Piatkový večer, búrka a dážď mi pokazili plány na večer. Tak som sa dostal aspoň k tomu, čo som už celkom dlho plánoval – ako a či vôbec banky používajú HTTPS. V dnešnej dobe ide takmer o povinnosť na bežných weboch, dôvodov je niekoľko – od lepšej pozície až po tú bezpečnosť a spísal som ich v článku 4 dôvody, prečo používať HTTPS na bežnom webe.
S rozmachom Let‘s Encrypt a výhod HTTP/2 nejde o žiadnu veľkú vedu a Domain Validation (DV) certifikát je tak dostupný naozaj každému. Pre eshopy a finančné portály je odporúčaný Extended validation (EV) certifikát. To je taký ten zelený prúžok vo vašom prehliadači. Jeho získanie je náročnejšie nakoľko sa overuje subjekt pre ktorý sa vydáva a autorita za to ručí.
Jedna vec je teda nasadenie HTTPS a druhou správne nasadenie. Za posledné roky sa našlo veľa bezpečnostných problémov – stačí spomenúť Heartbleed, na ktorý som otestoval viac ako 300 tisíc .SK domén, alebo POODLE attack.
Normálne by človek povedal, že subjekty ako banky musia mať toto vychytané, veď aj obyčajný blog ako je tento môže mať hodnotenie A+ od Qualys a ich SSL Labs. Opak je ale pravdou.
Ako test prebiehal
- zameral som sa na doménu na ktorej beží samotná webová prezentácia banky a na doménu internet bankingu, ak ho má banka k dispozícii
- v dobe testu je u nás registrovaných 14 bánk so sídlom na Slovensku a 14 zahraničných bánk
- pre testovanie bol použitý spomínaný online nástroj SSL Labs od Qualys a vo výsledkoch je jeho hodnotenie
Banky so sídlom na Slovensku
Názov banky | Web banky | SSL report | Internet banking | SSL report |
Československá obchodná banka, a.s. | www.csob.sk | A+ | ib24.csob.sk | A- |
ČSOB stavebná sporiteľňa, a. s. | www.csob.sk | A+ | x | x |
OTP Banka Slovensko, a. s. | www.otpbanka.sk | B | otpdirekt.otpbanka.sk | A |
- OTP Banka, Privatbanka, Sberbank Slovensko nemá automatické presmerovanie z HTTP na HTTPS
- Sberbank Slovensko nemá HTTPS
- Tatra banka presmerováva z HTTPS na HTTP
Zoznam zahraničných bánk
Názov banky | Web banky | SSL report | Internet banking | SSL report |
Banco Banif Mais, S. A. | www.cofidis.sk | F | x | x |
BKS Bank AG | www.bksbank.sk | mismatch | x | x |
Citibank Europe plc | citibank.com | C | x | x |
COMMERZBANK Aktiengesellschaft | www.commerzbank.sk | A | cbportal.commerzbank.com | A |
Fio banka, a.s. | www.fio.sk | A | www.fio.sk | A |
ING Bank N. V. | www.ingwholesalebanking.sk | mismatch | x | x |
J&T BANKA, a. s. | www.jtbanka.sk | A | e-portal.jtbank.cz | A |
KDB Bank Europe Ltd. | sk.kdbbank.eu | nemá HTTPS | netbank.kdbbank.eu | F |
Komerční banka, a.s. | www.koba.sk | A+ | x | x |
mBank S.A. | www.mbank.sk | nemá HTTPS | online.mbank.sk | A+ |
Oberbank AG | www.oberbank.sk | mismatch | banking.oberbank.sk | A- |
The Royal Bank of Scotland N. V. | x | x | access.rbsm.com | C |
UniCredit Bank Czech Republic and Slovakia, a. s. | www.unicreditbank.sk | C | sk.unicreditbanking.net | A+ |
ZUNO BANK AG | www.zuno.sk | A | moje.zuno.sk | A- |
Zhrnutie
Priznám sa, že osobne som očakával zelené pole. Myslím, že tolerantnejší môžeme byť pri webových prezentáciách bánk, no pri internet bankingu treba byť nekompromisný.
Samozrejme je možné sa v tom vŕtať hlbšie. Či nájdené problémy sú naozaj reálne, aký útok je možné zneužiť a či vôbec a podobne. To už nechávam na samoštúdium. Myslím, že je sa od čoho odpichnúť. Pri hľadaní podobných testov som narazil na jeden z Českej republiky, ktorý tak isto stojí za pozornosť.
Kapitolou samou o sebe sú bezpečnostné hlavičky, ktoré majú tak isto svoju váhu. Celkom komplexný nástroj nájdete na securityheaders.io. Do tohto sa už nebudem púšťat radšej vôbec, lebo by mi bolo ešte viac smutno.
Mohli by vás zaujímať aj tieto články
Docker prinesie bezpečnostný skener
Docker by mal priamo obsahovať bezpečnostný skener (vulnerability scanner) pre lokálne obrazy (images) z ktorých sa spúšťajú kontajnery. Takáto integr
Na Facebooku bežia phishingové kampane vydávajúce sa za Google
Celý týždeň ma na Facebooku naháňajú platené reklamy, ktoré sa tvária ako od Google. A ponúkajú kupóny na stovky eúr na reklamu v sieti AdWords. Tá bo
Ako upgradovať na VMware ESXi 7.0
Začiatkom tohto mesiaca sme sa konečne dočkali a po vSphere 7 prichádza v tejto verzii aj hypervízor ESXi. I keď tento free hypervízor nemá automatick