobilu. I když KB klíč mi zatím v pohodě chodí na starém telefonu s iOS15. U Androidu je to, myslím, 8 a výš. U toho ČSOB to bylo podobné, když jsem to rozcházel rodičům, tam to dokonce šlo dát i na záložní Huawei s prvním Harmony OS (vykoštěný Android).

7

Odkladiště / Re:Zkušenosti s internetovým bankovnictvím

« Poslední příspěvek od mhepp kdy Dnes v 18:03:51 »

Jen k věci... Prošel jsem si web a nápovědu AirBank a vypadá to, že by bankovnictví mohlo zvládnout vše, co potřebuji a tak, jak potřebuji

Ještě to padlo Fio. To umožňuje demoúčet a vyzkoušení bankovnictví. Super, to zkusím později.

S tím agresivním odhlašovaním je to všude podobné. Rozumějte nahovno.

8

Odkladiště / Re:Zkušenosti s internetovým bankovnictvím

« Poslední příspěvek od martyd420 kdy Dnes v 17:40:14 »

Prohlížeče dnes neumí ani bezpečně uchovávat session cookies, Google si to řeší hardcodování svých věcí do chromu, banky mají smůlu, tak si sezení ve webovém prohlížeči drží v javascript paměti jako proměnnou.

Tohle by mě zajímalo btw. Já žiju ve světě, kde session cookie uměla zmizet se zavřením tabu už před více než 15 lety. Jak se to stane v dnešní době, že se o session má starat javascript? Sleduju spíš opačný trend - session (a jiné důležité) cookies mají httpOnly flag a nejsou javascriptu z bezpečnostních důvodů vůbec dostupné.
Session cookie tady na rootu dokonce umí zmizet v průběhu psaní komentáře

// edit: Kouknul jsem na AirBank a potvrzuji - session cookie je httponly.

9

Odkladiště / Re:Zkušenosti s internetovým bankovnictvím

« Poslední příspěvek od mhepp kdy Dnes v 17:20:55 »

Jen mě trochu zarazilo - teď nezávisle na KB+, jak jste psal, že mobil není bezpečný, můžete ho ztratit atp. Mě to naopak s tím sandboxováním aplikací, vestavěnou biometrií atp. přijde out-of-box výrazně bezpečnější než standardní PC třeba s certifikátem v souboru (jak to kdysi bývalo). A s tím ztracením, řekl bych že i kdybyste to řešil jen přes web a telefonem jen potvrzoval (takhle to preferují třeba mí rodiče), tak většina bank vám umožní nainstalovat a povolit tu ověřovací appku na víc zařízení - může to být třeba tablet, starší mobil v šuplíku (pokud nemá úplně nějaký prehistorický OS).
Takže nějaká forma zálohy, aby člověk při případné ztrátě nebo závadě toho primárního mobilu nemusel hned na pobočku, je také možná. Což tak jako tak podle mě dává smysl pořešit i pro případné ostatní ověřovací aplikace k různým jiným službám mimo bankovnictví, pokud je člověk používá.

Pokud mám možnost nainstalovat ověřovací appku na více zařízení, je to možné řešení, ačkoliv je to trochu rovnák na vohejbák - člověk musí udržovat více telefonů/tabletů. Ale stejně nějaký starší mám vždy v šuplíku...

Dvoufaktor mám všude vyřešený vícenásobnou zálohou. Ale nikde to není pomocí dvou telefonů/tabletů, jsou to prostě různé metody.

10

Odkladiště / Re:Zkušenosti s internetovým bankovnictvím

« Poslední příspěvek od Zopper kdy Dnes v 17:19:18 »

Operační systémy počítačů nejsou dostatečně bezpečné, aby splnily požadavky kladené na banky.

Je zajímavé, že SMS jako druhý faktor přestává stačit, ale mobilní aplikace s jedním faktorem stačí. Jde zadat a také potvrdit platbu na jednom zařízení. Přitom vychází studie o tom kolik aplikací ve storech je malware. Pochybné appce stačí uniknout ze sandboxu, k tomu privilege escalation a může si potvrzované bankovní transakce upravovat k libosti. Někde se o tom už psalo, mám pocit že to byly účty nějaké BTC směnárny. Asi k tomu ale zatím nedochází v takové míře, že by vyžadovali druhý faktor. To by pak uživatelé prskali. Kdyby alespoň nějaká banka měla možnost platby zadané na mobilu potvrzovat na PC.

TLDR odpověď: schopný malware na mobilu je pro banku méně pravděpodobné riziko, než phishing.

Delší odpověď: Útok na aplikaci banky vyžaduje plnou kontrolu nad zařízením, přejít z jedné aplikace do druhé, která se (aspoň teoreticky) snaží obfuscovat a házet tomu klacky pod nohy, a pokud už někdo dokáže tohle, tak si stejně tak přečte i ty SMS. Ne že by to nešlo a nedělo se, ale je to složité.

Oproti tomu ty SMS se dají unést klidně z druhé strany světa jen tak, stačí mít přístup k člověku na správné pozici třeba u nějakého operátora v Africe (což pro organizované skupiny není problém), a získat přístupové údaje přes phisingovou stránku, která se dá krásně udělat na PC (nebyla nějaká falešná stránka banky kdysi v Seznam hledání nad tou pravou?). A tady ani kolikrát není potřeba nějak unášet sms, uživatel si to opíše sám, záleží na útoku. Ale zfalšovat mobilní aplikaci banky uprostřed prohlížeče, to bude vždycky vypadat podezřele. Plus uživatel nemusí zadávat žádnou adresu nikam, prostě klikne na ikonku.

Ergo, webové bankovnictví + SMS se s bezpečností mnohem víc spoléhá na uživatele, který si musí hlídat, jestli je na správné stránce, zatímco ta aplikace pokusy o phishing výrazně komplikuje a to odchycení SMS znemožňuje úplně. Aplikace jsou tedy menší riziko finanční ztráty a novinových článků o "útoku na banku", a o to jde především. Na uživatele kašle pes.