Zvláštní ukládání přihlašovacího certifikátu bankovnictví KB (diskuse)

HTML5 Web Storage nebo WebAPI Device Storage? Je možné, že dialog na mazání cookies mimochodem maže i tyto.

19.10.2013 18:59 Cohen | skóre: 21 | blog: Drobnosti | Brno
Rozbalit Rozbalit vše Re: Zvláštní ukládání přihlašovacího certifikátu bankovnictví KB

To by tedy fyzicky mělo být v nějaké SQLite databázi v profilu, ne? Zběžně jsem je teď proběhl, ale z domény mojebanka.cz tam nic nevidím (nevěnoval jsem tomu ale moc času, nevylučuji, že jsem to jen nepřehlédl).

OpenPGP key fingerprint: 489C 5EC8 0FD6 2BE8 9E59 B4F7 19C1 3E8C E0F5 DB61 (https://www.fi.muni.cz/~xruzick7/pgp-klic/)

19.10.2013 19:46 Bedňa | skóre: 34 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: Zvláštní ukládání přihlašovacího certifikátu bankovnictví KB

Dáta by sa mali ukladať len ako kľúč a hodnota nepátral som kde, ale najskôr to bude v priečinku .Mozilla. Ja tam mám súbory webappsstore.sqlite, webappsstore.sqlite-shm a webappsstore.sqlite-wal v podpriečinku firefox/mwad0hks.default, možno to je ono.

KERNEL ULTRAS video channel >>>

19.10.2013 19:50 Cohen | skóre: 21 | blog: Drobnosti | Brno
Rozbalit Rozbalit vše Re: Zvláštní ukládání přihlašovacího certifikátu bankovnictví KB

Ano, to je jedna z těch SQLite databází, které jsem zběžně prohlédl. Pokud jsem to nepřehlédl (což nevylučuji), tak to tam není.

OpenPGP key fingerprint: 489C 5EC8 0FD6 2BE8 9E59 B4F7 19C1 3E8C E0F5 DB61 (https://www.fi.muni.cz/~xruzick7/pgp-klic/)

22.10.2013 10:56 Valoun
Rozbalit Rozbalit vše Re: Zvláštní ukládání přihlašovacího certifikátu bankovnictví KB

Je to tam, certifikáty jsou uložené v webappsstore.sqlite. Pozor, domeny jsou tam ulzoene pozpatku, takze certifikaty jsou ulozene tusim pod nazvem domenu zc.aknabejom.ngis

22.10.2013 11:02 Cohen | skóre: 21 | blog: Drobnosti | Brno
Rozbalit Rozbalit vše Re: Zvláštní ukládání přihlašovacího certifikátu bankovnictví KB

Aha, díky. Do vysvětluje, proč jsem to nenašel při hledání řetězce „banka“. :-)

Jinak doplňuji, že včera mi chlapík z KB skutečně zavolal a potvrdil to, k čemu tu někteří již došli samostatným zkoumáním. Používá se HTML5 WebStorage. S cookies to tedy zase až tak moc nesouvisí. V další verzi aplikace prý bude i možnost certifikát snadno smazat (možná nechat ho smazat i automaticky pod odhlášení).

OpenPGP key fingerprint: 489C 5EC8 0FD6 2BE8 9E59 B4F7 19C1 3E8C E0F5 DB61 (https://www.fi.muni.cz/~xruzick7/pgp-klic/)

22.10.2013 11:30 Valoun
Rozbalit Rozbalit vše Re: Zvláštní ukládání přihlašovacího certifikátu bankovnictví KB

Smazat jde myslim už teď. V přihlašovacím dialogu je ikonka klíče, která zobrazí seznam certifikátů a u každého je možnost ho odstranit. Funkčnost jsem ovšem nezkoušel.

Do teď jsem měl certifikáty v souboru uložené v šifrovaném adresáři (encfs), takže stačilo přimountovat a poté se přihlásit. Teď buď musím oželet extra bezpečnost a nechat certifikát v prohlížeči (celý home mít šifrovaný jen kvůli pár citlivým heslům, certifikátům a dokumentům zatím nechci) a nebo kvůli každému přihlášení znovu nahrávat certifikát z disku a pak ho zase odstraňovat.

Na druhou stranu mám na starosti asi 10 počítačů (většina s windows), kde musí mojebanka fungovat, takže se mi zbavením se Javy hodně ulehčil život a za to to stojí.

22.10.2013 16:11 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Zvláštní ukládání přihlašovacího certifikátu bankovnictví KB

Firefox můžeš mít i standalone, uložený na encfs. Nebude se potom snažit číst data z home, ale ze složky, kde je uložený.

blog.rfox.eu

Takže jsme soukromý klíč převedli z děravého blob appletu do cookies v děravém prohlížeči? Z okapu pod okap… Kam na tyhle nápady ta KB chodí?

20.10.2013 01:57 pc2005 | skóre: 38 | blog: GardenOfEdenConfiguration | liberec
Rozbalit Rozbalit vše Re: Zvláštní ukládání přihlašovacího certifikátu bankovnictví KB

IMHO na právnické oddělení, za děravý prohlížeč nemůže :-D

Intel meltdown a = arr[x[0]&1]; karma | 帮帮我，我被锁在中国房

20.10.2013 02:00 Bedňa | skóre: 34 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: Zvláštní ukládání přihlašovacího certifikátu bankovnictví KB

O tom rozhodne až súd. Zatiaľ je to tvoja nijak právne podložená domnienka.

KERNEL ULTRAS video channel >>>

20.10.2013 09:45 kavol | skóre: 28
Rozbalit Rozbalit vše Re: Zvláštní ukládání přihlašovacího certifikátu bankovnictví KB

jako kdyby za děravou javu mohli ...

20.10.2013 17:37 pc2005 | skóre: 38 | blog: GardenOfEdenConfiguration | liberec
Rozbalit Rozbalit vše Re: Zvláštní ukládání přihlašovacího certifikátu bankovnictví KB

Jestli je stejně bezpečný java applet blob jako javaskript tak souhlas.

Intel meltdown a = arr[x[0]&1]; karma | 帮帮我，我被锁在中国房

Nedá mi to, abych se nepodělil: Na mailing listu OpenSC někdo prozradil, že existuje snaha udělat kryptografické operace jako přesměrování na localhost. Uživatel by si pustil démona se soukromým klíčem, webová aplikace chtivá podpisu by HTTP požadavkem na localhost předala data na podepsání a zpátky by z démona přišel podpis. Já jen, abyste se připravil, na co všechno můžou v Komerční bance přijít.

Vím, že tato diskuse už je hodně stará. Ale po celou dobu intenzivně bojuji s KB, aby ze své aplikace odstranila to "donucovadlo" vložit certifikát do prohlížeče. Pokud by se chtěl někdo připojit, rád mu předám podklady nebo dosavadní korespondenci. Osobně mám účet u jiné banky, KB však musím používat, jelikož tam má účet můj klient.

25.10.2016 15:33 Franta
Rozbalit Rozbalit vše Re: Zvláštní ukládání přihlašovacího certifikátu bankovnictví KB

Potkal jsem projekt, kde se popisovaným řešením inspirovali. Zpřístupnili privátní klíč javascriptovému kódu. Vysvětlil jsem jim, že si klíč může zkopírovat kdokoliv, kdo dokáže do webové stránky uložené nebo generované na straně webového serveru vložit vlastní javascriptový kód. Vyjmenoval jsem jim administrátora OS, webového serveru, aplikačního serveru, správce sítě (pokud není šifrována komunikace mezi loadbalancerem a aplikačním serverem), a rychle od toho utekli (a to jsem se ještě nedostali k útokům na protokoly). Od řešení si slibovali prosazení odpovědnosti uživatele za odeslaná data....