Bankovnictví Komerční banky v Linuxu

31. 1. 2008 | Lukáš Jelínek | Recenze | 10743×

Historie bankovnictví KB

Komerční banka spustila provoz internetového bankovnictví v roce 2001. Vznikly dva různé produkty: čistě webové bankovnictví MojeBanka (pro provoz stačí prohlížeč) a dále produkt ProfiBanka, u kterého jsou data ukládána částečně i do databáze běžící na počítači, kde se s bankovnictvím pracuje. Později vznikla ještě třetí varianta - "odlehčené" bankovnictví Expresní linka Plus (nižší stupeň zabezpečení, méně funkcí, nízké limity).

Obecně nejzajímavější službou je MojeBanka (ProfiBanka se hodí pro střední a velké firmy, Expresní Linka Plus je navržena jako doplněk k jiným komunikačním kanálům), zbývající část článku se bude týkat této služby.

Při svém vzniku bylo bankovnictví MojeBanka pevně připoutáno na softwarovou platformu tvořenou operačním systémem Microsoft Windows a webovým prohlížečem Microsoft Internet Explorer. Bylo to dáno tím, že se zpočátku používala komponenta technologie ActiveX. Další potřebnou technologií byla Java, ovšem pouze implementace Javy od Microsoftu, tedy už v té době notně zastaralá.

Později bylo bankovnictví upraveno. Podpora Javy byla rozšířena i na novější verze od Sun Microsystems a především byla odstraněna závislost na ActiveX. Závislosti na operačním systému a prohlížeči se však MojeBanka nezbavila.

K další změně došlo v srpnu roku 2006. Zabezpečení bankovnictví bylo totiž příliš slabé. Byla sice možnost používat čipovou kartu, využil toho však málokdo. Většina klientů využívala základní verzi zabezpečení, tedy elektronické podepisování příkazů založené na soukromém klíči chráněném heslem. Protože došlo k útokům na účty některých klientů (trojský kůň na jejich počítačích odeslal útočníkovi soubor s klíčem a současně zaznamenal stisky kláves při zadávání hesla), bylo zabezpečení posíleno povinnou autorizací prostřednictvím jednorázového kódu zasílaného jako SMS na mobilní telefon.

Komerční banka byla dlouhá léta bombardována e-mailovými i telefonickými dotazy, kdy a zda vůbec bude bankovnictví upraveno tak, aby fungovalo i v jiných prohlížečích a operačních systémech. Konkurenční peněžní ústavy mezitím vesměs podporu implementovaly, nebo ji měly k dispozici již od počátku provozu internetového bankovnictví. Pouze Komerční banka odolávala a na dotazy odpovídala způsobem, který sice přinášel určitou naději, současně ale vůbec nic nesliboval.

Ke zlomu došlo až v roce 2007. Koncem října banka oznámila, že od 24. listopadu nastanou značné změny v internetovém bankovnictví. Jednou z hlavních změn měla být podpora dalších operačních systémů a prohlížečů. Podpora byla rozštěpena do dvou úrovní - jedna znamená plnou podporu (včetně asistence klientské linky při nastavování), druhá podporu na funkční úrovni (tedy že by to mělo běžet, ale každý si to musí nastavit sám).

Onoho dne skutečně ke změně došlo. Samozřejmě se mohly vyskytnout různé "dětské nemoci", proto něco nemuselo zpočátku fungovat úplně nejlépe. Nyní ale už uplynula dostatečně dlouhá doba, aby bylo možno funkčnost bankovnictví podrobit testu v různých prostředích.

Do banky v Linuxu

Test funkčnosti bude zaměřen pouze a jen na GNU/Linux. Testovací distribucí je openSUSE 10.3 ve 32bitové verzi. Testoval jsem i na distribuci Fedora Core 6 (opět dvaatřicetibitové) s naprosto stejnými výsledky. Výsledky pro 64bitové prostředí uvedu samostatně.

Co se týká Javy, testoval jsem jak Javu 5.0 (konkrétně 1.5.0_14-b03), tak i verzi 6.0 (Update 4). V obou případech byly výsledky stejné. Technické podmínky služby MojeBanka sice uvádějí konkrétní podporované verze, nicméně používání starých verzí (v nichž mohou být bezpečnostní chyby) není zrovna dobrý nápad. Proto jsem vždy používal (a v tomto testu tomu bylo nejinak) aktuální verzi Javy.

Mozilla Firefox

Firefox je nejpoužívanější prohlížeč pro GNU/Linux, proto přijde na řadu první, a to ve verzi 2.0.0.10. Při přechodu na adresu https://www.mojebanka.cz/ se objeví stránka s informacemi o tom, jak bude Java v následujících chvílích "vyhrožovat" a co se s tím má dělat. Stránka je stejná i pro další prohlížeče.

Následně je potřeba mít nainstalován plugin pro Javu. Pokud je plugin k dispozici, proběhne kontrola transparentně, v opačném případě skončíte na stránce zvané Konfigurační průvodce. Tam se dostanete i ve všech dalších případech, kdy není splněna některá nutná podmínka funkčnosti bankovnictví (např. není povolena Java).

Poznámka: Mezi podmínkami uváděnými průvodcem je také přítomnost podporovaného PDF prohlížeče. Bankovnictví bude fungovat i bez něj. Pouze nebude možné zobrazovat výstupy generované ve formátu PDF, případně (pokud prohlížeč k dispozici je, ale není propojen s prohlížečem) zobrazovat půjdou, ale v samostatném okně apod.

Při načítání přihlašovací stránky vyskočí dva potvrzovací dialogy. Každý se týká jednoho JAR archivu s javovými třídami. U prvního jde jen o potvrzení souhlasu s privilegovanými operacemi. Druhý ale navíc hlásí, že podpis archivu není důvěryhodný. Java nezná autoritu, která podepsala certifikát, jímž byl podepsán archiv appletu. Jenže je to poměrně podivné, protože onou autoritou je přímo firma Sun Microsystems, takže by v instalačním balíku Javy měl být potřebný certifikát přítomen. Těžko říct, v čem je problém...

Po odsouhlasení dialogů (lze zvolit, aby se příště nemusely znovu potvrzovat), výběru souboru s certifikátem a přihlášení do aplikace lze s bankovnictvím pracovat. Všechny funkce pracují bez problémů.

Opera

Dalším testovaným prohlížečem je Opera - a sice verze 9.25. Tady je to s varovnými dialogy ještě o něco složitější. Jsou totiž hned tři (dva se týkají archivů podepsaných certifikátem, který byl podepsán autoritou VeriSign), třetí je pak pro druhý archiv, stejně jako v případě prohlížeče Firefox.

Nepříjemné ale je, že se tyto dialogy zobrazí vždy, nelze je potvrdit natrvalo. Asi by to bylo řešitelné přes ruční nastavení v souborech Javy (java.policy, java.security), ale nejde rozhodně o triviální věc. Proto kdo chce používat pro bankovnictví tento prohlížeč, nezbývá mu, než se s odklikáváním dialogů smířit (s tím, že by si správně měl vždycky zkontrolovat, jestli nejde o pokus o útok).

Po překonání této nepříjemnosti už to jde jako po másle. Stačí (při první návštěvě) vybrat cestu k certifikátu, přihlásit se a normálně pracovat. Všechno funguje, jak má.

Konqueror

Test funkčnosti završím prohlížečem Konqueror 3.5.7. Vše se velmi podobá oběma předchozím prohlížečům - tentokrát to ale nezná ani autoritu VeriSign. Při pokusu provést operaci vyžadující větší práva se však Java dotazuje jednotlivě - tedy pro každé konkrétní oprávnění, které je potřeba (např. java.util.PropertyPermission java.class.path read - což značí povolení ke čtení systémové vlastnosti obsahující cesty k javovým třídám).

Lze "odklepávat" jednotlivá povolení (a vidět, čeho konkrétně se applet domáhá) nebo stisknout "Povolit vše" a víc to neřešit. Dotazy (resp. skupiny dotazů) budou celkem dva, jeden pro každý JAR archiv. Nastavená povolení se uloží a příště už nebude uživatel znovu obtěžován.

Při pokusu zadat cestu k certifikátu ovšem nastane problém. Někde je chyba (v implementaci appletu nebo v knihovnách Javy) - nelze totiž vybrat cestu v souborovém dialogu. Přesněji řečeno ji vybrat lze, ale místo ní se v poli appletu objeví text "undefined". Jedinou možností je napsat cestu ručně nebo ji odněkud překopírovat. Chybu už jsem ohlásil Komerční bance, takže třeba bude v budoucnu odstraněna.

Tím bohužel problémy nekončí. Kdo nemá povolena vyskakovací okna, dočká se pouze toho, že se mu objeví varování o pokusu otevřít takové okno. Pokud není otevření povoleno, vůbec se nezobrazí přehled účtů a s bankovnictvím nelze pracovat (při kliknutí na libovolnou položku z menu se pouze zobrazí zpráva, že načítání ještě není dokončeno). I v tomto případě jde o chybu, ovšem pravděpodobně v Konqueroru - javascriptové zobrazení do jiného rámu je asi vnímáno jako otevření pop-up okna. Prozatímním řešením je povolit si vyskakovací okna pro doménu mojebanka.cz.

To je naštěstí ohledně potíží všechno a další práce s bankovnictvím je již zcela bezproblémová. Všechno správně funguje a rovněž vzhled není nijak "rozhozený" nebo jinak neobvyklý. Pouze může působit trochu divně, že dotaz na zavření okna se zobrazí dvakrát (a pak se teprve okno zavře).

Další testy

Certifikační průvodce

Tzv. certifikační průvodce je webová aplikace doplňující bankovnictví MojeBanka a slouží k práci se souborem obsahujícím klíče a certifikát. Prostřednictvím průvodce lze prodloužit platnost certifikátu (resp. před skončením platnosti vytvořit nový), změnit e-mailovou adresu, zkontrolovat soubor s certifikátem atd.

Podle provedených testů fungoval průvodce ve všech třech testovaných prohlížečích. Podmínky funkce jsou stejné jako pro samotné bankovnictví - i průvodce je založen na javových appletech.

64bitový Linux

64bitové systémy se již stávají běžnou záležitostí. Proto leckoho zajímá, jak na nich fungují i takové věci, jako je právě internetové bankovnictví. Vyzkoušel jsem tedy funkčnost bankovnictví i s 64bitovým Linuxem, konkrétně na distribuci Kubuntu 7.10.

Na 64bitových systémech má člověk dvě možnosti, jak provozovat aplikace. Jednak v nativním (64bitovém) režimu, a pak také v režimu kompatibility (32bitové aplikace). Pokud se využije kompatibilní režim, bude se jednat o 32bitový prohlížeč a taktéž 32bitovou Javu, čili se situace převádí na tu, která byla na 32bitovém systému (pomineme-li případné chyby zaviněné vývojáři některých použitých knihoven - ale dnes již nejsou příliš časté).

Zajímavější je zjištění situace v čistě 64bitovém prostředí. Tam to vypadá tak, že existuje 64bitová verze Konqueroru a Firefoxu. Opera zatím takovou stabilní verzi nemá - lze použít verzi 9.50 beta, ale ta si s Javou příliš nerozumí a velmi často padá.

Také samozřejmě potřebujeme ještě 64bitovou Javu. Ta je již delší dobu k dispozici, nicméně v ní zatím chybí plugin potřebný pro některé prohlížeče. S Firefoxem, který tento plugin používá, tedy nepochodíme. Konqueror plugin nepotřebuje, vystačí si se samotným prostředím JRE.

Zkusil jsem v daném prostředí (tj. 64bitový GNU/Linux + 64bitový Konqueror + 64bitová Java) internetové bankovnictví MojeBanka a výsledek byl naprosto stejný jako v případě 32bitového prostředí. Kdo se tedy smíří s výše popsanými neduhy fungování v Konqueroru, může bankovnictví bez dalších potíží používat.

Zhodnocení

Internetové bankovnictví Komerční banky v GNU/Linuxu lze považovat za funkční a poměrně dobře použitelné. Kdo používá 32bitový Linux a prohlížeč Mozilla Firefox, pravděpodobně nebude muset řešit žádné problémy. Téměř stejně dobře poslouží i Opera, pokud se smíříme s otravnými dialogy. U Konqueroru je to mírně složitější, ale jen poprvé - při dalším použití je to již stejné jako u Firefoxu.

Co zatím nelze označit za uspokojivé, je nativní podpora na 64bitovém Linuxu. Zde v tuto chvíli připadá v úvahu jen Konqueror, brzy možná přibude i Opera. Uvidíme. Na použití bankovnictví KB však může naprosto zapomenout ten, kdo by chtěl používat čipovou kartu (místo autorizačních SMS) - ta v Linuxu podporována není a nejspíš hned tak nebude.

Obecně se tedy dá říct, že kdo chce nyní používat službu MojeBanka pod Linuxem, téměř nic mu v tom nebrání. Zjištěné nedostatky jsou jen zanedbatelné. Problémy na 64 bitech jsou způsobeny závažnými příčinami ležícími jinde a jejich vyřešení by pomohlo i v mnoha jiných případech. To už je ale úplně jiné téma.

Nástroje: Tisk bez diskuse