В течение 2012, 2013 и до обнародования уязвимости в первых числах апреля сего года, была возможность увести приватные ключи к SSL сертификатам серверов, работающих с использованием версии openssl 1.0.1.
Может стоит здесь начать публиковать список не сменивших ?
Может будет проще писать о тех, кто заменил сертификат? Есть такие?
Вы в курсе, что не у всех, даже использовавших проблемную библиотеку, система была построена так,
что можно было воспользоваться уязвимостью?
Как вы считаете, это нормально по SMS каналу рассылать логин и пароль к интернетбанку в связи с данной проблемой?
тут баланс между безопасностью и дистанционностью. Если вам выдали аля почтовую карту или бвк да и в некоторых других
банках с коробочными продуктами там вы и так логин/пароль на телефон получаете или по телефону восстанавливаете, собственно в некоробочном сбере так же. Так что с этой точки зрения это нормально, другой дело вопрос насколько вообще правильно все замыкать на сотовый.
0/0 |
| Поделиться:
Re: The Heartbleed Bug и онлайн-банкинг. Банки SSL...
если используется доп. авторизация кодиком на смс, то вполне, при этом потребовать смену пароля при первом входе.
И чё? Они и требуют сразу пароль поменять. Как это спасет от того, что у злоумышленника все карты на руках?
Ситуация когда телефон ушел налево, а хозяин еще не в курсе этого имеет совсем не нулевую вероятность, а тут еще и банк подарочек подкидывает.
Цитата: От пользователя: Muxeu
другой дело вопрос насколько вообще правильно все замыкать на сотовый.
Можно хотя бы логин не высылать? Только пароль и, например, номер договора?
0/0 |
| Поделиться:
Re: The Heartbleed Bug и онлайн-банкинг. Банки SSL...
Если вам выдали аля почтовую карту или бвк да и в некоторых других банках с коробочными продуктами там вы и так логин/пароль на телефон получаете или по телефону восстанавливаете, собственно в некоробочном сбере так же. Так что с этой точки зрения
это нормально
Это нормально, так как при первом обращении за паролем вменяемые люди инициирующие процесс обычно понимают что делают и телефон находится при них.
0/0 |
| Поделиться:
Re: The Heartbleed Bug и онлайн-банкинг. Банки SSL...
И чё? Они и требуют сразу пароль поменять. Как это спасет от того, что у злоумышленника все карты на руках?
Ситуация когда телефон ушел налево, а хозяин еще не в курсе этого имеет совсем не нулевую вероятность, а тут еще и банк подарочек
подкидывает.
вероятность того что клиент подключит ДБО (в конкретном банке), именно таким образом (есть другие варианты), у него специально уведут телефон, злоумышленники будут знать все этапы и последовательность действий, клиент не успеет сменить пароль и пр. Должны совпасть
временные и организационные моменты, вероятность того что всё сложится именно так мизерна. В любом случае безопасность она заложник удобства и компромисс должен оцениваться на адекватной вероятности рискового события.
0/0 |
| Поделиться:
Re: The Heartbleed Bug и онлайн-банкинг. Банки SSL...
Можно хотя бы логин не высылать? Только пароль и, например, номер договора?
можно, но наверняка этот же логин можно запросить типа "забыл". Вообще на месте злоумышленника я бы первом делом "восстанавливал" логин/пароль от ибанка
сбера. Дальше смотрел смски с уведомлениями об операциях и пытался восстановить логины/пароли от этих банков.
З.Ы.: А если не выслать логин то смахивает на мошенническую смску, я этот номер договора знать не знаю, помнить не помню.
0/0 |
| Поделиться:
Re: The Heartbleed Bug и онлайн-банкинг. Банки SSL...
Версия openssl 1.0.1 далеко не во всех системах используется. Не важно, на какой версии библиотеки выпускались ключи/сертификаты. Важно, какая версия криптобиблиотеки использовалась веб-сервером, при установке ssl-соединений. Зачем банку перевыпускать свои старые серты, если у него на сервере стоит
и всю жизнь стояла криптуха, допустим, от микрософта? Или версия openssl-я, отличная от заявленной в баговой рассылке?..
3/0 |
| Поделиться:
Re: The Heartbleed Bug и онлайн-банкинг. Банки SSL...
Версия openssl 1.0.1 далеко не во всех системах используется.
Используется не во всех, но во многих.
Цитата: От пользователя: Кедрович
Зачем банку перевыпускать свои старые серты, если у него на сервере стоит и всю
жизнь стояла криптуха, допустим, от микрософта? Или версия openssl-я, отличная от заявленной в баговой рассылке?
Незачем.
Кстати, вы хоть один онлайн-банкинг с криптухой от микрософта знаете ?
0/0 |
| Поделиться:
Re: The Heartbleed Bug и онлайн-банкинг. Банки SSL...
Речь о банке "Русский стандарт" ?
Если да, то по теме топика констатирую - SSL сертификат сервера они не сменили. За это им - незачот.
Они, видимо, вообще в апреле поменяли программу. Потому, что, как оказалось, теперь через
интернет-банк невозможно стало дробно платить налоги. Мы эту беду выявили на собственной шкуре и уже как неделю перед головным офисом поставили задачу ее разрешить, но пока - молчок. Похоже клиенты этого банка налоги платят не часто.
0/0 |
| Поделиться:
Re: The Heartbleed Bug и онлайн-банкинг. Банки SSL...
Все сервисы ТКС Банка изначально не были подвержены уязвимости
Heartbleed, поскольку банк не использовал поддержку технологии Heartbeat протокола SSL ни в одной из систем, взаимодействующих с клиентами и клиентскими данными
Внимание! сейчас Вы не авторизованы и не можете подавать сообщения как зарегистрированный пользователь.
Чтобы авторизоваться, нажмите на эту ссылку (после авторизации вы вернетесь на
эту же страницу)
