Menu

Vlog

Sleduj ma

alian.info

Twitter

Ako sú na tom Slovenské banky s HTTPS je lepšie nevedieť

Piatkový večer, búrka a dážď mi pokazili plány na večer. Tak som sa dostal aspoň k tomu, čo som už celkom dlho plánoval – ako a či vôbec banky používajú HTTPS. V dnešnej dobe ide takmer o povinnosť na bežných weboch, dôvodov je niekoľko – od lepšej pozície až po tú bezpečnosť a spísal som ich v článku 4 dôvody, prečo používať HTTPS na bežnom webe.

S rozmachom Let‘s Encrypt a výhod HTTP/2 nejde o žiadnu veľkú vedu a Domain Validation (DV) certifikát je tak dostupný naozaj každému. Pre eshopy a finančné portály je odporúčaný Extended validation (EV) certifikát. To je taký ten zelený prúžok vo vašom prehliadači. Jeho získanie je náročnejšie nakoľko sa overuje subjekt pre ktorý sa vydáva a autorita za to ručí.

Jedna vec je teda nasadenie HTTPS a druhou správne nasadenie. Za posledné roky sa našlo veľa bezpečnostných problémov – stačí spomenúť Heartbleed, na ktorý som otestoval viac ako 300 tisíc .SK domén, alebo POODLE attack.

Normálne by človek povedal, že subjekty ako banky musia mať toto vychytané, veď aj obyčajný blog ako je tento môže mať hodnotenie A+ od Qualys a ich SSL Labs. Opak je ale pravdou.

Ako test prebiehal

Banky so sídlom na Slovensku

</tr>
<tr>
    <td>Poštová banka, a.s.</td>
    <td><a href="https://www.postovabanka.sk/" target="_blank">www.postovabanka.sk</a></td>
    <td style="background-color:#6AD232;">A-</td>
    <td><a href="https://moja.postovabanka.sk/" target="_blank">moja.postovabanka.sk</a></td>
    <td style="background-color:#6AD232;">A-</td>
</tr>
<tr>
    <td>Prima banka Slovensko, a. s.</td>
    <td><a href="https://www.primabanka.sk/" target="_blank">www.primabanka.sk</a></td>
    <td style="background-color:#6AD232;">A+</td>
    <td><a href="https://ib.primabanka.sk" target="_blank">ib.primabanka.sk</a></td>
    <td style="background-color:#FF3A20;">F</td>

</tr>
<tr>
    <td>Privatbanka, a. s.</td>
    <td><a href="https://www.privatbanka.sk/" target="_blank">www.privatbanka.sk</a></td>
    <td style="background-color:#6AD232;">A</td>
    <td><a href="https://ibank.privatbanka.sk/" target="_blank">ibank.privatbanka.sk</a></td>
    <td style="background-color:#6AD232;">A</td>
</tr>
<tr>
    <td>Prvá stavebná sporiteľňa, a. s.</td>
    <td><a href="https://www.pss.sk/" target="_blank">www.pss.sk</a></td>
    <td style="background-color:#6AD232;">A+</td>
    <td><a href="https://moja.pss.sk/" target="_blank">moja.pss.sk</a></td>
    <td style="background-color:#FFD030;">C</td>
</tr>
<tr>
    <td>Raiffeisen BANK (Tatra banka a.s.</a></td>
    <td><a href="https://www.raiffeisen.sk" target="_blank">www.raiffeisen.sk</a></td>
    <td style="background-color:#6AD232;">A</td>
    <td><a href="https://ib.raiffeisen.sk/" target="_blank">ib.raiffeisen.sk</a></td>
    <td style="background-color:#6AD232;">A</td>
</tr>
<tr>
    <td>Sberbank Slovensko, a. s.</td>
    <td><a href="http://www.sberbank.sk/" target="_blank">www.sberbank.sk</a></td>
    <td style="background-color:#FF3A20;">nemá HTTPS</td>
    <td><a href="https://ibs.sberbank.sk/" target="_blank">ibs.sberbank.sk</a></td>
    <td style="background-color:#FFD030;">C</td>
</tr>
<tr>
    <td>Slovenská sporiteľňa, a. s.</td>
    <td><a href="https://www.slsp.sk/" target="_blank">www.slsp.sk</a></td>
    <td style="background-color:#6AD232;">A</td>
    <td><a href="https://ib.slsp.sk/" target="_blank">ib.slsp.sk</a></td>
    <td style="background-color:#6AD232;">A</td>
</tr>
<tr>
    <td>Slovenská záručná a rozvojová banka, a. s.</td>
    <td><a href="https://www.szrb.sk/" target="_blank">www.szrb.sk</a></td>
    <td style="background-color:#FFD030;">C</td>
    <td><a href="https://www.szrb.sk/sk/internet-banking/" target="_blank">www.szrb.sk</a></td>
    <td style="background-color:#FFD030;">C</td>
</tr>
<tr>
    <td>Tatra banka, a. s.</td>
    <td><a href="http://www.tatrabanka.sk/" target="_blank">www.tatrabanka.sk</a></td>
    <td style="background-color:#6AD232;">A</td>
    <td><a href="https://moja.tatrabanka.sk/" target="_blank">moja.tatrabanka.sk</a></td>
    <td style="background-color:#6AD232;">A</td>
</tr>
<tr>
    <td>Všeobecná úverová banka, a. s.</td>
    <td><a href="https://www.vub.sk/" target="_blank">www.vub.sk</a></td>
    <td style="background-color:#6AD232;">A</td>
    <td><a href="https://ib.vub.sk/" target="_blank">ib.vub.sk</a></td>
    <td style="background-color:#6AD232;">A</td>
</tr>
<tr>
    <td>Wüstenrot stavebná sporiteľňa, a. s.</td>
    <td><a href="http://www.wuestenrot.sk/" target="_blank">www.wuestenrot.sk</a></td>
    <td style="background-color:#FFD030;">C</td>
    <td>x</td>
    <td>x</td>
</tr>
Názov banky Web banky SSL report Internet banking SSL report
Československá obchodná banka, a.s. www.csob.sk A+ ib24.csob.sk A-
ČSOB stavebná sporiteľňa, a. s. www.csob.sk A+ x x
OTP Banka Slovensko, a. s. www.otpbanka.sk B otpdirekt.otpbanka.sk A

Zoznam zahraničných bánk

Názov banky Web banky SSL report Internet banking SSL report
Banco Banif Mais, S. A. www.cofidis.sk F x x
BKS Bank AG www.bksbank.sk mismatch x x
Citibank Europe plc citibank.com C x x
COMMERZBANK Aktiengesellschaft www.commerzbank.sk A cbportal.commerzbank.com A
Fio banka, a.s. www.fio.sk A www.fio.sk A
ING Bank N. V. www.ingwholesalebanking.sk mismatch x x
J&T BANKA, a. s. www.jtbanka.sk A e-portal.jtbank.cz A
KDB Bank Europe Ltd. sk.kdbbank.eu nemá HTTPS netbank.kdbbank.eu F
Komerční banka, a.s. www.koba.sk A+ x x
mBank S.A. www.mbank.sk nemá HTTPS online.mbank.sk A+
Oberbank AG www.oberbank.sk mismatch banking.oberbank.sk A-
The Royal Bank of Scotland N. V. x x access.rbsm.com C
UniCredit Bank Czech Republic and Slovakia, a. s. www.unicreditbank.sk C sk.unicreditbanking.net A+
ZUNO BANK AG www.zuno.sk A moje.zuno.sk A-
* BKS Bank AG používa certifikát vydaný pre bks.at * Citibank ma homepage na SSL, ale Slovenská podstránka nie je na HTTPS * ING Bank N. V. používa certifikát vydaný pre ingwb.com * Oberbank AG používa certifikát vydaný pre oberbank.at

Zhrnutie

Priznám sa, že osobne som očakával zelené pole. Myslím, že tolerantnejší môžeme byť pri webových prezentáciách bánk, no pri internet bankingu treba byť nekompromisný.

Samozrejme je možné sa v tom vŕtať hlbšie. Či nájdené problémy sú naozaj reálne, aký útok je možné zneužiť a či vôbec a podobne. To už nechávam na samoštúdium. Myslím, že je sa od čoho odpichnúť. Pri hľadaní podobných testov som narazil na jeden z Českej republiky, ktorý tak isto stojí za pozornosť.

Kapitolou samou o sebe sú bezpečnostné hlavičky, ktoré majú tak isto svoju váhu. Celkom komplexný nástroj nájdete na securityheaders.io. Do tohto sa už nebudem púšťat radšej vôbec, lebo by mi bolo ešte viac smutno.

Mohli by vás zaujímať aj tieto články

Weekly #37 - HAProxy 1.9, Kubernetes, serverless, Golang, ako uspieť na Instagrame

Technológie Why SRE Documents Matter On Thinking About Infrastructure as Code Roadmap to becoming a web developer in 2019 Adventures with a home Kuber

Weekly #33 - ClassicPress, Netflix, PKI, aký job má otec Kevina McCallistera?

Technológie Building an API with Ruby and the Serverless Framework The business-focused CMS. Powerful. Versatile. Predictable.(Without Gutenberg). For

Weekly #32 - Mozilla, Tumblr, CVE-2018-1002105, G+, Windows SSH

Technológie Na čem běží Seznam.cz: Běžný standard už nestačí, přechází na vlastní cloud i servery Super Micro: Audit neprokázal, že by naše čipy kompr

Publikované 08.08.2016

Tagy

security 🔓internet

Zdieľaj článok

TOPlist TOPlist