On 4/5/2016 6:19 PM, janek z pola wrote:
> witek wrote:
>
>> On 4/4/2016 4:30 PM, n...@p...pl wrote:
>>>> Zawsze mozna sie ograniczyc do "PKO (SA)". Czy "Pekao (SA)".
>>>
>>> zgadza się: literki "PKO BP" nie są jakoś zastrzeżone na całą planetę (i
>>> w przeciwieństwie do HP czy innego VW nie każdy barbarzyńca skojarzy od
>>> razu o co chodzi, a w przeglądarce prezentowałoby się przepięknie "PKO BP
>>> (SA)" albo "BZWBK(SA)" i większość klientów nawet by się nie zdziwiła...
>>>
>>
>> Jakbys tam wpisal pocałuj mnie w d... to też większość by się nie
>> zdziwiła. Jest zielona kłodka? Jest.
>> To znaczy, że jest dobrze bo banki każą sprawdzać czy jest zielona kłodka.
>> Rownie dobrze mógłbyś tam wstawić ikonę i większość byłaby szczęśliwa.
>
> Dlatego są dodatkowe mechanizmy. Po pierwsze jest przyczepianie certyfikatów
> w przeglądarkach https://kryptosfera.pl/post/public-key-pinning-w-fir
efoxie/
> Czyli to wyklucza ataki polegające na podmianie CA oraz niektóre MITM.
> Dodatkowo zapewne jest tak, że jakieś oprogramowanie antywirusowe też
> monitoruje jakie CA podpisuje i dodatkowo są listy domen niezaufanych, które
> mają zarówno przeglądarki jak i programy antywirusowe. Czyli jak będzie np.
> dla firmy Minus Bank, która ma domene swoja www.minusbank.tld, założona
> domne www.mimusbank.tld, to po dosyć krótkim czasie zostanie ona zablokowana
> na poziomie tych mechanizmów.
>

Ale nikt niczego nie podmienia.
Wchodzisz na złą stronę bo albo źle wklepales adres albo kilknales w
link porwadzący do tej strony i sie po prostu nie kapnąłęś gdzie jesteś.
Wszystko jest ok. Jesteś tam gdzie wlazłeś.

Jakims tam zabezpieczenien mogłoby być przyczepianie certyfikatów, ale
troszeczkę inaczej zrobione.
Tworzę listę certyfiaktów, które są w jakis ekstra sposób przeze mnie
wyróżnione i wejście na te strony jest dodatkowo wyróżniane w
przeglądarce. Powiedzmy pasek adresu jest na różowo.
Wowczas w krótkim czasie wyrobi ci się podswiadoma reakcja, że chciałeś
wejść na stronę banku, ale pasek nie jest na różowo czyli coś jest nie tak.
Zdaje się, że coś takiego jest już gdzieś zrobione, ale nie pamiętam
teraz w której przeglądarce o tym słyszałem.

Tylko teraz ile ludzi w ogóle ma zielonoróżowe pojęcie o tym co to w
ogóle jest certyfikat, do czego słuzy itp itd.

To musi być organoleptyczne rozwiązanie. Jest rozowe jest dobrze, nie
jest rózowe nie jest dobrze. I jeszcze na dodatek nie dające się oszukać
błędnym działaniem uzytkownika.
Może jakiś addin napisany wspolnie przez banki porównujący aktualny
certyfikat z bazą certyfikatów bankowych online zarządzanych przez banki.

To tez nie jest 100% bezpieczne, bo można użytkownikowi wcisnąć inny
addin, który robi to samo.
I tak w kółko.