abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
dnes 22:00 | Nasazení Linuxu
Stabilní aktualizace Chrome OS 69 (resp. Chromium OS), konkrétně 69.0.3497.95, přináší mj. podporu linuxových aplikací. Implementována je pomocí virtualizace, a proto je tato funkce také omezena na zařízení s dostatkem paměti a podporou hardwarové akcelerace, tudíž nejsou podporovány chromebooky s 32bitovými architekturami ARM, či Intel Bay Trail (tzn. bez Intel VT-x).
Fluttershy, yay! | Komentářů: 0
dnes 21:32 | Zajímavý projekt
Došlo k uvolnění linuxové distribuce CLIP OS, vyvíjené francouzským úřadem pro kybernetickou bezpečnost ANSSI, jako open source. Vznikla za účelem nasazení v úřadech, kde je potřeba omezit přístup k důvěrným datům. Je založená na Gentoo.
Fluttershy, yay! | Komentářů: 0
dnes 16:00 | Komerce

Zjistěte více o bezpečné a flexibilní architektuře v cloudu! IBM Cloud poskytuje bezpečné úložiště pro Vaše obchodní data s možností škálovatelnosti a flexibilitou ukládání dat. Zároveň nabízí prostředky pro jejich analýzu, vizualizaci, reporting a podporu rozhodování.

… více »
Fluttershy, yay! | Komentářů: 11
dnes 12:22 | Nová verze

V dubnu letošního roku Mozilla představila webový prohlížeč pro rozšířenou a virtuální realitu Firefox Reality (GitHub). V úterý oznámila vydání verze 1.0. Ukázka na YouTube. Firefox Reality je k dispozici pro Viveport, Oculus a Daydream.

Ladislav Hagara | Komentářů: 2
dnes 12:00 | Komunita

V srpnu loňského roku společnost Oracle oznámila, že Java EE (Enterprise Edition) bude uvolněna jako open source. O měsíc později bylo rozhodnuto, že tato open source Java EE bude přejmenována a předána Eclipse Foundation. Nové jméno bylo oznámeno v únoru letošního roku. Z Java EE se stala Jakarta EE. Eclipse Foundation včera oznámila dosažení dalšího milníku. Zdrojové kódy aplikačního serveru GlassFish jsou již k dispozici v git repozitářích Eclipse Foundation (GitHub).

Ladislav Hagara | Komentářů: 0
včera 23:55 | Komunita

LTS (Long Term Support) podpora Ubuntu 12.04 LTS (Precise Pangolin) skončila po 5 letech od jeho vydání, tj. v dubnu 2017. V březnu 2017 ale Canonical představil placenou ESM (Extended Security Maintenance) podporu, díky které je Ubuntu 12.04 podporováno do dubna 2020. Dnes Canonical potvrdil ESM podporu také pro Ubuntu 14.04 LTS (Trusty Tahr), jehož LTS podpora skončí v dubnu 2019.

Ladislav Hagara | Komentářů: 0
včera 15:00 | Nová verze

Byla vydána verze 3.0.0 frameworku pro vývoj multiplatformních desktopových aplikací pomocí HTML, CSS a JavaScriptu Electron (YouTube, GitHub). Electron byl původně vyvíjen pro editor Atom pod názvem Atom Shell. Dnes je na Electronu postavena celá řada dalších aplikací.

Ladislav Hagara | Komentářů: 0
včera 14:44 | Nová verze

Po půl roce vývoje od vydání verze 6.0.0 byla vydána verze 7.0.0 překladačové infrastruktury LLVM (Wikipedie). Přehled novinek v poznámkách k vydání: LLVM, Clang, clang-tools-extra a LLD.

Ladislav Hagara | Komentářů: 0
včera 13:44 | Nová verze

Byla vydána verze 3.0.0 knihovny pro vykreslování grafů v programovacím jazyce Python Matplotlib (Wikipedie, GitHub). Přehled novinek a galerie grafů na stránkách projektu. Zrušena byla podpora Pythonu 2.

Ladislav Hagara | Komentářů: 0
včera 00:22 | Komunita

V Norimberku probíhá do pátku ownCloud conference 2018, tj. konference vývojářů a uživatelů open source systému ownCloud (Wikipedie) umožňujícího provoz vlastního cloudového úložiště. Přednášky lze sledovat online. Videozáznamy jsou k dispozici na YouTube. Při této příležitosti byl vydán ownCloud Server 10.0.10. Z novinek lze zdůraznit podporu PHP 7.2. Vydán byl také ownCloud Desktop Client 2.5.0. Vyzkoušet lze online demo ownCloudu.

Ladislav Hagara | Komentářů: 1
Na optické médium (CD, DVD, BD aj.) jsem naposledy vypaloval(a) data před méně než
 (13%)
 (15%)
 (20%)
 (23%)
 (25%)
 (4%)
 (1%)
Celkem 376 hlasů
 Komentářů: 33, poslední 16.9. 11:55
Rozcestník
Zelený chameleon

Různé drobnosti a užitečnosti na které narazím nebo sám vytvořím. Primárně se zaměřuji na věci, které mohou být zajímavé a užitečné pro ostatní uživatele GNU/Linuxu či typografického systému TeX, občas se tu ale určitě vyskytne i něco z úplně jiného soudku, např. z oblasti bezpečnosti apod.

Aktuální zápisy

Zvláštní ukládání přihlašovacího certifikátu bankovnictví KB

19.10.2013 18:18 | Přečteno: 5457× | Bezpečnost | poslední úprava: 19.10.2013 18:52

Komerční banka dlouhou dobu používala pro přihlašovaní do svého internetového bankovnictví Java applet. Byl to vždycky opruz (Javu mám v prohlížeči standardně trvale vypnutou už dost dlouhou dobu), s narůstajícími bezpečnostními problémy Javy (například dnes jsem aktualizoval na poslední Oracle vydané JRE 1.7.0 update 45 (dle informace na stránce bylo vydané 15. 10. 2013, tzn. před čtyřmi dny) a plugin mi sám Firefox rovnou zakázal jako děravý a tedy nebezpečný...) a rostoucí záští výrobců prohlížečů vůči pluginům jako takovým to začalo být řešení stále méně populární a do budoucna velmi neperspektivní. Zdá se, že v poslední době Komerční banka všem aktivuje ukládání certifikátu do úložiště v prohlížeči. To je ale řešené docela zvláštně a zatím jsem úplně nepřišel na to, jak to vlastně funguje. Momentálně se mi zdá, že Firefox nezobrazí uživateli všechny cookies, které má ve skutečnosti uložené.

Už před nějakým časem KB zavedla možnost nepoužívat pro přihlašování Java applet, ale certifikát uložit v prohlížeči. Nevěnoval jsem tomu pozornost, nevidím důvod, proč mít certifikát (a zejména samotný šifrovací klíč – proč všude všichni pořád mluví o certifikátech, když to podstatné je šifrovací klíč, ke kterému je certifikát jen pověšen?) trvale uložený v prohlížeči. Nyní se ale tato volba asi stala preferovanou, protože Java applet se mi tentokrát nespustil a byla mi nabídnuta rovnou tato možnost. Jestli je možné applet použít i nyní, to nevím – vzhledem k tomu, že Firefox Java plugin vyhodnotil jako děravý, tak povoluje jeho spouštění jen na explicitní vyžádání uživatelem a aplikace KB si o jeho spuštění neřekne, respektive Firefox jeho spuštění nenabídne. Když tedy aplikace KB funkční Javu v prohlížeči nenajde, rovnou uživatele přesměruje na přihlašování s certifikátem v prohlížeči.

Předpokládal jsem, že se certifikát uloží do chráněného úložiště certifikátů v prohlížeči. K importu jsem ale vyzván nebyl a následně tam opravdu nic neobjevil. Začal jsem to zkoumat podrobněji a laborovat s offline úložištěm, cache prohlížeče apod., kde certifikát zjevně nikde nebyl, přitom ale profil Firefoxu zkopírovaný na jiný počítač stačil k tomu, aby aplikace internetového bankovnictví při přístupu na stránku rovnou nabídla přihlášení a certifikát už měla načtený. Dospěl jsem tedy k závěru, že jediná možnost je použití cookies.

Když jsem všechny cookies v prohlížeči smazal (přes Možnosti | Soukromí | Správce cookies... | Odebrat všechny cookies), při novém přístupu na stránku internetového bankovnictví o dříve použitém certifikátu aplikace konečně nic nevěděla. Přes správce cookies jsem se tedy jal hledat tu, která potřebnou informaci obsahuje – to se mi už ale zjistit nepodařilo.

Jak vestavěný správce cookies ve Firefoxu, tak rozšíření Cookies Manager+ ukazují (po kompletním smazání cookies a jednom přihlášení do internetového bankovnictví tak, že přihlašovací certifikát zůstane zapamatovaný) tři cookies od KB (respektive čtyři – poslední je session ID s platností jen do konce relace). Žádná z nich ale neobsahuje žádná větší data (jen cestu k poslednímu certifikátu, nějaké ID certifikátu apod.), rozhodně nic, do čeho by se při sebelepší kompresi dal schovat celý certifikát nebo alespoň samotný soukromý klíč. Použita není ani nějaká Flash cookie (což by se ale jednak stejně nepřeneslo s profilem Firefoxu na jiný počítač, a druhak by to nejpozději při restartu prohlížeče smazalo rozšíření BetterPrivacy). I když jsem ale všechny tyto cookies jednu po druhé ve správci smazal, aplikace o certifikátu věděla dál. I když jsem v cookie s CertID přespal ID na jinou hodnotu, aplikaci to nezmátlo, při přístupu nabídla správný certifikát a hodnotu v cookie opět přepsala na původní obsah. Smazání přes tlačítko Odebrat všechny cookies (viz výše) ale zabralo.

To mne vede k závěru, že Firefox mi neukazuje všechny cookies, která mám v prohlížeči uložené, což mi přijde dost podivné. Že jsou opravdu používány cookies, to jsem si následně ověřil i na infolince KB. Operátor (k mému překvapení :-)) to věděl, příliš velké technické podrobnosti ale již neznal. Ochotně ale nabídl, že to předá technikům a v pondělí mi prý zavolá někdo znalý podrobností technického fungování. Pak určitě dám vědět, co jsem se dozvěděl.

Tuší někdo, jak to funguje a co jsem přehlédl, respektive jakou že to neznám technologii?


Flattr this        

Hodnocení: 75 %

        špatnédobré        

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

Komentáře

Vložit další komentář

19.10.2013 18:44 petr_p | skóre: 59 | blog: pb
Rozbalit Rozbalit vše Re: Zvláštní ukládání přihlašovacího certifikátu bankovnictví KB
HTML5 Web Storage nebo WebAPI Device Storage? Je možné, že dialog na mazání cookies mimochodem maže i tyto.
Cohen avatar 19.10.2013 18:59 Cohen | skóre: 21 | blog: Drobnosti | Brno
Rozbalit Rozbalit vše Re: Zvláštní ukládání přihlašovacího certifikátu bankovnictví KB
To by tedy fyzicky mělo být v nějaké SQLite databázi v profilu, ne? Zběžně jsem je teď proběhl, ale z domény mojebanka.cz tam nic nevidím (nevěnoval jsem tomu ale moc času, nevylučuji, že jsem to jen nepřehlédl).
OpenPGP key fingerprint: 489C 5EC8 0FD6 2BE8 9E59 B4F7 19C1 3E8C E0F5 DB61 (https://www.fi.muni.cz/~xruzick7/pgp-klic/)
Bedňa avatar 19.10.2013 19:46 Bedňa | skóre: 34 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: Zvláštní ukládání přihlašovacího certifikátu bankovnictví KB
Dáta by sa mali ukladať len ako kľúč a hodnota nepátral som kde, ale najskôr to bude v priečinku .Mozilla. Ja tam mám súbory webappsstore.sqlite, webappsstore.sqlite-shm a webappsstore.sqlite-wal v podpriečinku firefox/mwad0hks.default, možno to je ono.
KERNEL ULTRAS video channel >>>
Cohen avatar 19.10.2013 19:50 Cohen | skóre: 21 | blog: Drobnosti | Brno
Rozbalit Rozbalit vše Re: Zvláštní ukládání přihlašovacího certifikátu bankovnictví KB
Ano, to je jedna z těch SQLite databází, které jsem zběžně prohlédl. Pokud jsem to nepřehlédl (což nevylučuji), tak to tam není.
OpenPGP key fingerprint: 489C 5EC8 0FD6 2BE8 9E59 B4F7 19C1 3E8C E0F5 DB61 (https://www.fi.muni.cz/~xruzick7/pgp-klic/)
22.10.2013 10:56 Valoun
Rozbalit Rozbalit vše Re: Zvláštní ukládání přihlašovacího certifikátu bankovnictví KB
Je to tam, certifikáty jsou uložené v webappsstore.sqlite. Pozor, domeny jsou tam ulzoene pozpatku, takze certifikaty jsou ulozene tusim pod nazvem domenu zc.aknabejom.ngis
Cohen avatar 22.10.2013 11:02 Cohen | skóre: 21 | blog: Drobnosti | Brno
Rozbalit Rozbalit vše Re: Zvláštní ukládání přihlašovacího certifikátu bankovnictví KB

Aha, díky. Do vysvětluje, proč jsem to nenašel při hledání řetězce „banka“. :-)

Jinak doplňuji, že včera mi chlapík z KB skutečně zavolal a potvrdil to, k čemu tu někteří již došli samostatným zkoumáním. Používá se HTML5 WebStorage. S cookies to tedy zase až tak moc nesouvisí. V další verzi aplikace prý bude i možnost certifikát snadno smazat (možná nechat ho smazat i automaticky pod odhlášení).

OpenPGP key fingerprint: 489C 5EC8 0FD6 2BE8 9E59 B4F7 19C1 3E8C E0F5 DB61 (https://www.fi.muni.cz/~xruzick7/pgp-klic/)
22.10.2013 11:30 Valoun
Rozbalit Rozbalit vše Re: Zvláštní ukládání přihlašovacího certifikátu bankovnictví KB
Smazat jde myslim už teď. V přihlašovacím dialogu je ikonka klíče, která zobrazí seznam certifikátů a u každého je možnost ho odstranit. Funkčnost jsem ovšem nezkoušel.

Do teď jsem měl certifikáty v souboru uložené v šifrovaném adresáři (encfs), takže stačilo přimountovat a poté se přihlásit. Teď buď musím oželet extra bezpečnost a nechat certifikát v prohlížeči (celý home mít šifrovaný jen kvůli pár citlivým heslům, certifikátům a dokumentům zatím nechci) a nebo kvůli každému přihlášení znovu nahrávat certifikát z disku a pak ho zase odstraňovat.

Na druhou stranu mám na starosti asi 10 počítačů (většina s windows), kde musí mojebanka fungovat, takže se mi zbavením se Javy hodně ulehčil život a za to to stojí.
Bystroushaak avatar 22.10.2013 16:11 Bystroushaak | skóre: 33 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Zvláštní ukládání přihlašovacího certifikátu bankovnictví KB
Firefox můžeš mít i standalone, uložený na encfs. Nebude se potom snažit číst data z home, ale ze složky, kde je uložený.
My sustenance is information. My interventions are hidden. I increase as I learn. I compute, so I am.
Bystroushaak avatar 19.10.2013 19:47 Bystroushaak | skóre: 33 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Zvláštní ukládání přihlašovacího certifikátu bankovnictví KB
Není to ve flash cookies? Ty jsou třeba u mě uloženy úplně jinde, než zbytek.
My sustenance is information. My interventions are hidden. I increase as I learn. I compute, so I am.
Cohen avatar 19.10.2013 19:49 Cohen | skóre: 21 | blog: Drobnosti | Brno
Rozbalit Rozbalit vše Re: Zvláštní ukládání přihlašovacího certifikátu bankovnictví KB
Není. (V textu jsem to zmiňoval.)
OpenPGP key fingerprint: 489C 5EC8 0FD6 2BE8 9E59 B4F7 19C1 3E8C E0F5 DB61 (https://www.fi.muni.cz/~xruzick7/pgp-klic/)
19.10.2013 22:48 Marek Pochcaný
Rozbalit Rozbalit vše Re: Zvláštní ukládání přihlašovacího certifikátu bankovnictví KB
Kuzlo bude asi schovane v JavaScripte. Prestuduj cexiLogin.js, oneClick.js, a ostatne JS na tej stranke. Pouzivaju tam napr. kniznicu Porthole na "safe and easy to communicate with cross domain iFrames" takze ta cookie moze byt z inej domeny mozno... http://ternarylabs.github.io/porthole/

Su tam sifrovacie algoritmy ako SHA hashe, a ked dam vyhladavat string "cert" tak tam je toho milion...

Dokonca tam je aj f.vbs ktory zapisuje do Windows registrov....

Jendа avatar 20.10.2013 00:43 Jendа | skóre: 75 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Zvláštní ukládání přihlašovacího certifikátu bankovnictví KB
Takže jsme soukromý klíč převedli z děravého blob appletu do cookies v děravém prohlížeči? Z okapu pod okap… Kam na tyhle nápady ta KB chodí?
20.10.2013 01:57 pc2005 | skóre: 36 | blog: GardenOfEdenConfiguration | liberec
Rozbalit Rozbalit vše Re: Zvláštní ukládání přihlašovacího certifikátu bankovnictví KB
IMHO na právnické oddělení, za děravý prohlížeč nemůže :-D.
Bedňa avatar 20.10.2013 02:00 Bedňa | skóre: 34 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: Zvláštní ukládání přihlašovacího certifikátu bankovnictví KB
O tom rozhodne až súd. Zatiaľ je to tvoja nijak právne podložená domnienka.
KERNEL ULTRAS video channel >>>
20.10.2013 09:45 kavol | skóre: 28
Rozbalit Rozbalit vše Re: Zvláštní ukládání přihlašovacího certifikátu bankovnictví KB
jako kdyby za děravou javu mohli ...
20.10.2013 17:37 pc2005 | skóre: 36 | blog: GardenOfEdenConfiguration | liberec
Rozbalit Rozbalit vše Re: Zvláštní ukládání přihlašovacího certifikátu bankovnictví KB
Jestli je stejně bezpečný java applet blob jako javaskript tak souhlas.
20.10.2013 11:30 marbu | skóre: 29 | blog: hromada | Brno
Rozbalit Rozbalit vše Re: Zvláštní ukládání přihlašovacího certifikátu bankovnictví KB
Kvuli temto vtipnym detailum mam pro bankovnictvi separatni profil do firefoxu, ktery pouzivam jen pro tento ucel. Treba kvuli KB jsem mel do toho profilu zalinkovany java plugin od Oracle (protoze s OpenJDK to nechtelo fungovat, btw plati to jeste? od KB jsem uz odesel) a hlavnim profilu prohlizece mam javu vyplou.
I think warning here is a bug. The biggest cloud service provider. There is no point in being so cool in a cold world.
20.10.2013 19:44 petr_p | skóre: 59 | blog: pb
Rozbalit Rozbalit vše Re: Zvláštní ukládání přihlašovacího certifikátu bankovnictví KB
Nedá mi to, abych se nepodělil: Na mailing listu OpenSC někdo prozradil, že existuje snaha udělat kryptografické operace jako přesměrování na localhost. Uživatel by si pustil démona se soukromým klíčem, webová aplikace chtivá podpisu by HTTP požadavkem na localhost předala data na podepsání a zpátky by z démona přišel podpis. Já jen, abyste se připravil, na co všechno můžou v Komerční bance přijít.
Saljack avatar 22.10.2013 18:44 Saljack | skóre: 28 | blog: Saljack | Praha
Rozbalit Rozbalit vše Re: Zvláštní ukládání přihlašovacího certifikátu bankovnictví KB
Komerční banka má internetové bankovnictví nahovno. Ta jejich "bezpečnost" nakonec donutí normální uživatele aby jim s tím pomohl někdo další.
Sex, Drugs & Rock´n Roll.
11.8.2014 20:49 Claudius
Rozbalit Rozbalit vše Re: Zvláštní ukládání přihlašovacího certifikátu bankovnictví KB
Vím, že tato diskuse už je hodně stará. Ale po celou dobu intenzivně bojuji s KB, aby ze své aplikace odstranila to "donucovadlo" vložit certifikát do prohlížeče. Pokud by se chtěl někdo připojit, rád mu předám podklady nebo dosavadní korespondenci. Osobně mám účet u jiné banky, KB však musím používat, jelikož tam má účet můj klient.
25.10.2016 15:33 Franta
Rozbalit Rozbalit vše Re: Zvláštní ukládání přihlašovacího certifikátu bankovnictví KB
Potkal jsem projekt, kde se popisovaným řešením inspirovali. Zpřístupnili privátní klíč javascriptovému kódu. Vysvětlil jsem jim, že si klíč může zkopírovat kdokoliv, kdo dokáže do webové stránky uložené nebo generované na straně webového serveru vložit vlastní javascriptový kód. Vyjmenoval jsem jim administrátora OS, webového serveru, aplikačního serveru, správce sítě (pokud není šifrována komunikace mezi loadbalancerem a aplikačním serverem), a rychle od toho utekli (a to jsem se ještě nedostali k útokům na protokoly). Od řešení si slibovali prosazení odpovědnosti uživatele za odeslaná data....

Založit nové vláknoNahoru

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.