Piatkový večer, búrka a dážď mi pokazili plány na večer. Tak som sa dostal aspoň k tomu, čo som už celkom dlho plánoval – ako a či vôbec banky používajú HTTPS. V dnešnej dobe ide takmer o povinnosť na bežných weboch, dôvodov je niekoľko – od lepšej pozície až po tú bezpečnosť a spísal som ich v článku 4 dôvody, prečo používať HTTPS na bežnom webe.
S rozmachom Let‘s Encrypt a výhod HTTP/2 nejde o žiadnu veľkú vedu a Domain Validation (DV) certifikát je tak dostupný naozaj každému. Pre eshopy a finančné portály je odporúčaný Extended validation (EV) certifikát. To je taký ten zelený prúžok vo vašom prehliadači. Jeho získanie je náročnejšie nakoľko sa overuje subjekt pre ktorý sa vydáva a autorita za to ručí.
Jedna vec je teda nasadenie HTTPS a druhou správne nasadenie. Za posledné roky sa našlo veľa bezpečnostných problémov – stačí spomenúť Heartbleed, na ktorý som otestoval viac ako 300 tisíc .SK domén, alebo POODLE attack.
Normálne by človek povedal, že subjekty ako banky musia mať toto vychytané, veď aj obyčajný blog ako je tento môže mať hodnotenie A+ od Qualys a ich SSL Labs. Opak je ale pravdou.
Ako test prebiehal
- zameral som sa na doménu na ktorej beží samotná webová prezentácia banky a na doménu internet bankingu, ak ho má banka k dispozícii
- v dobe testu je u nás registrovaných 14 bánk so sídlom na Slovensku a 14 zahraničných bánk
- pre testovanie bol použitý spomínaný online nástroj SSL Labs od Qualys a vo výsledkoch je jeho hodnotenie
Banky so sídlom na Slovensku
| Názov banky | Web banky | SSL report | Internet banking | SSL report |
| Československá obchodná banka, a.s. | www.csob.sk | A+ | ib24.csob.sk | A- |
| ČSOB stavebná sporiteľňa, a. s. | www.csob.sk | A+ | x | x |
| OTP Banka Slovensko, a. s. | www.otpbanka.sk | B | otpdirekt.otpbanka.sk | A |
- OTP Banka, Privatbanka, Sberbank Slovensko nemá automatické presmerovanie z HTTP na HTTPS
- Sberbank Slovensko nemá HTTPS
- Tatra banka presmerováva z HTTPS na HTTP
Zoznam zahraničných bánk
| Názov banky | Web banky | SSL report | Internet banking | SSL report |
| Banco Banif Mais, S. A. | www.cofidis.sk | F | x | x |
| BKS Bank AG | www.bksbank.sk | mismatch | x | x |
| Citibank Europe plc | citibank.com | C | x | x |
| COMMERZBANK Aktiengesellschaft | www.commerzbank.sk | A | cbportal.commerzbank.com | A |
| Fio banka, a.s. | www.fio.sk | A | www.fio.sk | A |
| ING Bank N. V. | www.ingwholesalebanking.sk | mismatch | x | x |
| J&T BANKA, a. s. | www.jtbanka.sk | A | e-portal.jtbank.cz | A |
| KDB Bank Europe Ltd. | sk.kdbbank.eu | nemá HTTPS | netbank.kdbbank.eu | F |
| Komerční banka, a.s. | www.koba.sk | A+ | x | x |
| mBank S.A. | www.mbank.sk | nemá HTTPS | online.mbank.sk | A+ |
| Oberbank AG | www.oberbank.sk | mismatch | banking.oberbank.sk | A- |
| The Royal Bank of Scotland N. V. | x | x | access.rbsm.com | C |
| UniCredit Bank Czech Republic and Slovakia, a. s. | www.unicreditbank.sk | C | sk.unicreditbanking.net | A+ |
| ZUNO BANK AG | www.zuno.sk | A | moje.zuno.sk | A- |
Zhrnutie
Priznám sa, že osobne som očakával zelené pole. Myslím, že tolerantnejší môžeme byť pri webových prezentáciách bánk, no pri internet bankingu treba byť nekompromisný.
Samozrejme je možné sa v tom vŕtať hlbšie. Či nájdené problémy sú naozaj reálne, aký útok je možné zneužiť a či vôbec a podobne. To už nechávam na samoštúdium. Myslím, že je sa od čoho odpichnúť. Pri hľadaní podobných testov som narazil na jeden z Českej republiky, ktorý tak isto stojí za pozornosť.
Kapitolou samou o sebe sú bezpečnostné hlavičky, ktoré majú tak isto svoju váhu. Celkom komplexný nástroj nájdete na securityheaders.io. Do tohto sa už nebudem púšťat radšej vôbec, lebo by mi bolo ešte viac smutno.