Widziałem wczoraj w TV reklamę - "Nie loguj się do banku jak jesteś połączony przez ogólnodostępne wifi bo ktoś ci może wykraść hasło. Ostrzega mBank."

Mi się wydawało, że sesja jest tworzona między serwerem banku a komputerem na którym się człowiek loguje więc przez wifi leci już nieczytelna sieczka.

Ktoś nie pomyślał, czy ja czegoś nie ogarniam?
P.G.

Cały dynks jest w "między serwerem banku".
Jeśli podłączasz się pod otwarte wifi - i jest ono przejęte lub po prostu ustawione przez hackera - a to żaden problem, wystarczy ustawić to samo SSID co jakiś popularny hot-spot - to może być tak ustawione, że przeglądarka połączy się z serwerem wskazanym przez hakera.
I albo będzie to po chamsku http a nie https - ale niewiele osób zwraca uwagę na "kłódkę" - albo nawet https, ale z certyfikatem wystawionym na hakera - co prawda np. firefox wyświetla wystawcę certyfikatu w pasku adresu, ale na to też niewiele osób zwraca uwagę.
Zapewne sporo trudniej jest oszukać apkę.

W dniu 2017-12-15 o 11:45, Dawid Rutkowski pisze:

I albo będzie to po chamsku http a nie https - ale niewiele osób zwraca uwagę na "kłódkę" - albo nawet https, ale z certyfikatem wystawionym na hakera - co prawda np. firefox wyświetla wystawcę certyfikatu w pasku adresu, ale na to też niewiele osób zwraca uwagę.

Dzięki.
To już wiem, czego nie wiem. Człowiek zawsze sądzi po sobie i pewne rzeczy przyjmuje za oczywiste. Ja przy każdej zmianie certyfikatu oglądam odcisk palca i znajduję sobie jakieś łatwe do zapamiętania dwa bajty i przed każdym logowaniem sprawdzam.
To jest takie inne zapamiętanie - nie umiem z pamięci podać tych bajtów, ale jak widzę odcisk palca, to wiem, że one się zgadzają.

Kiedyś na samym początku historii bankowości internetowej mBank pisał, żeby sprawdzać, więc sprawdzam. Inne banki nie pisały to u nich nie sprawdzam :)
P.G.

Użytkownik "Piotr Gałka"  napisał w wiadomości grup dyskusyjnych:p10b95$25k$1$PiotrGalka@news.chmurka.net...
W dniu 2017-12-15 o 11:45, Dawid Rutkowski pisze:

I albo będzie to po chamsku http a nie https - ale niewiele osób zwraca uwagę na "kłódkę" - albo nawet https, ale z certyfikatem wystawionym na hakera - co prawda np. firefox wyświetla wystawcę certyfikatu w pasku adresu, ale na to też niewiele osób zwraca uwagę.

Dzięki.
To już wiem, czego nie wiem. Człowiek zawsze sądzi po sobie i pewne rzeczy przyjmuje za oczywiste. Ja przy każdej zmianie certyfikatu oglądam odcisk palca i znajduję sobie jakieś łatwe do zapamiętania dwa bajty i przed każdym logowaniem sprawdzam.
To jest takie inne zapamiętanie - nie umiem z pamięci podać tych bajtów, ale jak widzę odcisk palca, to wiem, że one się zgadzają.

Strasznie wygodna ta bankowosc internetowa, co nie ? :-)

Kiedyś na samym początku historii bankowości internetowej mBank pisał, żeby sprawdzać, więc sprawdzam. Inne banki nie pisały to u nich nie sprawdzam :)

Mbank pare miesiecy temu zmienil certyfikatora, teraz jest DigiCert .... ale czy gdzies napisal, ze bedzie taka zmiana.

Czy nie zmienil, a ja powinienem poszukac kto mi grzebie w sieci ? :-)

J.

W dniu 2017-12-15 o 13:36, J.F. pisze:

Strasznie wygodna ta bankowosc internetowa, co nie ? :-)

Nawet z dokładnym sprawdzaniem to jednak szybciej niż wybierać się do bankowości marmurkowej :).

Mbank pare miesiecy temu zmienil certyfikatora, teraz jest DigiCert ... ale czy gdzies napisal, ze bedzie taka zmiana.

https://www.mbank.pl/bezpieczenstwo/bezpieczny-komputer/
Rozwiń "Jaki jest certyfikat ..." Ten bold to aktualny przy logowaniu.

Kiedyś to było mi dość trudno znaleźć.
Potem było tak, że na stronie Loguj były linki i dawało się np. ten odcisk palca od razu zobaczyć.
Teraz tam nie widzę (może ślepy) - znów było mi trudno znaleźć.

Czy takie roszady to z tego samego powodu, co półki w sklepach co rusz przestawiają.
P.G.

W dniu 2017-12-15 o 15:56, Piotr Gałka pisze:

Teraz tam nie widzę (może ślepy) - znów było mi trudno znaleźć.

Jednak ślepy - szukałem jakoś naokoło.
Na stronie logowania na dole Bezpieczeństwo i pkt.3.
P.G.

On Fri, 15 Dec 2017 15:56:12 +0100, Piotr Gałka
<piotr.galka@cutthismicromade.pl> wrote:

Mbank pare miesiecy temu zmienil certyfikatora, teraz jest DigiCert ... ale czy gdzies napisal, ze bedzie taka zmiana.

https://www.mbank.pl/bezpieczenstwo/bezpieczny-komputer/
Rozwiń "Jaki jest certyfikat ..." Ten bold to aktualny przy logowaniu.

Kiedyś to było mi dość trudno znaleźć.
Potem było tak, że na stronie Loguj były linki i dawało się np. ten odcisk palca od razu zobaczyć.

Na "dobrze" podmienionej stronie będą podmienione również te
informacje... Musiałbyś mieć odciski z innego (pewnego) źródła. WAM
--
www.nawakacje.pl ?
pokoje w górach www.wpolskichgorach.pl
pokoje na Mazurach www.spanienamazurach.pl
pokoje nad morzem www.nadmorze.pl

W dniu 2017-12-15 o 16:05, WAM pisze:

Na "dobrze" podmienionej stronie będą podmienione również te
informacje... Musiałbyś mieć odciski z innego (pewnego) źródła.

Tym pewnym źródłem są dla mnie te zapamiętane dwa bajty i mniej więcej wiem kiedy spodziewać się zmiany certyfikatu. Dużo wcześniejsza zmiana (nawet jakby na stronie było to samo) zapali mi czerwoną lampkę.

Kiedyś (jeszcze za czasów starego systemu) zmienili certyfikat, a nie poprawili w opisie bezpieczeństwa. Napisałem maila, czy mogę się zalogować jak to się nie zgadza. Poprawili natychmiast.

Zakładam, że nie da się (chyba) zrobić takiej strony, aby przeglądarka pokazywała kłódkę i aby odcisk palca wychodził taki sam.
P.G.

Użytkownik "Piotr Gałka"  napisał w wiadomości grup dyskusyjnych:p10nq6$6n2$1$PiotrGalka@news.chmurka.net...
W dniu 2017-12-15 o 13:36, J.F. pisze:

Strasznie wygodna ta bankowosc internetowa, co nie ? :-)

Nawet z dokładnym sprawdzaniem to jednak szybciej niż wybierać się do bankowości marmurkowej :).

Szczegolnie, ze u mnie marmurki mbank tez zmienia.

Jakby tak falszywy oddzial otworzyc ... tylko ludzie juz rzadko pieniadze wplacaja.

Wiem - falszywy wplatomat :-)

J.