W dniu sobota, 13 maja 2017 23:08:55 UTC+2 użytkownik Krzysztof Halasa napisał:
> s...@g...com writes:
>
> > Oczywiscie nic na dysku nie znalazlem, zero wirusów, dns-y dobre, certyfikaty się
zgadzają.
> >
> > I co ciekawe dokopać sie do opublikowanych poprawnych certyfikatów
> > jakie powinny byc jest trudno. Bo to ze mi sie certyfikat wyswietla
> > poprawnie w przegladarce i ma poprawny ciąg certyfikatów zaufanych to
> > nie znaczy ze jest dobrze.
> > Antywirusy podmieniają certyfikaty i też to wyglada dobrze. W sytuacji
> > rootkita czy wirusa nie mozna wierzyć temu co sie widzi w
> > przegladarce.
>
> Sprawdzenie ścieżki certyfikatów jest łatwe, ale wymaga komputera,
> nad którym mamy kontrolę. Jeśli komputer ma zainstalowane wredne
> oprogramowanie, to niczego nie możemy być pewni.
>

Jest łatwe jak wiesz co powinno byc w łancuchu certyfikacji.
Dziś większość antywirusów podmienia certyfikaty i jak zajrzysz to widzisz scieżkę i
wszystko jest zielnie i wogóle cacy.

Ale jak nie masz informacji na stronie banku jak powinien ten łańcuch wyglądać to nie
wiesz czy jest taki jak ma byc czy jest dobrze zrobiony ale oszukany.

Jak masz wirusa to jaki problem aby on do przeglądarki naładował ze 3-4 certyfikaty
powiązane ze soba i wyglądające na poprawne?

> > A ja bym chciał aby był url z obrazkiem z numerkami certyfikatu i
> > scieżki certyfikacyjnej aby ktos mi mógł taki obrazek przysłać albo
> > przeczytać abym mógł szybko sprawdzić czy ktos mi przeglądarki nie
> > oszukał.
>
> I to by miało coś gwarantować?
>

Oczywiscie. Jak bank opublikuje jak powinien wyglądać ciag certyfikacyjny wraz z
numerami seryjnymi i modulo to ja wiem co powinno być widoczne w przeglądarce.
Zrobienie certa zawierającego takie numerki jak w poprawnym jest dziś dosyc trudne...

> Jeśli ktoś boi się, że jego komputery opanowały wirusy i rootkity, to
> lepiej przynajmniej przejść na kody SMSowe (i używać telefonu bez
> podobnych "atrakcji"). Listy kodów jednorazowych + zawirusowany komputer
> - "nie mieszać".
>

No nie, Jak ktos ci zawirusował komputer to jaka jest szansa ze nie wlazł w komórke?
OK. Jak to głupia komórka to spoks (choć ostatnio u niemców kody sms tez zhackowali
na poziomie sieci gsm). smartfony tez są hackowane i po bezpieczeństwie nici.

W takim wypadku tylko hasla jednorazowe i token.

Jesli komputer jest zawirusowany to po ptokach

> Z tym, że w mBanku chyba jest jakaś droga uzyskania większego/pełnego
> dostępu, jeśli znamy tylko dane do logowania (np. z wirusa)? Ostatnio
> był taki temat, a może już to załatali?

w mbanku mamy id klienta i hasło do interfejsu webowego plus telekod do logowania sie
przez telefon.
I do kompletu pare danych które mozna pamietac (nazwisko panienskie matki) albo nie
pamietac (czy korzystasz z porduktu kredytowego - czy jakos tak).


Tak czy siak, mialem taki problem i szukalem na stronie banku opublikowanych
certyfikatów aby je porównać z tymi widzianymi w komputerze. Nie znalazłem w takiej
formie jak napisalem. Musialem zalozyc ze inny komp jest czysty i porównać z
widocznymi na tamtym...