1
Odkladiště / Re:Zkušenosti s internetovým bankovnictvím
« Poslední příspěvek od Filip Jirsák kdy Dnes v 18:11:07 »Pobavilo. Na vině jsou spíše samotné prohlížeče a to jak fungují. Banky by mohli provozovat desktopovou aplikaci a splnili by veškeré nároky, ale její instalace je značně nepohodlná, vývoj příliš drahý a ještě by to nemuselo fungovat na všech počítači kvůli potřebě mít HW uložiště klíčů.To musíte mít radostný život, když vás realita pobaví. Prohlížeče jsou ty nejbezpečnější aplikace na počítačích. Problém je v tom, že všechny aplikace na desktopu běží pod jedním uživatelem, nejsou z pohledu OS nijak oddělené. Je vám k ničemu, že by aplikace měla uložené klíče bezpečně v HW, když přes ni může kterákoli jiná aplikace kreslit nebo získat její vstup.
Prosím, prosím, méně spekulací. I FIDO2 umožňuje challenge&reponse. Yubikey k tomu má pak appku, která vstup zobrazí.Což je pořád k ničemu, když ta aplikace běží na tom počítači.
Prohlížeče dnes neumí ani bezpečně uchovávat session cookiesTřeba session storage podporují všechny dnešní prohlížeče, to jde pro bezpečné uložení session cookies použít.
Je zajímavé, že SMS jako druhý faktor přestává stačit, ale mobilní aplikace s jedním faktorem stačí. Jde zadat a také potvrdit platbu na jednom zařízení. Přitom vychází studie o tom kolik aplikací ve storech je malware.Nevím, co je na tom zajímavého. Přístup k SMS může mít spousta lidí, mobilní aplikace je podstatně bezpečnější.
Pochybné appce stačí uniknout ze sandboxu, k tomu privilege escalation a může si potvrzované bankovní transakce upravovat k libosti.Nebo útočníkovi stačí telepaticky v hlavě změnit to, co v aplikaci vidí. Ono jaksi nede jen o to, že napíšete „stačí jen“, také je potřeba vědět, jak obtížné to je. Teoreticky je možné prolomit všechno, včetně současných nejlepších šifer. Podstatné je, že to nikdo neumí prakticky.
Tohle by mě zajímalo btw. Já žiju ve světě, kde session cookie uměla zmizet se zavřením tabu už před více než 15 lety. Jak se to stane v dnešní době, že se o session má starat javascript? Sleduju spíš opačný trend - session (a jiné důležité) cookies mají httpOnly flag a nejsou javascriptu z bezpečnostních důvodů vůbec dostupné.Je to uložené v session storage, kam mají přístup jenom skripty z webové stránky z dané domény. Se zavřením tabu se to smaže. Že je to přístupné z JavaScriptu ničemu nevadí, protože JavaScript provádí všechny ostatní rizikové operace. Takže kdyby útočník měl možnost spouštět na daném webu JavaScript, stejně může napáchat spoustu škod (třeba vám zobrazí číslo účtu, které chcete vidět, ale zadané bude jeho číslo účtu). Pro to, aby útočník nemohl do webu vložit svůj vlastní JavaScript, existují zase jiné ochrany – CSP.
Session cookie tady na rootu dokonce umí zmizet v průběhu psaní komentáře
Cookies mají tu nevýhodu, že je odesílá prohlížeč automaticky s každým požadavkem. Pokud máte aplikaci na více poddoménách (třeba přihlášení na jedné poddoméně a aplikaci na jiné, protože to přihlášení je třeba společné pro více aplikací), musí ta cookie být nastavena tak, že je dostupná pro všechny poddomény. Pak stačí jedna aplikace na nějaké subdoméně, která bude mít nějakou díru, a útočník se k session cookie dostane. Ukládat tajemství do cookies je daleko rizikovější, než ukládat ho do session storage.