Linux за българи: Форуми

Онзи ден ... горещ като всеки останал се чудех с какво да се занимавам на работа С една дума да отчитам дейност пред компютъра. Викам чакай да се позабавлявам малко с колегите и пуснах едно сниферче Поседях 10 минути и по едно време ми цъфна колежката от счетоводството ... но не профила и в aha.bg

http://free.ezua.com/images/5296891192511.JPG

След маклко и:

http://free.ezua.com/images/619332.JPG
 
Но в чист plain text да не си мислите, че бяха кодирани ...
Викам си невъзможно е Чакай да пробвам и ....

http://free.ezua.com/images/3964493238331.JPG

Хоп вътре съм .. Ужас! И това не е само 1 банка ... Попаднах и на това: http://www.kenanoff.com/blog/archives/356

А като знам, колко я оферираха и зарибяваха, че имала цифров подпис на карта с чип
Еее****ти и банките и чудото ...

Поне да ги бяха хашнали тези пост заявки с едно md5 .. то, че и то не е от най-сигурното, но пък в plain text .... нямам думи просто.

Не искам да се заяждам, но в повечето случаи, човек като си няма на представа за какво говори, много яко се излага, камо ли като не знае как функционира криптирана връзка. Просто съвет. Лек ден и не ми отг.

И ако всичко това за ПИБ е за "новия" им софтуер, дето изглежда като че ученик в 5-ти клас или баба на 70 години са го писали и който съзнателно реших да не използвам (разбирай услугите на банката), въпреки че ги ползвах поне от 2001-ва - супер!!!

Защо да се излага? И защо да не говори .. може и да не разбира толкова, но пък нищо не им пречи да си предават заявките към сървъра частично кодирани ... Ако пък говориш за сигурността на MD5 ... то да ако са над 8 символа може и да е сигурен.

И в крайна сметка аз си споделям .. вие си правете сами за себе си извода. Ужас .. тука стана да не напишеш 2 реда и ще те изядат с дрехите!

И да, не ме бива с крипирането и да разбрах, че това горе е публичния ключ, но пък това не ги извинява Защото аз успявам да се логна в сайта .. Дори и не разбиращ! А какво остава ако са такива като теб разбиращи

Хайде със здраве.

10q, run-time!
Уджес    
Излиза, че ако реши някой служител от интернет доставчика може да си напазарува доволно от сметките ни.
Сложих още една банка в блеклист-а.

С това пари не можеш да точиш, но пък спокойно можеш да си разглеждат движенията по сметката и налични суми .. или да обърнеш левове в долари .. което ще е малък ущърб според курса на долара ама ... То по тая логика дай да напускаме всеки, който иска да ни гледа в касата

Както и да е. И да не разбирам грам от криптиране ... предаването на потребителско име и парола в чист plain text си е некадърна работа, пък нека после аз се излагам .. само дето не аз получавам заплата там

....................

Хора опитах се като нормален човек да ви информирам за нещо, което касае може би всеки, а вие ме изкарахте малоумник! Ми добре ...


Ще помоля някой от модераторите да удари Х на темата! Явно е никому непотребна ...

Може и на акаунта да ми ударите Х,е не виждам такава опция в панела.

Хайде със здраве ...

П.С. Забранено е също да караш с над 50 градско ама съм 90% сигурен, че ако имаш кола не я караш с 49 км. За това,че ...

run_time,
какво може да се направи, против този exploit, който си описал?
За мен специално това не е толкова проблем на уеб сайта, а на начина, по който се администрира мрежата при вас.
Поне по мои наблюдения повечето организации имат security модел, според който всички вътре в мрежата са доверени, което не е толкова умно, но все пак е някакъв разумен компромис.

@runtime: Само пушилка вдигаш. Ако се предаваше паролата в кодиран вид какво щеше да се промени? Нека позная, нищо.

Ъъъм, run_time,

По същество:

1) Въпросният изснифен ".crt" е публичния ключ. Значи при почти всички  public-private key схеми за криптирана комуникация можеш да си го изснифиш. Най-малкото в този случай можеш сам да си установиш връзка към https сървъра и той ще си го каже като бял човек Въпросът е какво му помага това на един човек, правещ MiM атака? Ами на практика почти нищо. Отделно, персоналните SSL сертификати, които банките издават не би следвало да имат общо с това, така че въобще не знам какво ги намесвате въобще.

2) Грешката на банката е че позволява информацията, свързана с автентикацията да присъства в хедъра на заявката, който при HTTPS протокола не е криптиран. И тук вече нещата стават сложни. Значи можеше да се замислят малко повече и автентикацията да представляваше например нещо SOAP-базирано и XML-ите които летят в случая да бъдат в payload-а на HTTP заявките, ерго HTTPS да ти осигурява криптирането и ето затова наистина си прав, и аз съм съгласен че това което техните девелопери са реализирали е доста глупаво.

Обаче!

Първо ти защо си мислиш че ако клиента предава MD5 хеш от паролата си, това ще доведе до нещо различно? Това ще падне рано или късно при bruteforce атака. Хешът може да е salt-нат и това ще елиминира опитите за прости dictionary атаки, но ако човек е особено упорит и има хардуерни ресурси, bruteforce върху хеша ще открие стринга с паролата, в разумен срок от време при това (имайки предвид и мисленето на жените от счетоводните отдели )

Второ, нямам идея за електронното банкиране на ОББ (въпреки че дефакто съм им клиент - когато имах желание да се възползвам, тъпото им уеб-приложение не ми харесваше браузъра щото не бил ИЕ - не го излъгах дори с прословутия firefox plugin дето лъже за user agent-a). Не знам за какъв чеп издават клиентски сертификати при положение че явно не е задължително да те автентицират с тях, но при положение че го правеха, всичко това за което си говорим нямаше да има смисъл.

Трето, жената също е клиент на ОББ и е потребител на електронното им банкиране. Доколкото съм запознат с интерфейса им, можеш да направиш много малко неща при положение че си автентициран. В смисъл можеш да авторизираш плащания към трети страни. Тези трети страни съм сигурен че са регистрирани търговци, знаят им личните данни, адресите и тем подобна чувствителна информация и предполагам минават някакъв процес на одобряване. Демек аз трудно ще се направя на нещо като Топлофикация например, ще си измисля плащане, това ще ми бъде одобрено и аз, имайки чуждия акаунт да си го пусна към моята сметка.

Така че твоите rants са справедливи единствено по отношение на тъпата автентикация, която банката прави поради неизвестни причини по този ГЛУПАВ начин. И разни коментари от сорта на "всички банки са некадърни, ограбват ни" и т.н. са силно параноично-олигофренски и в стила  дето най-много го мразя  от секцията "живота и вселената". Най-лошото е че са модерни сега и не знам това детски стадий ли е от развитието на гражданското общество или обикновена българска простотия. Обаче въобще не ми допадат и ми напомнят на кретенското циврене на всякакви религиозни freaks като оная Шели, простотиите на онзи галош Расате, имамските проповеди в Африка от сорта на "СЗО не ви бие ваксини срещу детски паралич, това е химическа кастрация и ЦРУ плаща за това" и тем подобни абсолютни глупости.

Апропо, все още не ползвам електронното банкиране на ОББ и няма да ползвам докато не си сменят приложението с някакво нормално (не написано от някоя малоумна външна компания с двете си леви ръце).

...................

И да ползват IE, а не хакерски програми като Файнълфокс и Опра, написани от източноевропейски компютърни специалисти
Циркът е пълен

Може и да не е arp poison-ствал, сигурно си е пуснал снифъра на машина, през която минава трафика за навън

@gateway & svredlov

респект към знанията, които показвате, но според мен прекалено преекспонирахте нещата - човека просто искаше да сподели проблем със сигурността в онлайн банкирането на банката и според мен последвалите мнения от рода на "колко ви е смешно секюритито в организацията", "само хленчите, че всички банки са некадърни и ограбват" и т.н. са пресилени

ако искате да обясните дали има наистина реален проблем с интернет банкирането на ОББ или няма - направете го (явно можете и да се аргументирате), но останалото си е ненужно

..................

Добре! Вярно до някъде е мой проблема .. сега прочетох тук и там ... Да намерих достатъчно статии за "Detecting ARP Poisoning Attacks".

Но все пак искам да кажа... няма цирк .. няма роден гений .. Не съм се занимавал нито с хакване - нито с криптиране .. Реших просто да видя за какво става въпрос и ето, че разбрах едно слабо място! От НОВЕЛ са написали чудесна статия .. отстранено е вече!

НО!

За кой ... трябваше да се изпокарате, да ми кажете, че съм еди какво си и т.н. В един нормален форум, биха те посъветвали и обяснили, че проблема е в теб, а не в банка!
Биха ти обяснили, като нормални хора ( ще визирам майлинг листата на linux-bulgaria )! Но явно тука вече са доста голяма рядкост ... Хващате се за дребни работи и правите слон от тях .. обиждате хора наред, че едва ли не като не знаели дадено нещо били ...
На къде е тръгнала тая държава и идея си нямам ама ...
Ето за това след статията ми за slack като PDC и след като пак трябваше да отнеса 2342342 отговора от сорта на хард диск се пише твърд диск и реплики от сорта на какво е това безобразие линукс да работи с windows машини ... ми мерси! Вече честно нямам желанието да пиша нито във форума нито да си пиша статия за нещо, което съм правил и имал желанието да споделя!

Вие нямате елементарно уважение!

И в крайна сметка вие като сте такива гений да си бяхте насочили усилията към една статия свързана с въпроса, а не да демонстрирате *превъзходството си пред другите!

=== Предварително се извинявам на всички, които правилно ще забележат, че коментара ми не е по темата, но искам да изразя възмущението си от тона на sverdlov!

/off topic
@sverdlov: Голям компютърен специалист си и МРАЗИШ по-малките, но само на мен ли ми се струва, че личната ти страница не работи?

Цитат (http://www.sverdlov.net/alex/album/kremi/index.php @ юли 05,13:39)

Not Found The requested URL /alex/album/kremi/index.php was not found on this server.

А този адрес го получих от:

Цитат (http://www.sverdlov.net/ @ юли 05,13:42)

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns="http://www.w3.org/1999/xhtml"> <head> <meta http-equiv="Content-Type" content="text/html; charset=windows-1251" /> <title>Личният сайт на Александър Свердлов</title> ... <td width="15%"><div id="kremi" align="center"> <a href="alex/album/kremi/index.php" class="grey">Креми</a><br /> ...

И, вярвай ми, това не е единствената неработеща връзка!

Ползвам:

Цитат

Mozilla/5.0 (X11; U; Linux i686; bg-BG; rv:1.8.1.15) Gecko/20080625 Ubuntu/7.10 (gutsy) Firefox/2.0.0.15

  И сега по темата: Къде мога да намеря класация на доказалите се мрежови администратори, че като искам мрежата в офиса да е направена както трябва, да я прегледам и според финансовите си възможности, да използвам човек най-близо до върха в този занаят?!

@sverdlov
Да.

.........................

Може би нямаше да се заяде, ако не го беше извадил толкова голям или поне не се държеше като пълен кретен, който си мисли, че е хванал Бог за шлифера. Същата жалка картинка като тараторЯ, професионалисти То от богове не се пише по форуми вече
"So don't ever talk ####. And remember something nigga, while
 you rave and rant - a roach can live for nine days without its
 head, but you can't"
Immortal Technique

проблема на всички ни е в начина на общуване
...
единия открил БЪГЪТ-ГОЛЯМАТА РАБОТА...
другият се изказал с оВча култура за тва онова...
третият в ролята на "ах! как съм учил, ах, как съм чел! И как подтискам другите със знанията си!" се изказва също грандомански
...
мила родна картинка кво ся
дишайте дълбоко и бройте до десет

............................

Съботната ви енергия отиде да се разправяте.
Как да се придвижим напред, като няма с какво? Ние обсъждаме още каруцата, нищо не сме сглобили...

,,,,,,,,,,,,,,,,,,,,,,

//офтопик
 
Има неща, за който бих попитал, а не да се ровя с  Google , докато започне да ми просветлява. Тук вероятно има  хора, които знаят проблема, имат опит, или са се сблъсквали  практически с него, но! Избягвам да  питам, и то, за да не получавам коментари като тук.
Една от най-силните черти на Линукса е комюнитито и обратната връзка, а ние я губим тук.

@run_time, спокойно, едва ли някой от писалите по темата не е минал по тоя път (най-малкото от професионален интерес), но нали знаеш, който си признае той е Виновният.( ) Лично, пак искам да ти благодаря за това, че сподели наблюдението си, дори с риск да бъдеш оплют.
@svredlov, сигурно си ползвал прехваления c&a само за научни цели... и никога не си вършил нещо незаконно с (и върху) някакъв софтуер?

.......................

Хм обаче всъщност като се замисля HTTP хедърите не би следвало да се предават cleartext. Интересно откъде са се взели това потребителско име и парола.

...........................

....................................

.

Ъъъ, това което имаш предвид е "Man-in-the-middle" атака, включваща arp poisoning, за да излъжеш 2-та хоста да си комуникират с теб. Не знам защо трябва да редактираш ръчно payload-а на пакетите (не съм калкулатор за да сметна наум навреме чексумите). И все пак си има софтуер, автоматизиращ процеса, например hunt е един добър пример.

Накрая, това не ти помага по никакъв начин по отношение на SSL сесии.

А  "инжектирането" на лоши ARP ентрита в чуждите таблици далеч не е нещо сложно.

svredlov,
с извинение, но острия и атакуващ, без да се аргументира,  тон в тази тема започна от теб...

........................

А, не съм съгласен. Това е все едно ако искаш да разбереш как работи TCP протокола, да си напишеш собствен TCP стек базиран на raw сокети

арп пакета е точно 4 реда по 20 символа... всяка двойка в шестнайсетичен вид е цифра от ип адрес

знаейки кой е целта, кой си ти и кой е рутера, много лесно се редактира

едит - след това се пуска с file2cable по мрежата и ето ти инжекция... скиптира се на всеки 2 секунди по пакет и слушаш трафик - намесваш и твой личен ссл сертификат, потребителя го приема цъкайки послушно на ДА и слушаш ссл трафик...

ARP пакета няма нужда да се "редактира".

Като оставим това настрана, "намесването" на твоят сертификат е съвсем отделна боза. В един опростен случай, това ще стане ако браузърът е сет-нат на по-ниско ниво на сигурност и приема сертификати, които не са подписани от root CA. Тогава ще можеш да се представяш за сайта на банката и евентуално да се сдобиеш с някаква важна информация за жертвата.

Ако обаче се използва автентикация с клиентски, подписани от банковото CA SSL сертификати, не можеш да направиш нищо особено. Не можеш да имперсонираш банката за пред клиента, не можеш и обратното - да се направиш на клиент пред банката, защото нямаш частните ключове и защото механизмът на доверие е такъв.

сега разбрах как се прави. Благодаря!

Обясни ми много подробно как това което съм правил досега, не може да се направи - е, хората с повече опит са винаги добре дошли да ни научат как стават нещата.

Пак ти казвам: за да разбереш за какво си чел по страничките, трябва да го направиш с ръчички. Иначе, можем да си чешем езиците тук до безкрай. Аз ти казвам как става нещо, ти търсиш в гугъл, и ми пействаш нещо друго. И него ти го обяснявам, после трябва да се доказвам, после пак идва някой експерт.. а, бях забравил в коя държава се намирам ихх че зъм забраванко. И вместо да се опитвам да помогна, по-добре да се омитам да си изпълнявам обещанието - нито стъпка в тоя форум.

Послепис: все пак, ако някой иска да се научи, е добре дошъл. Но не във форума.

Ти очевидно си имаш различни проблеми, съжалявам тогава

Извинявам се за офтопика, но няма ли да престанете да си мерите пишките? Тоя форум какъв беше, какъв стана.... Аман от разбирачи! mikis добре каза в началото.

Цитат

Слаб модераторски контрол и това не е от вчера. Има две крайности в които може да отиде един форум - модераторски произвол и пълна липса на контрол. Този форум е се е запътил към втората. Явно някой много се страхува да го обвинят в ограничаване "свободата на словото", благодарение на което тук почти не останаха сериозни хора. За сметка на това се напълни с псевдо тарикати и псевдо разбирачи, които виждайки, че има мегдан за празни приказки си изливат словесната диария. А псевдо, защото ако ги срещнеш на живо няма да са такива тарикати, а ако им дадеш да свършат нещо конкретно няма и да са такива разбирачи. Обаче им дай да коментират кои са "малоумници", "ненормалници", "тъпанари", "фашисти", "комунисти", кои трябва "да се лекуват" и пр. простотии, за които в други форуми раздават бан без предизвестие. Но тук е друга работата и затова много хора предпочитат да изгубят 5 часа в Гугъл отколкото да пишат във форума. Чудно толкова ли няма един модератор, който всяка сутрин докато си пие кафето да трие простотиите, обидните коментари и празните приказки Като прибавим и проблемите с недъгавия софтуер и невъзможността му да се разширява, положението не е розово, както се казва.

Едно от нещата, които ми харесват тук е, че администраторите и модераторите не се държат като богоизбрани. Няма "промиващи" реклами и биташки шарении. С една дума - диша се. Не виждам причина някой да се притеснява, че сайтът западал. На който му е нужна помощ или иска да помогне го прави. Винаги ще има псевдо-културтрегери, които първо се заяждат, а после плачат, защо нямало контрол върху другите, но това е нормално, както и това, че монетата има две страни.

Аз първо да кажа мерси на Gaara за подкрепата

Само да предложа да заключим или каквото там темата, започна се откъде и се стигна докъде, просто не е човешко

аз да кажа, гатевай, нещата които говориш, правил ли си ги?

Ако не, ела да ти покажа как става, нагледно, това, за което ти говориш.

А след това, ти можеш да си опиташ да повториш....


Гаара... за теб се отнася същото. Относно темата която обсъждаме, разбира се.

И последно: аз също се забавлявам И още как. Все пак, темата е не къде да е, а в Хумор  

Между другото... темата е елементарна. Изчерпва се с 2 страници инструкции. От инжекция до ссл човек по средата - който не умее да редактира пакети, цъка с мишката и пак успява. Няма кво да си мерим пишките, наистина. Айде стига толкова.

Да, пробвал съм. Също така съм пачвал sshd така че да логва въведените потребителско име/парола. Не знам дали знаеш, но примерно ако клиента приема sshv1 и sshv2 и злият хахор го "излъже" че е sshd сървъра (и приема единствено sshv1), при клиента няма да излезе онова злобно съобщение "key verification failed" и процесът на автентикация ще си продължи. Това е много стар проблем, който продължава да съществува. И е просто един частен случай точно както и твоят случай с представянето на фалшив сертификат, очаквайки клиента да го приеме. Също така и  съм arp-poison-вал, "променял" съм трафик on-the-fly (в случая благодарение на hunt, понеже съм мързелив, да, съжалявам ако не е достатъчно "хахорско" там). И най-вече достатъчно добре знам какво представлява автентикацията с клиентски SSL сертификати. Не мога да разбера какво отношение има това към проблема обаче. Дефакто и никога да не бях се занимавал да го правя, нещата са достатъчно ясни. Но ако ти съответно държиш, обясни как можеш да извършиш успешно mitm атака в случая (SSL автентикацията е двустранна - клиентът (браузъра) се доверява на сървъра и съответно уеб сървъра автентицира клиентския сертификат). Ще ми е интересно да разбера. А може би наистина нямам идея. Защо не обясниш как мислиш че ще стане и защо според теб ще стане въобще?

ще стане защото съм го правил.

Потребителят само трябва да кликне на "приеми сертификата".

Използва се ettercap. Промяна на трафик "он дъ флай", тези неща също се правят със същата програма, само трябва да си компилираш съответния филтър.

Браво за пачването на ссхд, сам ли написа пача? Ако да - още веднъж браво, твоята пишка е по-голяма

Не смятам че е полезно за "аудиторията" да знае как точно се творят такива поразии - твърде много "админчета" се навъртат, с не достатъчно много integrity. Може да съм простак във форума и ми е приятно да отпускам отвреме на време, но ми е жал за безбройните секретарки чиято кореспонденция в гмайл и епей ще бъде прочетена ако публикувам в този форум това което искаш.  Мога да ти напиша на лично - ако все още държиш.

Няма да стане защото клиентът (браузърът)) след като си е импорт-нал сертификата, издаден от банката, ще изреве много лошо когато за този домейн му стои друг SSL сертификат. При това положение въобще няма да има диалог "ще приемете ли сертификата", независимо от нивото на сигурност на браузъра. В случаят, когато за пръв път отваряш сайт, чиито SSL сертификат е издаден от root CA (от тези, които по дефолт са ти в браузъра)...или в случаят в който за Н-ти път отваряш сайт, чиито сертификат е самоподписан или е подписан от CA, за което браузъра не знае, тогава вече ще ти излезе този диалогов прозорец, за който говориш.

Всъщност предполагам можеш да провериш, гледам че не те плаши да си правиш експерименти.

Хм обаче нямам идея какво ще се случи ако браузъра ти знае за "банковото" CA и никога не е установявало връзка със сайта там на онлайн-банкирането. Точно в този момент предполагам, може да се излъже, не знам. Всъщност ще дочакам жената да си докара лаптопа и ще си поиграя малко. В моят случай е много лесно,защото рутера си е под мой контрол и няма да ми се налага да й цапам arp кеша. Както и да е.

напротив, ще стане. но не с набора програми с които повечето сме запознати като хънт и тн. Както казах,
PM Ако ССЛ беше толкова сигурен, ипей нямаше да въведат допълнително ниво на сигурност използвайки логване със сертификат.

There is always a next level

А ми нека така да е,  значи нека стане и успееш да излъжеш клиента, че ти си банката. Ако банката не е ОББ и наистина те автентицира само с твоят клиентски сертификат (както би следвало), как мислиш да излъжеш банката и да се логнеш? Ще трябва по някакъв начин да се сдобиеш с това дето са го пратили на клиента

ако банковата аутентикация не е под формата на клиентски сертификат, ще успея.

Ако е със сертификат, нещата вече стават груби с изпълнение на код на клиентската машина, пак черз митм, metasploit и вкаран iframe чрез подмяна на съдържанието... получаване на сертификата и логване в банката.

Ако целта си заслужава средствата... всички знаем аксиомата.

Но без хаксорски трикове - със сертификат, прав си, няма да стане. Затова са и клиентските сертификати - за да предотвратят митм атаки. Ние тук говорим за ССЛ сниф, не за логване със сертификати, все пак. Нали горе точно това казвам - ипей въведоха сертификати, за да предотвратят хаксорите да пускат тредове по форумите колко са инсекюър.

Имам усещането че говорим за едно и също и спорим като всеки защитава тезата че 2+2=4...

Е ами аз още в началото казах, че ОББ очевидно глупаво си правят автентикацията. Доколкото знам ти издават клиентски сертификат, но очевидно  те автентицират само с потребителското ти име и паролата, иначе не знам как този пич run_time е успял да се логне там. Защо става така не знам (ако беше apache-ssl отсреща, нямаше да стигнеш въобще дотам да си въвеждаш потребителско име и парола, стига да има съответната require директива в конфигурацията). А то май е IIS-базирано и за това нищо не мога да кажа.

П.С ти ако имаш контрол върху клиентската машина така или иначе няма да ти трябва да правиш mitm атаки де

Случаят с ОББ не е уникален, за съжаление... остава едно - пускаме си банкиране само в сигурни системи като ипей, и съветваме приятели и познати да избягват "мързеливите" банки.

Аз за себе си съм взел решение - ипей е достатъчно развита и сигурна система. Работеща и с международни системи за разплащане, не виждам какво повече може да иска човек.

@gat3way: Мисля, че е повече от ясно как runtime е счупил ssl сесията. Подменил е серитификата на сайта, а счетоводителката без да и пука е игнорирала предупреждението. Със същия успех runtime може да счупи, която и да е ssl сесия на счетоводителката, което не прави съответната услуга несигурна.

По отношение на услугите на ОББ има два режима на работа - пасивен и активен. При пасивния ти е достатъчно да знаеш само потребителя и паролата, може да гледаш всякакви данни, но не и да правиш преводи. Поради тази причина банката не държи да знае дали отсреща се е логнал титуляра на сметката или някой който знае паролата и честно казано има смисъл в това. При активния режим може да правиш всичко, като за целта подписваш всяка една заявка. За последното може да ползваш както УЕП така и подпис издаден от банката. И тъй като системата банката не технически неграмотна счетоводителка, то няма как да счупиш тази аутентикация използвайки mitm атака.

И понеже се изказваш негативно към услугите на ОББ, мога да ти кажа че няма никакъв проблем да се ползват по linux с firefox.

линукс и файрфокс нямат нищо общо със сигурността на ссл сесиите на банката.
И ако аз имам фирма, и някой ми гледа транзакциите, ще страдам много повече отколкото ако ми откраднат 1000 лв някви хаксорчета чрез неоторизиран превод - за последното може и да се възстановят парите, но фактите по финансово разузнаване от конкуренти, да речем, няма кой да ме обезщети... с което искам да кажа, че не разбирам какво значи "да предоставим по-ниско ниво на сигурност" само чрез ссл от страна на ОББ? Или даваш пълен достъп или не даваш никакъв, средно положение няма. А за пълен достъп искаш нормална аутентикация чрез клиентски сертификат.

Много бих искал да чуя мнение на човек представляващ банката - едва ли никой от ИТ отдела им не посещава този форум.

dvasilev, вероятно е възможно да се ползва под линукс. Обаче това, което наричат "регистрационен формуляр за ползване на интернет банкиране" не може да се попълва с firefox. Просто излиза една празна страница, която те призовава да ползваш ИЕ. Както и да е, има един plugin, който лъже за user agent-a, когато го ползвам излиза формуляра за попълване, но не може да се попълни коректно и да се изпрати. Та затова не съм и клиент на електронното банкиране. Предполагам мога да отида в офис на банката и да си пусна молба на хартия, но не виждам защо трябва да се чувствам "прецакан" спрямо уиндоус потребителите и гадния им браузър.

Иначе мерси за разяснението с пасивния и активния режим, явно съм се поддал на идиотското параноично мислене и аз Значи нещата не са толкова идиотски, колкото са изглеждали

Ако ePay е "достатъчно развита и сигурна система", то може да се приеме, че всички банки ползващи системата за online банкиране на DataMax, са за предпочитане. ПИБ вече не е от тях и съответно не е за предпочитане. Защо не съм прав в разсъжденията си?

Според мен си прав в разсъжденията си. Това, което "внедриха" за онлайн банкиране ПИБ е значително по ненадеждно и смотано отколкото предишното. В момента ПИБ изпитват толкова трудности с поддръжката на онлайн банкирането си, хората от поддръжката са толкова заляти с въпроси и оплаквания, че с елементарни методи за social engineering можеш да се докопаш до произволна информация. Самата система едва се "крепи".

@sverdlov: От техническа гледна точка може да си много кадърен, но не забравяй, че какво му трябва на потребителя е отговорен отдел маркетинг. От такава гледна точка съм доста несъгласен с това

Цитат

Или даваш пълен достъп или не даваш никакъв, средно положение няма. А за пълен достъп искаш нормална аутентикация чрез клиентски сертификат.

Приложението на ОББ има два режима на достъп и макар и ти да не виждаш смисъл от "средното положение", то това не означава, че няма такъв. Ще ти дам един прост пример. Само един човек от фирмата може да е оторизиран да извършва плащанията, но още няколко да се занимават със тяхното осчетоводяване и съответно да имат достъп само за четене. В една такава ситуация възникват следните въпроси:
1. За техните нужди обосновано ли е да се ползва сертификат? Според мен, защотото ssl връзката ти осигурява достъчна защита.
2. Трябва ли да имат отделен account? Сигурно е хубаво, но аз не съм запознат (може и да има) с банка, която да предлага достъп (дори и offline) до движението по сметка на лице, което няма право да се разпорежда с нея.
От такава гледна това, което предлагат ОББ ми харесва (т.е е полезно) и е технически издържано, а това че ти имаш някакъв философски дискомфорт е друга тема.

Radev, отиди в www.epay.bg, регистрирай се и си създай сертификат. Логни се със сертификата. Запиши действията си на хартия, можеш да си правиш и бележки за смисъла им.

След това отиди в банка която приема само потребителско име и парола за онлайн банкиране. Регистрирай се. Логни се.

Запиши действията си на хартия.

Извади си логически изводи какво е ДатаМакс, и свързано ли е то с автентикацията при онлайн банкирането, и какво аджеба, искаш да попиташ, всъщност? Може би някой линк не ти работи?

dvasilev - напълно си прав за разпределението на права, не бях се сетил за това.

да очакваме ли включване на модератор или ще поставим рекорд по брой страници в тема в този раздел?  

Подобрен е нов рекорд и съответно темата е заключена.