scream <n...@p...pl> writes:

> Przeczytałeś w ogóle mój post? Jeśli nie ma obrazka, to wiadomo, że nie
> łączysz się ze stroną banku tylko z jakąś podróbą.

Oczywiscie. Ale im nie chodzi o to by bylo wiadomo, a raczej by nie
bylo wiadomo, stad jesli bedzie trzeba to obrazek bedzie i nic to
nie da. No, moze chwile spokoju dla bankow i ich klientow, ale nic
wiecej na dluzsza mete.

> Nie mam zastrzeżeń co do SSL, a jedynie zastrzeżenia do kombinacji
> login/hasło. To nie jest bezpieczna forma logowania.

Nie chodzi o zastrzezenia do samego SSL, a do sposobu jego
wykorzystania. Klient musi byc pewny, ze korzysta ze strony banku.

> Wyjaśnij więc jak byś podrobił stronę banku w takim przypadku.

W ogole bym jej nie podrabial, to bez sensu i zbyt skomplikowane.
Podstawilbym swoj system jako proxy miedzy klientem i bankiem.
Klient widzialby wszystko tak jak trzeba, w czasie rzeczywistym.
Moj system reagowalby tylko na okreslone rzeczy, np. na zlecenie
przelewu.
Duzo mniej pracy i duzo wieksza pewnosc dzialania.
Keyloggery, podrabianie stron? Bez zartow.

> MITM przy połączeniu kodowanym 128-bitowym SSLem? Jedynie jakiś bardzo
> sprytny trojan na komputerze usera, ale to nie phishing.

MITM wymaga polaczenia z komputerem innym niz chcemy, phishing wlasnie
na tym polega. Trojan (malo sprytny, tylko przekierowujacy polaczenia
np. TCP i grzebiacy w certyfikatach) tez moze byc.
Dlugosc klucza szyfrujacego w SSL jest tu bez znaczenia, gdyz
ten klucz bedzie znany temu MITM, nie lamiemy przeciez samego SSLa.
--
Krzysztof Halasa