Piatkový večer, búrka a dážď mi pokazili plány na večer. Tak som sa dostal aspoň k tomu, čo som už celkom dlho plánoval – ako a či vôbec banky používajú HTTPS. V dnešnej dobe ide takmer o povinnosť na bežných weboch, dôvodov je niekoľko – od lepšej pozície až po tú bezpečnosť a spísal som ich v článku 4 dôvody, prečo používať HTTPS na bežnom webe.

S rozmachom Let‘s Encrypt a výhod HTTP/2 nejde o žiadnu veľkú vedu a Domain Validation (DV) certifikát je tak dostupný naozaj každému. Pre eshopy a finančné portály je odporúčaný Extended validation (EV) certifikát. To je taký ten zelený prúžok vo vašom prehliadači. Jeho získanie je náročnejšie nakoľko sa overuje subjekt pre ktorý sa vydáva a autorita za to ručí.

Jedna vec je teda nasadenie HTTPS a druhou správne nasadenie. Za posledné roky sa našlo veľa bezpečnostných problémov – stačí spomenúť Heartbleed, na ktorý som otestoval viac ako 300 tisíc .SK domén, alebo POODLE attack.

Normálne by človek povedal, že subjekty ako banky musia mať toto vychytané, veď aj obyčajný blog ako je tento môže mať hodnotenie A+ od Qualys a ich SSL Labs. Opak je ale pravdou.

Ako test prebiehal

zameral som sa na doménu na ktorej beží samotná webová prezentácia banky a na doménu internet bankingu, ak ho má banka k dispozícii
v dobe testu je u nás registrovaných 14 bánk so sídlom na Slovensku a 14 zahraničných bánk
pre testovanie bol použitý spomínaný online nástroj SSL Labs od Qualys a vo výsledkoch je jeho hodnotenie

Banky so sídlom na Slovensku

</tr>
<tr>
    <td>Poštová banka, a.s.</td>
    <td><a href="https://www.postovabanka.sk/" target="_blank">www.postovabanka.sk</a></td>
    <td style="background-color:#6AD232;">A-</td>
    <td><a href="https://moja.postovabanka.sk/" target="_blank">moja.postovabanka.sk</a></td>
    <td style="background-color:#6AD232;">A-</td>
</tr>
<tr>
    <td>Prima banka Slovensko, a. s.</td>
    <td><a href="https://www.primabanka.sk/" target="_blank">www.primabanka.sk</a></td>
    <td style="background-color:#6AD232;">A+</td>
    <td><a href="https://ib.primabanka.sk" target="_blank">ib.primabanka.sk</a></td>
    <td style="background-color:#FF3A20;">F</td>

</tr>
<tr>
    <td>Privatbanka, a. s.</td>
    <td><a href="https://www.privatbanka.sk/" target="_blank">www.privatbanka.sk</a></td>
    <td style="background-color:#6AD232;">A</td>
    <td><a href="https://ibank.privatbanka.sk/" target="_blank">ibank.privatbanka.sk</a></td>
    <td style="background-color:#6AD232;">A</td>
</tr>
<tr>
    <td>Prvá stavebná sporiteľňa, a. s.</td>
    <td><a href="https://www.pss.sk/" target="_blank">www.pss.sk</a></td>
    <td style="background-color:#6AD232;">A+</td>
    <td><a href="https://moja.pss.sk/" target="_blank">moja.pss.sk</a></td>
    <td style="background-color:#FFD030;">C</td>
</tr>
<tr>
    <td>Raiffeisen BANK (Tatra banka a.s.</a></td>
    <td><a href="https://www.raiffeisen.sk" target="_blank">www.raiffeisen.sk</a></td>
    <td style="background-color:#6AD232;">A</td>
    <td><a href="https://ib.raiffeisen.sk/" target="_blank">ib.raiffeisen.sk</a></td>
    <td style="background-color:#6AD232;">A</td>
</tr>
<tr>
    <td>Sberbank Slovensko, a. s.</td>
    <td><a href="http://www.sberbank.sk/" target="_blank">www.sberbank.sk</a></td>
    <td style="background-color:#FF3A20;">nemá HTTPS</td>
    <td><a href="https://ibs.sberbank.sk/" target="_blank">ibs.sberbank.sk</a></td>
    <td style="background-color:#FFD030;">C</td>
</tr>
<tr>
    <td>Slovenská sporiteľňa, a. s.</td>
    <td><a href="https://www.slsp.sk/" target="_blank">www.slsp.sk</a></td>
    <td style="background-color:#6AD232;">A</td>
    <td><a href="https://ib.slsp.sk/" target="_blank">ib.slsp.sk</a></td>
    <td style="background-color:#6AD232;">A</td>
</tr>
<tr>
    <td>Slovenská záručná a rozvojová banka, a. s.</td>
    <td><a href="https://www.szrb.sk/" target="_blank">www.szrb.sk</a></td>
    <td style="background-color:#FFD030;">C</td>
    <td><a href="https://www.szrb.sk/sk/internet-banking/" target="_blank">www.szrb.sk</a></td>
    <td style="background-color:#FFD030;">C</td>
</tr>
<tr>
    <td>Tatra banka, a. s.</td>
    <td><a href="http://www.tatrabanka.sk/" target="_blank">www.tatrabanka.sk</a></td>
    <td style="background-color:#6AD232;">A</td>
    <td><a href="https://moja.tatrabanka.sk/" target="_blank">moja.tatrabanka.sk</a></td>
    <td style="background-color:#6AD232;">A</td>
</tr>
<tr>
    <td>Všeobecná úverová banka, a. s.</td>
    <td><a href="https://www.vub.sk/" target="_blank">www.vub.sk</a></td>
    <td style="background-color:#6AD232;">A</td>
    <td><a href="https://ib.vub.sk/" target="_blank">ib.vub.sk</a></td>
    <td style="background-color:#6AD232;">A</td>
</tr>
<tr>
    <td>Wüstenrot stavebná sporiteľňa, a. s.</td>
    <td><a href="http://www.wuestenrot.sk/" target="_blank">www.wuestenrot.sk</a></td>
    <td style="background-color:#FFD030;">C</td>
    <td>x</td>
    <td>x</td>
</tr>

Názov banky	Web banky	SSL report	Internet banking	SSL report
Československá obchodná banka, a.s.	www.csob.sk	A+	ib24.csob.sk	A-
ČSOB stavebná sporiteľňa, a. s.	www.csob.sk	A+	x	x
OTP Banka Slovensko, a. s.	www.otpbanka.sk	B	otpdirekt.otpbanka.sk	A

OTP Banka, Privatbanka, Sberbank Slovensko nemá automatické presmerovanie z HTTP na HTTPS
Sberbank Slovensko nemá HTTPS
Tatra banka presmerováva z HTTPS na HTTP

Zoznam zahraničných bánk

Názov banky	Web banky	SSL report	Internet banking	SSL report
Banco Banif Mais, S. A.	www.cofidis.sk	F	x	x
BKS Bank AG	www.bksbank.sk	mismatch	x	x
Citibank Europe plc	citibank.com	C	x	x
COMMERZBANK Aktiengesellschaft	www.commerzbank.sk	A	cbportal.commerzbank.com	A
Fio banka, a.s.	www.fio.sk	A	www.fio.sk	A
ING Bank N. V.	www.ingwholesalebanking.sk	mismatch	x	x
J&T BANKA, a. s.	www.jtbanka.sk	A	e-portal.jtbank.cz	A
KDB Bank Europe Ltd.	sk.kdbbank.eu	nemá HTTPS	netbank.kdbbank.eu	F
Komerční banka, a.s.	www.koba.sk	A+	x	x
mBank S.A.	www.mbank.sk	nemá HTTPS	online.mbank.sk	A+
Oberbank AG	www.oberbank.sk	mismatch	banking.oberbank.sk	A-
The Royal Bank of Scotland N. V.	x	x	access.rbsm.com	C
UniCredit Bank Czech Republic and Slovakia, a. s.	www.unicreditbank.sk	C	sk.unicreditbanking.net	A+
ZUNO BANK AG	www.zuno.sk	A	moje.zuno.sk	A-

* BKS Bank AG používa certifikát vydaný pre bks.at * Citibank ma homepage na SSL, ale Slovenská podstránka nie je na HTTPS * ING Bank N. V. používa certifikát vydaný pre ingwb.com * Oberbank AG používa certifikát vydaný pre oberbank.at

Zhrnutie

Priznám sa, že osobne som očakával zelené pole. Myslím, že tolerantnejší môžeme byť pri webových prezentáciách bánk, no pri internet bankingu treba byť nekompromisný.

Samozrejme je možné sa v tom vŕtať hlbšie. Či nájdené problémy sú naozaj reálne, aký útok je možné zneužiť a či vôbec a podobne. To už nechávam na samoštúdium. Myslím, že je sa od čoho odpichnúť. Pri hľadaní podobných testov som narazil na jeden z Českej republiky, ktorý tak isto stojí za pozornosť.

Kapitolou samou o sebe sú bezpečnostné hlavičky, ktoré majú tak isto svoju váhu. Celkom komplexný nástroj nájdete na securityheaders.io. Do tohto sa už nebudem púšťat radšej vôbec, lebo by mi bolo ešte viac smutno.

Ako sú na tom Slovenské banky s HTTPS je lepšie nevedieť

Ako test prebiehal

Banky so sídlom na Slovensku

Zoznam zahraničných bánk

Zhrnutie

Mohli by vás zaujímať aj tieto články

Wapiti - skener zraniteľností webových aplikácií

„Zlá EÚ nám nechce dovoliť AI aplikácie“

Zákaznícky portál ZSE – phishing, alebo enterprise Microsoft služba?

Nie dobrý týždeň pre Azure a nádejný pre AWS

Nový kurz Kubernetes - objavte svet cloud native