Ъъъм, run_time,
По същество:
1) Въпросният изснифен ".crt" е публичния ключ. Значи при почти всички public-private key схеми за криптирана комуникация можеш да си го изснифиш. Най-малкото в този случай можеш сам да си установиш връзка към https сървъра и той ще си го каже като бял човек
'> Въпросът е какво му помага това на един човек, правещ MiM атака? Ами на практика почти нищо. Отделно, персоналните SSL сертификати, които банките издават не би следвало да имат общо с това, така че въобще не знам какво ги намесвате въобще.
2) Грешката на банката е че позволява информацията, свързана с автентикацията да присъства в хедъра на заявката, който при HTTPS протокола не е криптиран. И тук вече нещата стават сложни. Значи можеше да се замислят малко повече и автентикацията да представляваше например нещо SOAP-базирано и XML-ите които летят в случая да бъдат в payload-а на HTTP заявките, ерго HTTPS да ти осигурява криптирането и ето затова наистина си прав, и аз съм съгласен че това което техните девелопери са реализирали е доста глупаво.
Обаче!
Първо ти защо си мислиш че ако клиента предава MD5 хеш от паролата си, това ще доведе до нещо различно? Това ще падне рано или късно при bruteforce атака. Хешът може да е salt-нат и това ще елиминира опитите за прости dictionary атаки, но ако човек е особено упорит и има хардуерни ресурси, bruteforce върху хеша ще открие стринга с паролата, в разумен срок от време при това (имайки предвид и мисленето на жените от счетоводните отдели
'> )
Второ, нямам идея за електронното банкиране на ОББ (въпреки че дефакто съм им клиент - когато имах желание да се възползвам, тъпото им уеб-приложение не ми харесваше браузъра щото не бил ИЕ - не го излъгах дори с прословутия firefox plugin дето лъже за user agent-a). Не знам за какъв чеп издават клиентски сертификати при положение че явно не е задължително да те автентицират с тях, но при положение че го правеха, всичко това за което си говорим нямаше да има смисъл.
Трето, жената също е клиент на ОББ и е потребител на електронното им банкиране. Доколкото съм запознат с интерфейса им, можеш да направиш много малко неща при положение че си автентициран. В смисъл можеш да авторизираш плащания към трети страни. Тези трети страни съм сигурен че са регистрирани търговци, знаят им личните данни, адресите и тем подобна чувствителна информация и предполагам минават някакъв процес на одобряване. Демек аз трудно ще се направя на нещо като Топлофикация например, ще си измисля плащане, това ще ми бъде одобрено и аз, имайки чуждия акаунт да си го пусна към моята сметка.
Така че твоите rants са справедливи единствено по отношение на тъпата автентикация, която банката прави поради неизвестни причини по този ГЛУПАВ начин. И разни коментари от сорта на "всички банки са некадърни, ограбват ни" и т.н. са силно параноично-олигофренски и в стила дето най-много го мразя от секцията "живота и вселената". Най-лошото е че са модерни сега и не знам това детски стадий ли е от развитието на гражданското общество или обикновена българска простотия. Обаче въобще не ми допадат и ми напомнят на кретенското циврене на всякакви религиозни freaks като оная Шели, простотиите на онзи галош Расате, имамските проповеди в Африка от сорта на "СЗО не ви бие ваксини срещу детски паралич, това е химическа кастрация и ЦРУ плаща за това" и тем подобни абсолютни глупости.
Апропо, все още не ползвам електронното банкиране на ОББ и няма да ползвам докато не си сменят приложението с някакво нормално (не написано от някоя малоумна външна компания с двете си леви ръце).