The Diary
Дневникът на Георги
<- Неделя, 3 Август 2008 | Начална страница | Вторник, 5 Август 2008 ->
Понеделник, 4 Август 2008
Наблюдавам доста хора около мен, които ползват online банкиране и забелязвам един особено вреден навик. По принцип online банкирането е дейност с която трябва да се внимава, защото имайки директен достъп до средствата и можейки да правиш преводи, означава че пипнат ли ти паролата/сертификата и/или експлоатацията на някой XSS проблем ще те лиши от трудно спечелените ти парички.
Всъщност, спазвайки много прости правила може да ви предпази!
А правилата са следните - НИКОГА не използвайте браузера ви за нещо друго, докато работите с online банкирането си (или epay). Не е сложно, просто преди да банкирате, затворете браузера, стартирайте го отново, ВЪВЕДЕТЕ НА РЪКА АДРЕСА НА САЙТА без да ползвате bookmarks и след като проверите сертфиката на сайта, действайте. Като си приключите работата затворете браузера, стартирайте го отново и тогава вече можете да ровите по любимите си сайтове за споделяне на видео, форуми, снимки и други подобни порнографии.
Разбира се, ползването на Firefox, а не Internet "бозата" Explorer също помага, а избягването на Windows - най-вече.
[ Коментари: 10 ]Коментари
Защото най-лесното е за две секунди да ти сменя bookmark-а :) Разбира се ако съм на компютъра мога да кача keylogger и т.н., но подмяната на bookmark-а е най-лесното нещо и съм сигурен че 99% от хората няма и да забележат.
Мда, разумно :)
Забелязвам, че НЕКОИ банки, все още гордо прокламират, че всички функции на Интернет банкирането им могат да се ползват пълноценно само с Интернет Експлорер. Ще сменяме банката, май(не само заради това де, то простотиите им станаха много).
btw а как стои въпроса с history на браузъра? сега нямам спомен дали и тя не се пази във файл, но утре дано се сетя да погледна по дървото с директориите. и не, все още не ползвам online банкиране.
А каква е опасността ако има отворени други табове с някакви невъзможни флашове и подобни? Има ли практически атаки в които злобен javascript в някакъв сайт може да "види" имена/пароли от друг сайт отворен в съседнийя таб? Въпросът важи и за сайтове отворени преди/след във същия таб. Линкове с информация са добре дошли.
@nick: при https по принцип кеша не се използва.
@peter: е точно за такива опасности говоря. Потърси за xss и csrf например. http://isc.sans.org/diary.html?storyid=1750
Не е ли по-лесно да се направи нов профил само за е-банкиране и epay.bg и да се отваря при нужда. Така се елиминира и риска от несигурни add-ons (extensions).
btw може ли да се работи с два профила едновременно?
@драго: също добра идея, дори много добра, макар че no script и adblock трябва да се качат в този профил.
Два въпроса, много закъснели и леко риторични, но ... :
1. Как да проверя сетрификата на банката, при условие че той или е самоподписан, или в последно време - издаден от български удостоверител по ЗЕДЕП. За информация - единственият сигурен начин да се сдобиеш със сертификатите на нашите "удостоферители" (които също са самоподписани) е да отидеш на крак в офиса на всеки един от тях, да си го поискаш на CD и да изтърпиш профанските коментари и насмешки на "експертите" им.
2. Каква сигурност ми дава спазването на правилната процедура когато банката ми изисква УЕП, при условие че не ми е известна банка, която приема УЕП на Спектар, а всички други удостоверители у нас издават електронните подписи по начин, при който няма как да знаеш дали ключът е бил генериран в картата и ако е не е - колко копия има до момента. (Да, знам че е незаконно да се правят копия, но това не е довод.)
Това са само два от многото безумни проблеми с идиотската реализациятя на електронните подписи у нас. Предполагам те са достатъчни да разбереш защо се отказах да използвам електронно банкиране и се прехвърлих към банка, която е на 50 метра от офиса ми.
Disclaimer: Except where otherwise noted all opinions expressed here are personal
opinions of the author and do not reflect official opinions of my employer or
any other person, company or organization associated with the author.
Copyright: Except where otherwise noted the content of this site is licensed under a
Creative Commons Attribution License. Текстът на договора за ползване на български
Copyright (cc) 2003-2011 Georgi Chorbadzhiyski. Some rights reserved.
Comments, texts and pictures not signed by me are property of their respective owners.
Страницата е генерирана от Glog v3.99-test
А защо "на ръка", а не през bookmark?
/Не се заяждам, питам :)/
Написа Александър Илиев на 06-Aug-2008 13:22