Je platba přes GoPay bezpečná?

[Mirek Prýmek]

Pokud platí to, co píšete, pak opravdu nevím, jak můžu věřit jakékoli zprávě, která mi přijde mailem.

To je naprosto jednoduché - jakékoli zprávě, která přijde mailem a není podepsaná nemůžeš věřit vůbec. Zkoumání SMTP hlaviček je naprosto k ničemu, protože kdokoli, kdo bude sedět na drátu těsně před tebou, si tam může doplnit klidně topsecret.nsa.gow a tvůj server to nemá šanci poznat, protože útočník si klidně podvrhne i IP adresu.

Zkoumání SMTP hlaviček je spíš pro falešný pocit bezpečí. Pokud si chceš být jistý, tak do té firmy prostě zavolej.

Jinak FYI: bankovní transakce se dají vzít zpět, takže máš celkem zbytečnou péči.

[Reklama]

[Filip Jirsák]

Pokud platí to, co píšete, pak opravdu nevím, jak můžu věřit jakékoli zprávě, která mi přijde mailem.

Můžete jí věřit jedině tehdy, pokud je elektronicky podepsaná. Z hlaviček můžete věřit jenom těm, které jsou podepsané DKIM – a i pak jim můžete věřit jen do té míry, do jaké věříte odesílajícímu serveru a jak bezpečně dokážete získat jeho certifikát (nebo-li zda používáte DNSSEC).

Posílání fakturačních údajů tak, že je není možné snadno ověřit, je docela problém. Ještě se to dá pochopit u jednorázových nákupů v e-shopu, kde by se útočník musel trefit do doby, kdy jste něco skutečně objednal. U opakovaných plateb je to ale vážný problém. Nedávno v ČR proběhl přesně na tomhle postavený phishingový útok na majitele domén, a nezdá se, že by se z toho čeští prodejci (mimo pár prodejců domén) nějak moc poučili.

[NooN]

Tak ako to maju je standart. Prezentacny web bezi na http a klientske veci na https.
Skus si kliknut na prihlasit alebo registrovat.

Ve které banánové republice je to standard? Zkuste se podívat třeba na PayPal, Google Wallet, iTunes… K čemu jsou nějaké sliby o bezpečnosti na stránce, která není dostupná přes HTTPS? Co když tam ve skutečnosti píšou, že je to celé nebezpečné a posílat tam jakékoli peníze je hloupost? Odkazy na smluvní podmínky z registrace opět vedou na HTTP a navíc ty stránky neexistují. Jestli si vymysleli, že to budou mít rozdrobené na x domén třetího řádu, a pak nechtějí zaplatit ani hvězdičkový certifikát, vypovídá to hodně o tom, jak asi investovali do bezpečnosti.

Tak sorry, ze nezijem v tak vyspelej krajine ako si myslis ty, ze je ta tvoja v ktorej zijes.
Skus sa pozriet na lubovolnu vasu banku a uvidis ze vacsina bezi v prezentacnej casti ako http, podaktore https presmerovavaju na http, a v https im bezi len cast pre klientov.
To ze maju nedostupne podmienky pri registracii je uz o inom.

[Mirek Prýmek]

Skus sa pozriet na lubovolnu vasu banku a uvidis ze vacsina bezi v prezentacnej casti ako http

Samozřejmě. Namátkou: http://www.rb.cz/ http://www.fio.cz/ http://www.kb.cz/ http://www.mbank.cz/ http://www.tatrabanka.sk/
 - všechny tyhle, který mě tak ze startu napadly, běží přes http... Možná Filip žije v nějakém paralelním vesmíru, kde to tak není

[Filip Jirsák]

Myslíte namátkou  https://www.rb.cz/ a https://www.kb.cz/ ? Ano, nepřesměrovávají automaticky, ale aspoň mají HTTPS variantu dostupnou. Další dvě adresy https://www.fio.cz/ a https://www.tatrabanka.sk/ také fungují, i když nepochopitelně z HTTPS přesměrovávají na HTTP.

Navíc banka je přeci jen trochu jiná instituce, ta dává smysl i bez internetu (i když u Fio nebo mBank by toho člověk bez internetu asi moc neudělal). Ale internetová platební brána bez internetu žádný smysl nemá a drtivá většina případů užití vyžaduje zabezpečený přístup. Nezabezpečený přístup snad stačí v případě, kdy si bude obchodník vybírat platební bránu a pročítat marketingové materiály, no a nevím, jestli web bez HTTPS je zrovna tím lákadlem, který ho přesvědčí.

Ony už ty samotné odkazy na přihlášení na nezabezpečené stránce jsou velkým bezpečnostním rizikem, protože pokud si uživatel kontroluje, zda je na zabezpečeném webu, udělá to v okamžiku, kdy na ten web vstoupí. Počet případů, kdy by si někdo kontroloval, kdy bude konečně přesměrován na zabezpečenou stránku, se limitně blíží nule.

A vůbec – existuje alespoň jeden jediný důvod, proč by internetová platební brána měla mít webovou prezentaci na HTTP, dokonce jen na HTTP?

[Reklama]

[Mirek Prýmek]

Myslíte namátkou  https://www.rb.cz/ a https://www.kb.cz/ ? Ano, nepřesměrovávají automaticky, ale aspoň mají HTTPS variantu dostupnou. Další dvě adresy https://www.fio.cz/ a https://www.tatrabanka.sk/ také fungují, i když nepochopitelně z HTTPS přesměrovávají na HTTP.

Spíš jde o to, že mají http verzi, která nepřesměrovává na https.

Navíc banka je přeci jen trochu jiná instituce, ta dává smysl i bez internetu

Bavíme se o tom, jestli je normální mít *prezentační* web na http. Jak s tím souvisí, co dává nebo nedává smysl bez internetu, tomu úplně nerozumím.

Ony už ty samotné odkazy na přihlášení na nezabezpečené stránce jsou velkým bezpečnostním rizikem, protože pokud si uživatel kontroluje, zda je na zabezpečeném webu, udělá to v okamžiku, kdy na ten web vstoupí. Počet případů, kdy by si někdo kontroloval, kdy bude konečně přesměrován na zabezpečenou stránku, se limitně blíží nule.

Ne. Běžný uživatel není schopen posoudit nic víc, než že daná stránka, na které se právě nachází "je zelená". Takže by si měl především ověřit, jestli "je zelená" stránka, na které zadává svoje heslo.

Nicméně v době, kdy snad každá banka má dvoufaktorovou autentizaci (nejčastěji smskou) i tohle není jediný prvek, na kterém by se doslova lámalo "bezpečné" a "nebezpečné".

A vůbec – existuje alespoň jeden jediný důvod, proč by internetová platební brána měla mít webovou prezentaci na HTTP, dokonce jen na HTTP?

Ano, HTTPS má vyšší režii. Čili si to můžeš přeložit jako: pomalejší odezva / vyšší cena / větší dopad na životní prostředí

[Filip Jirsák]

Bavíme se o tom, jestli je normální mít *prezentační* web na http. Jak s tím souvisí, co dává nebo nedává smysl bez internetu, tomu úplně nerozumím.

Souvisí to tak, že banka klidně může mít na internetu prezentační web, kde se dozvím aktuální kurzovní lístek, mapu poboček a tiskové zprávy, a nemusí mít vůbec internetové bankovnictví. Takže prezentační web banky má smysl.

V případě internetové platební brány prakticky nic jako prezentační web neexistuje. Kdy na ten web poleze někdo, kdo to nechce využít jako internetovou platební bránu?

Nicméně v době, kdy snad každá banka má dvoufaktorovou autentizaci (nejčastěji smskou) i tohle není jediný prvek, na kterém by se doslova lámalo "bezpečné" a "nebezpečné".

GoPay snad má dvoufaktorovou autentizaci?

Ano, HTTPS má vyšší režii. Čili si to můžeš přeložit jako: pomalejší odezva / vyšší cena / větší dopad na životní prostředí

V tom případě by měli HTTPS vypnout i u přihlašování, tam je přece také „zbytečné“ a dá se to udělat bezpečně i bez HTTPS. Ano, tohle by někde mohl být důvod, ale u internetové platební brány mi to opravdu nepřipadá jako dobrý nápad. Navíc se nezdá, že by tahle optimalizace byla zrovna případ GoPay. Každopádně na mně teda ušetří, a to nejen rozdíl mezi HTTPS a HTTP, ale i rozdíl mezi HTTP a ničím.

Myslím, že přístup toho webu k bezpečnosti nejlépe ilustruje stránka http://www.platebnibrana.cz/bezpecnost/nase-priority, kde odkaz „Více o bezpečnosti“ vede zase jen zpět na tu samou stránku. Je to bezpečné, protože je to bezpečné.

[Mirek Prýmek]

V tom případě by měli HTTPS vypnout i u přihlašování, tam je přece také „zbytečné“ a dá se to udělat bezpečně i bez HTTPS.

Nedá.

[NooN]

V případě internetové platební brány prakticky nic jako prezentační web neexistuje. Kdy na ten web poleze někdo, kdo to nechce využít jako internetovou platební bránu?

No neviem, velmi som nepochopil co si tym chcel povedat.
Na prezentacnej casti predstavuju svoje sluzby ktore mozes u nich vyuzit a podobne sracky okolo.

[Filip Jirsák]

V tom případě by měli HTTPS vypnout i u přihlašování, tam je přece také „zbytečné“ a dá se to udělat bezpečně i bez HTTPS.

Nedá.

HTTPS není žádná magie. Principy asymetrické kryptografie se dají použít i bez HTTPS. Ale v tomto případě je to jedno, protože útočník změní odkaz na přihlašovací formulář, a kde běží skutečné přihlašování, to už je jedno.

[arrange]

... Zkoumání SMTP hlaviček je naprosto k ničemu, protože kdokoli, kdo bude sedět na drátu těsně před tebou, si tam může doplnit klidně topsecret.nsa.gow a tvůj server to nemá šanci poznat, protože útočník si klidně podvrhne i IP adresu. ...Zkoumání SMTP hlaviček je spíš pro falešný pocit bezpečí....

Toto je z hlavičky mailu, který jsem dostal od gopay. Mohu se zeptat, jak se dá podvrhnout ta IP adresa 185.18.28.13 (první řádek), kterou si zaznamenal můj SMTP server při komunikaci s odesílacím serverem?

Kód: [Vybrat]

Received: from smtp.thosting.cz ([185.18.28.13])
by ***muj_smtp_server***
Received: from localhost ([127.0.0.1])
by smtp.thosting.cz with esmtp (Exim 4.72 #1 (Debian))
id 1YIkUg-0000xZ-D5; Tue, 03 Feb 2015 21:54:46 +0100
[...]
Received: TERMS ladici info
odeslano z ip adresy185.18.30.11_; Tue, 03 Feb 2015 21:54:45 +0100
Date: ...


[Mirek Prýmek]

HTTPS není žádná magie. Principy asymetrické kryptografie se dají použít i bez HTTPS. Ale v tomto případě je to jedno, protože útočník změní odkaz na přihlašovací formulář, a kde běží skutečné přihlašování, to už je jedno.

Zapomínáš, že jsme se bavili o tom, jak to udělat bezpečně a bezpečně znamená mj. "tak, aby tomu uživatel rozuměl". HTTPS normální uživatel rozumí na úrovni "je to zelené = je to OK".

Mohu se zeptat, jak se dá podvrhnout ta IP adresa 185.18.28.13 (první řádek), kterou si zaznamenal můj SMTP server při komunikaci s odesílacím serverem?

Říkal jsem, že podmínkou je, aby byl útočník někde po cestě, ideálně hned za tvým počítačem (např. tvůj ISP nebo kdokoli, kdo mu naboural infrastrukturu). Jakmile můžu pozměňovat pakety, můžu jim bez problémů změnit zdrojovou adresu. Podmínkou je, abych mohl odchytnout i tvoje odpovědi, které budou na tuhle adresu směrované.

[Filip Jirsák]

Zapomínáš, že jsme se bavili o tom, jak to udělat bezpečně a bezpečně znamená mj. "tak, aby tomu uživatel rozuměl". HTTPS normální uživatel rozumí na úrovni "je to zelené = je to OK".

Jenže tady to zelené není. A "normální uživatel" nebude zkoumat, kde to vadí hodně a kde jenom trochu. Nanejvýš si všimne, že to na úvodní stránce zelené není, tak usoudí, že to na tomhle webu asi není potřeba - protože bezpečnost je pro ně přeci na první, druhém i  třetím místě, oni tomu určitě rozumí, takže kdyby bylo potřeba, aby to bylo zelené, tak by to zelené měli.

[Mirek Prýmek]

tak usoudí, že to na tomhle webu asi není potřeba - protože bezpečnost je pro ně přeci na první, druhém i  třetím místě, oni tomu určitě rozumí, takže kdyby bylo potřeba, aby to bylo zelené, tak by to zelené měli.

Opakuju: rozumně poučený uživatel VÍ, že "pokud to není zelené, nemám tam zadávat heslo".

[Lol Phirae]

Nechcete zas někde Jirsákovi založit další vlákno o prodeji OEM licencí M$ Woknous?