Re: Czye-banki są bezpieczne? - Grupy dyskusyjne w eGospodarka.pl

eGospodarka.pl › Finanse › Grupy › pl.biznes.banki › Czye-banki są bezpieczne? › Re: Czye-banki są bezpieczne?

Path: news-archive.icm.edu.pl!news.rmf.pl!agh.edu.pl!news.agh.edu.pl!news.onet.pl!new
sgate.onet.pl!niusy.onet.pl
From: "prz3c1nak" <m...@t...pl>
Newsgroups: pl.biznes.banki
Subject: Re: Czye-banki są bezpieczne?
Date: 22 Feb 2006 20:10:03 +0100
Organization: Onet.pl SA
Lines: 68
Message-ID: <3...@n...onet.pl>
References: <dti9im$u8r$1@srv.cyf-kr.edu.pl>
NNTP-Posting-Host: newsgate.onet.pl
Mime-Version: 1.0
Content-Type: text/plain; charset="iso-8859-2"
Content-Transfer-Encoding: 8bit
X-Trace: newsgate.test.onet.pl 1140635403 26845 213.180.130.18 (22 Feb 2006 19:10:03
GMT)
X-Complaints-To: a...@o...pl
NNTP-Posting-Date: 22 Feb 2006 19:10:03 GMT
Content-Disposition: inline
X-Mailer: http://niusy.onet.pl
X-Forwarded-For: 212.76.37.136, 192.168.243.37
X-User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)
Xref: news-archive.icm.edu.pl pl.biznes.banki:378391
[ ukryj nagłówki ]
Witam ponownie

> Zaraz, zaraz, ale co to ma do rzeczy ?! :-)
> Albo sie w ogole nie reaguje na odwolanie po http,

w tym przykładzie nie chodziło o http, tylko https i długość klucza ...

> albo daje automatyczne przekierowanie. Jak jest
> tak, jak piszesz, to wlasnie jest dowod nieprofesjonalnego
> podejscia banku.
> Zatem slusznie sie oberwalo Multibankowi - w istocie ja
> odczytalem ten artykul nie jako wskazanie niebezpiecznych
> rozwiazan (bo wtedy powinni raczej jednak zawiadomic bank,
> cos w stylu zasad na bugtraq-u), tylko jako krytyke
> nieprofesjonalnie prowadzonych serwisow bankowych.
> A ilosc jedynek - wskazuje na nasilenie tego podejscia.

Obawiam się że nie do końca. Czy błędem jest wykrycie połączenia ze słabym
kluczem i wyświetlenie komunikatu że niezbędny jest silny by połączyć się z
bankiem to kwestia bardzo śliska. W dodatku czytając ten "raport" można odnieść
wrażenie że do systemów bankowych (MultiBank to tylko przykład) można się
zalogować korzystając z SSL i słabego klucza - autorzy nie napisali wprost że
tak nie jest, a laik nie odróżnia wyrażenia "możliwość nawiązania połączenia"
która służy tylko do eleganckiego obsłużenia błędu (w tym wypadku braku obsługi
krótkich kluczy) od możliwości zalogowania się. Nazwijmy rzeczy po imieniu - to
manipulacja.

> >
> > I znowu SSL2 ... Podatność o której napisali (błąd w mod_ssl)
> > dotyczy dość
>
> Jak to selektywnie czytasz :-[

O to się nie martw - przeczytałem bardzo uważnie, jak zawsze.

> > Mogę Cię
> > zapewnić, że gdyby Ci "specjaliści" potrafili taki sensowny
> > przykładowy atak
> > przeprowadzić, to byłby on w dokumencie - możesz być tego
> > pewnym.
>
> Nie wiem, czy potrafiliby, czy nie, ale na pewno nie powinni byli
> tego
> zrobic i dobrze, ze nie zrobili ;-)

A dlaczego nie? niech pokażą jak odszyfrowują SSL2 z długim kluczem ... Dane
osobowe i inne informacje (które przecież mogą należeć do jednego z nich)
zawsze można pozamazywać na zrzutach z ekranu. Taki atak miałby sporą wartość
dydaktyczną, zdecydowanie większą niż ten cały "dokument".

> To profesjonalistom niepotrzebne, a publicznosc nie przeczytalaby
> reszty.
> Uwazam tylko, ze powinni skomentowac tabelke, ale wtedy dopiero
> wszyscy
> by sie ich czepiali... :-)))

Własnie na tym polega problem - gdyby autorzy wyjaśnili szczegółowo znaczenie
tego co jest w tabeli, to najpewniej nie byłoby całego szumu, tv itd., jednym
słowem całe to przedsięwzięcie marketingowe mijałoby się z celem.

Pozdrawiam
prz3c1nak

--
Wysłano z serwisu OnetNiusy: http://niusy.onet.pl