< HomePage | Снимки
<- Неделя, 3 Август 2008 | Начална страница | Вторник, 5 Август 2008 ->
Понеделник, 4 Август 2008

Наблюдавам доста хора около мен, които ползват online банкиране и забелязвам един особено вреден навик. По принцип online банкирането е дейност с която трябва да се внимава, защото имайки директен достъп до средствата и можейки да правиш преводи, означава че пипнат ли ти паролата/сертификата и/или експлоатацията на някой XSS проблем ще те лиши от трудно спечелените ти парички.

Всъщност, спазвайки много прости правила може да ви предпази!

А правилата са следните - НИКОГА не използвайте браузера ви за нещо друго, докато работите с online банкирането си (или epay). Не е сложно, просто преди да банкирате, затворете браузера, стартирайте го отново, ВЪВЕДЕТЕ НА РЪКА АДРЕСА НА САЙТА без да ползвате bookmarks и след като проверите сертфиката на сайта, действайте. Като си приключите работата затворете браузера, стартирайте го отново и тогава вече можете да ровите по любимите си сайтове за споделяне на видео, форуми, снимки и други подобни порнографии.

Разбира се, ползването на Firefox, а не Internet "бозата" Explorer също помага, а избягването на Windows - най-вече.

[ Коментари: 10 ]
Коментари

А защо "на ръка", а не през bookmark?

/Не се заяждам, питам :)/

Написа Александър Илиев на 06-Aug-2008 13:22


Защото най-лесното е за две секунди да ти сменя bookmark-а :) Разбира се ако съм на компютъра мога да кача keylogger и т.н., но подмяната на bookmark-а е най-лесното нещо и съм сигурен че 99% от хората няма и да забележат.

Написа Георги Чорбаджийски (www) на 06-Aug-2008 13:30


Мда, разумно :)

Написа Александър Илиев на 06-Aug-2008 13:40


Забелязвам, че НЕКОИ банки, все още гордо прокламират, че всички функции на Интернет банкирането им могат да се ползват пълноценно само с Интернет Експлорер. Ще сменяме банката, май(не само заради това де, то простотиите им станаха много).

Написа Георги Гочев на 06-Aug-2008 16:58


btw а как стои въпроса с history на браузъра? сега нямам спомен дали и тя не се пази във файл, но утре дано се сетя да погледна по дървото с директориите. и не, все още не ползвам online банкиране.

Написа Nick Angelow (www) на 06-Aug-2008 21:14


А каква е опасността ако има отворени други табове с някакви невъзможни флашове и подобни? Има ли практически атаки в които злобен javascript в някакъв сайт може да "види" имена/пароли от друг сайт отворен в съседнийя таб? Въпросът важи и за сайтове отворени преди/след във същия таб. Линкове с информация са добре дошли.

Написа Peter Rabbitson на 06-Aug-2008 21:33


@nick: при https по принцип кеша не се използва.
@peter: е точно за такива опасности говоря. Потърси за xss и csrf например. http://isc.sans.org/diary.html?storyid=1750

Написа Георги Чорбаджийски (www) на 06-Aug-2008 22:25


Не е ли по-лесно да се направи нов профил само за е-банкиране и epay.bg и да се отваря при нужда. Така се елиминира и риска от несигурни add-ons (extensions).

btw може ли да се работи с два профила едновременно?

Написа Драго на 27-Aug-2008 17:39


@драго: също добра идея, дори много добра, макар че no script и adblock трябва да се качат в този профил.

Написа Георги Чорбаджийски (www) на 27-Aug-2008 17:44


Два въпроса, много закъснели и леко риторични, но ... :

1. Как да проверя сетрификата на банката, при условие че той или е самоподписан, или в последно време - издаден от български удостоверител по ЗЕДЕП. За информация - единственият сигурен начин да се сдобиеш със сертификатите на нашите "удостоферители" (които също са самоподписани) е да отидеш на крак в офиса на всеки един от тях, да си го поискаш на CD и да изтърпиш профанските коментари и насмешки на "експертите" им.

2. Каква сигурност ми дава спазването на правилната процедура когато банката ми изисква УЕП, при условие че не ми е известна банка, която приема УЕП на Спектар, а всички други удостоверители у нас издават електронните подписи по начин, при който няма как да знаеш дали ключът е бил генериран в картата и ако е не е - колко копия има до момента. (Да, знам че е незаконно да се правят копия, но това не е довод.)

Това са само два от многото безумни проблеми с идиотската реализациятя на електронните подписи у нас. Предполагам те са достатъчни да разбереш защо се отказах да използвам електронно банкиране и се прехвърлих към банка, която е на 50 метра от офиса ми.

Написа Димитър Кавлаков на 13-Jan-2009 15:57