Dnia Wed, 04 Jul 2007 22:53:24 +0200, Andrzej Kłos napisał(a):

> w "instrukcjach" banków internetowych mówi się, aby na wejściu sprawdzać
> zawsze certyfikat. Co też staram się robić. I jest bank, który uzyskał
> taki certyfikat w dniu 25.10.2005 i miał on być ważny do 28.10.2007. I
> wszystko do dziś się zgadzało (SHA1 i MD5). Aż tu "nagle" dziś patrzę,
> wszystko pozamieniane, data uzyskania 25.06.2007 (nie minął termin
> ważności starego!), ważny do 25.06.2008. Oczywiście inne SHA1 i MD5.
> Skąd ja, szary interesant, mam wiedzieć, że mnie ktoś nie robi w
> bambuko, i że nie wylądowałem na lipnej stronie? Czy bank nie powinien
> wysyłać do jego użytkowników internetowych jednorazowego info o
> zmienionym certyfikacie? [mBank]

Jeżeli chcesz mieć pewność, że logujesz się do mBanku i po drodze,
żaden DNS nie został zatruty aby skierować Ciebie w inne miejsce niż
byś tego chciał, to możesz się łaczyć do mBanku na adres IP czyli:

[terror@cartel ~]$ host www.mbank.com.pl
www.mbank.com.pl has address 193.41.230.81

czyli https://193.41.230.81 - przeglądarka wyrzuci wprawdzie
problem z certyfikatem, ale to jest oczywiste, ponieważ wystawiono go na
adres kanoniczny www.mbank.com.pl. W przypadku łączenia się na IP masz
100% pewność (możesz zapomnieć o certach), że łączysz się do mBanku, no
chyba że zmieni się adres IP, ale to zdarza się bardzo rzadko z
wiadomych względów.

--
xbartx - Xperimental Biomechanical Android Responsible for Thorough Xenocide