s...@g...com writes:

>> Sprawdzenie ścieżki certyfikatów jest łatwe, ale wymaga komputera,
>> nad którym mamy kontrolę. Jeśli komputer ma zainstalowane wredne
>> oprogramowanie, to niczego nie możemy być pewni.
>
> Jest łatwe jak wiesz co powinno byc w łancuchu certyfikacji.

Nie, nie jest to potrzebne.
Musisz (np. przeglądarka musi) wyłącznie znać odpowiedni zestaw "root
CA" (zawierający w szczególności root CA, od którego zaczyna się
"ścieżka").

Ew. korzystne może też być wykluczenie certyfikatów korzystających
z MD5, ostatnio było to dość mocno atakowane.

> Dziś większość antywirusów podmienia certyfikaty i jak zajrzysz to
> widzisz scieżkę i wszystko jest zielnie i wogóle cacy.

Nie wiem o jakie antywirusy chodzi, ale jeśli mamy złamany komputer, to
może on nam wyświetlać jakie mu się podobają "ścieżki", i nic to nie daje.

> Ale jak nie masz informacji na stronie banku jak powinien ten łańcuch
> wyglądać to nie wiesz czy jest taki jak ma byc czy jest dobrze
> zrobiony ale oszukany.

https://pl.wikipedia.org/wiki/Infrastruktura_klucza_
publicznego
https://pl.wikipedia.org/wiki/Certyfikat_klucza_publ
icznego

>> > A ja bym chciał aby był url z obrazkiem z numerkami certyfikatu i
>> > scieżki certyfikacyjnej aby ktos mi mógł taki obrazek przysłać albo
>> > przeczytać abym mógł szybko sprawdzić czy ktos mi przeglądarki nie
>> > oszukał.
>>
>> I to by miało coś gwarantować?
>>
>
> Oczywiscie. Jak bank opublikuje jak powinien wyglądać ciag
> certyfikacyjny wraz z numerami seryjnymi i modulo to ja wiem co
> powinno być widoczne w przeglądarce.
> Zrobienie certa zawierającego takie numerki jak w poprawnym jest dziś dosyc
trudne...

Ale spowodowanie (np. przez wirusa), by przeglądarka wyświetlała
dokładnie taki obrazek "jak powinien być" jest już zupełnie proste.

> No nie, Jak ktos ci zawirusował komputer to jaka jest szansa ze nie
> wlazł w komórke? OK. Jak to głupia komórka to spoks (choć ostatnio u
> niemców kody sms tez zhackowali na poziomie sieci gsm). smartfony tez
> są hackowane i po bezpieczeństwie nici.

Jest pewne ryzyko, ale jest ono dużo mniejsze niż w przypadku tylko
samego komputera, o którym wiemy, że jest "zawirusowany".

> W takim wypadku tylko hasla jednorazowe i token.

Hasła jednorazowe nie sprawdzają treści dyspozycji. Podobnie "zwykły"
token.
Oczywiście "token", który pokazuje szczegóły np. przelewu, jest dużo
bardziej bezpieczny.

> Tak czy siak, mialem taki problem i szukalem na stronie banku
> opublikowanych certyfikatów aby je porównać z tymi widzianymi w
> komputerze. Nie znalazłem w takiej formie jak napisalem. Musialem
> zalozyc ze inny komp jest czysty i porównać z widocznymi na tamtym...

BTW certyfikat może się zmienić w dowolnej chwili. Co z tego że
sprawdzisz podczas logowania. Jeśli przeglądarka nie sprawdza
prawidłowości certyfikatu, to sprawa jest z góry przegrana. Szukanie
czegokolwiek tego typu na stronie banku to nieporozumienie
(niezrozumienie idei PKI).
--
Krzysztof Hałasa