w "instrukcjach" banków internetowych mówi się, aby na wejściu sprawdzać
zawsze certyfikat. Co też staram się robić. I jest bank, który uzyskał
taki certyfikat w dniu 25.10.2005 i miał on być ważny do 28.10.2007. I
wszystko do dziś się zgadzało (SHA1 i MD5). Aż tu "nagle" dziś patrzę,
wszystko pozamieniane, data uzyskania 25.06.2007 (nie minął termin
ważności starego!), ważny do 25.06.2008. Oczywiście inne SHA1 i MD5.
Skąd ja, szary interesant, mam wiedzieć, że mnie ktoś nie robi w
bambuko, i że nie wylądowałem na lipnej stronie? Czy bank nie powinien
wysyłać do jego użytkowników internetowych jednorazowego info o
zmienionym certyfikacie? [mBank]

andy_nek

do góry

On Wed, 04 Jul 2007 22:53:24 +0200, Andrzej Kłos <a...@w...pl>
wrote:

>w "instrukcjach" banków internetowych mówi się, aby na wejściu sprawdzać
>zawsze certyfikat. Co też staram się robić. I jest bank, który uzyskał
>taki certyfikat w dniu 25.10.2005 i miał on być ważny do 28.10.2007. I
>wszystko do dziś się zgadzało (SHA1 i MD5). Aż tu "nagle" dziś patrzę,
>wszystko pozamieniane, data uzyskania 25.06.2007 (nie minął termin
>ważności starego!), ważny do 25.06.2008. Oczywiście inne SHA1 i MD5.
>Skąd ja, szary interesant, mam wiedzieć, że mnie ktoś nie robi w
>bambuko, i że nie wylądowałem na lipnej stronie?

Logiki trochę. Jeżeli nie wierzysz w nowy certyfikat, to nie
powinieneś też wierzyć w stary. Jest wystawiony dla www.mbank.com.pl?
Jest ważny? Nie jest przeterminowany? To właściwie w czym problem?
Przecież w dalszym ciągu masz potwierdzenie z VeriSign, że strona
mBanku to strona mBanku.

--
Maciej Bójko
m...@g...com

do góry

Użytkownik "Maciej Bojko" <m...@g...com> napisał w wiadomości
news:ul3o83lgti5gao9ue6t6he8jlatm2io7lp@4ax.com...
> On Wed, 04 Jul 2007 22:53:24 +0200, Andrzej Kłos <a...@w...pl>
> wrote:
>
>>w "instrukcjach" banków internetowych mówi się, aby na wejściu sprawdzać
>>zawsze certyfikat. Co też staram się robić. I jest bank, który uzyskał
>>taki certyfikat w dniu 25.10.2005 i miał on być ważny do 28.10.2007. I
>>wszystko do dziś się zgadzało (SHA1 i MD5). Aż tu "nagle" dziś patrzę,
>>wszystko pozamieniane, data uzyskania 25.06.2007 (nie minął termin
>>ważności starego!), ważny do 25.06.2008. Oczywiście inne SHA1 i MD5.
>>Skąd ja, szary interesant, mam wiedzieć, że mnie ktoś nie robi w
>>bambuko, i że nie wylądowałem na lipnej stronie?
>
> Logiki trochę. Jeżeli nie wierzysz w nowy certyfikat, to nie
> powinieneś też wierzyć w stary. Jest wystawiony dla www.mbank.com.pl?
> Jest ważny? Nie jest przeterminowany? To właściwie w czym problem?
> Przecież w dalszym ciągu masz potwierdzenie z VeriSign, że strona
> mBanku to strona mBanku.
>
> --
> Maciej Bójko
> m...@g...com

Mało tego Andrzeju, nowemu certyfikatowi powinieneś ufać bardziej ze względu
na status EV (Extended Validation).

do góry

"Andrzej Kłos" <a...@w...pl> wrote in message
news:468c083a$1@news.home.net.pl...
> Skąd ja, szary interesant, mam wiedzieć, że mnie ktoś nie robi w bambuko,
> i że nie wylądowałem na lipnej stronie? Czy bank nie powinien wysyłać do
> jego użytkowników internetowych jednorazowego info o zmienionym
> certyfikacie? [mBank]

Bo na certyfikacie jest napisane komu został wydany i to jest raczej ciężko
podrobić.

do góry

On Wed, 04 Jul 2007 23:24:13 +0200, Maciej Bojko wrote:

> Logiki trochę. Jeżeli nie wierzysz w nowy certyfikat, to nie
> powinieneś też wierzyć w stary. Jest wystawiony dla www.mbank.com.pl?
> Jest ważny? Nie jest przeterminowany? To właściwie w czym problem?
> Przecież w dalszym ciągu masz potwierdzenie z VeriSign, że strona
> mBanku to strona mBanku.

Problem w tym, że przez kilka godzin "odcisk palca" podawany na stronie
<http://www.mbank.com.pl/przewodnik/bezpieczenstwo/s
zyfrowanie.html> był
nieaktualny.

--
Marcin Mokrzycki
gg:659336 o2:mmokrzycki
http://amnezja.org.pl/

do góry

Andrzej Kłos wrote:

> Skąd ja, szary interesant, mam wiedzieć, że mnie ktoś nie robi w
> bambuko, i że nie wylądowałem na lipnej stronie?

nie wiesz tego, ale dopoki nie dodasz jakiegos lipnego certyfikatu
do listy zaufanych to mozesz wierzyc przegladarce

do góry

Dnia Wed, 04 Jul 2007 22:53:24 +0200, Andrzej Kłos napisał(a):

> w "instrukcjach" banków internetowych mówi się, aby na wejściu sprawdzać
> zawsze certyfikat. Co też staram się robić. I jest bank, który uzyskał
> taki certyfikat w dniu 25.10.2005 i miał on być ważny do 28.10.2007. I
> wszystko do dziś się zgadzało (SHA1 i MD5). Aż tu "nagle" dziś patrzę,
> wszystko pozamieniane, data uzyskania 25.06.2007 (nie minął termin
> ważności starego!), ważny do 25.06.2008. Oczywiście inne SHA1 i MD5.
> Skąd ja, szary interesant, mam wiedzieć, że mnie ktoś nie robi w
> bambuko, i że nie wylądowałem na lipnej stronie? Czy bank nie powinien
> wysyłać do jego użytkowników internetowych jednorazowego info o
> zmienionym certyfikacie? [mBank]

Jeżeli chcesz mieć pewność, że logujesz się do mBanku i po drodze,
żaden DNS nie został zatruty aby skierować Ciebie w inne miejsce niż
byś tego chciał, to możesz się łaczyć do mBanku na adres IP czyli:

[terror@cartel ~]$ host www.mbank.com.pl
www.mbank.com.pl has address 193.41.230.81

czyli https://193.41.230.81 - przeglądarka wyrzuci wprawdzie
problem z certyfikatem, ale to jest oczywiste, ponieważ wystawiono go na
adres kanoniczny www.mbank.com.pl. W przypadku łączenia się na IP masz
100% pewność (możesz zapomnieć o certach), że łączysz się do mBanku, no
chyba że zmieni się adres IP, ale to zdarza się bardzo rzadko z
wiadomych względów.

--
xbartx - Xperimental Biomechanical Android Responsible for Thorough Xenocide

do góry

Bartosz 'xbart' Nowakowski wrote:

> czyli https://193.41.230.81 - przeglądarka wyrzuci wprawdzie
> problem z certyfikatem, ale to jest oczywiste, ponieważ wystawiono go na
> adres kanoniczny www.mbank.com.pl. W przypadku łączenia się na IP masz
> 100% pewność (możesz zapomnieć o certach)

jaja sobie robisz prawda ? co Ci daje niby te pewnosc ?

do góry

Dnia Thu, 05 Jul 2007 08:39:46 +0200,
osoba podpisana: Bartosz 'xbart' Nowakowski <b...@h...net>
napisała:
> Dnia Wed, 04 Jul 2007 22:53:24 +0200, Andrzej Kłos napisał(a):
>
[..]
>
> [terror@cartel ~]$ host www.mbank.com.pl
> www.mbank.com.pl has address 193.41.230.81
>
> 100% pewność (możesz zapomnieć o certach), że łączysz się do mBanku, no

Jeśli rozmawiamy na tym poziomie paranoi, to należy rozważyć czy
przypadkiem jakiś router po drodze nie robi podmiany pakietów. Bez
jakiegoś IPsec słabo to widzę.

KJ


--
Nie oddawaj Polski oszołomom http://www.skubi.net/nieoddaj.html
According to the latest official figures, 43% of all statistics are
totally worthless.

do góry

"Bartosz 'xbart' Nowakowski" <b...@h...net> wrote in message
news:pan.2007.07.05.06.39.46.517043@hashzero.net...

> W przypadku łączenia się na IP masz
> 100% pewność (możesz zapomnieć o certach), że łączysz się do mBanku, no
> chyba że zmieni się adres IP, ale to zdarza się bardzo rzadko z
> wiadomych względów.

Ops.
Kolega chyba zapomniał, że po drodze jest jeszcze ze 40 routerów i ze 40
adminów, którzy równie skutecznie mogą namieszać w tablicy routingu jak i
inni admini w serwerach DNS.

Różnica jest tylko taka, że serwerów DNS po drodze i ich adminów do złapania
jest znacznie mniej niż routerów.

do góry