How to become an author
My feedAll streams
Search
Write a publication
Pull to refresh

Comments 30

Так их советы касаются сайтов без https, разве есть банки, которые используют чистый http?

Ах, да...

Rating is hidden

Это такое признание, что Сбер не смог в корректный Certificate pinning и прочие средства безопасности при активном атакующем?

Rating is hidden

Ну если фаназировать, то самый тупой вариант с пятидолларовым бюджетом у злоумышленника:
создает где-то хз где зеркало сбер личного кабинета.
в вайфай dhcp настраивает dns сбера на IP-фейка.
ждет пока кто-нить подключится, тут же на лету лезет в настоящий сбер и вводит это на настоящем сайте. Ну и дальше просто.
500 дооларовое вложение и таких кабинетов станет 90% самых популярных, где хоть какие-то деньги есть +круглосуточный "оператор-злодей".
А в целом, можно мониторить вообще всю активность юзера, если он пишет контрагенту: "телефон, тут не ловит, есть только вайфай", можно написать там же, потом: нас обокрали посадили в тюрьму связь дорогая положи 100 долларов, на этот телефон/счет/биткоин-биржу-аккаунт. Я на твой номер повесила вход "этоважнонетвремениобъяснять" срочно скажи мне номера из смски, а то мне не доходит.
После короновируса, всяких стрессов итп появилось море "хлебушков". На это и расчет.

Rating is hidden

Т.е. приложение сбера не использует https, ясно-понятно.

Rating is hidden

А как оно будет его использовать? Санкции же.

Rating is hidden

Я не очень понимаю, но как санкции мешают использованию https, ssl и tls?

Rating is hidden

Сертификат получить нельзя у авторизованного центра. Они все американские и сберу не дадут (а существующие отозвали). У Сбера только один вариант - сертификат, выданный минцифры. Но он и в хроме, ни в файрфоксе не работает (но можно поставить вручную).

Собственно, проверьте сами. https://www.sberbank.ru

https://www.ixbt.com/news/2023/02/06/pri-onlajnoplate-cherez-sberbank-nachali-trebovat-rossijskij-brauzer-ili-sertifikat-mincifry.html

Rating is hidden

Собственный сертификат, который проверяется в приложении - не вариант разве?

Rating is hidden

Пожалуй вы правы, собственный сертификат проверять в приложении можно. Тогда не ясно, в чём проблема.

Rating is hidden

Вот я тоже не понимаю :-/ Если попробовать придумать - требования всяких дурацких ФСТЭКов и ФСБ о том, какой должна быть криптография. При том что эти требования используемые в приложении библиотеки удовлетворить не способны...

Rating is hidden

  1. Не все CA американские

  2. Если сбер не может получить сертификат то откуда у него сертификат на online.sberbank.ru выписанные греческим CA в ноябре 2022?

Rating is hidden

все СА подчиняются команде из шша.

Это они называют свобода слова и рынок ;))) но вы можете верить словам американцев, я не знаю почему вы так делаете ;))

Rating is hidden

Сертификат получить нельзя у авторизованного центра

Прекрасно только что получил сертификат от Let's Encrypt.

Rating is hidden

На домен сбербанка? Подозреваю, что нет.

Я не знаю тонкостей санкций, возможно такой сертификат просуществует не долго. Либо они облажались и не воспользовались таким простым способом.

Rating is hidden

Сертификаты от минцирфы не все хотят себе ставить

Rating is hidden

А точно он от минцифры?

https://habr.com/ru/articles/666520/

Rating is hidden

Там у них в телеге ещё видосик-страшилка есть,

вот раскадровка оттуда:

Rating is hidden

Понятно почему жулики придумывают, что банк знает что мошенники деньги воруют, но мы не будем пресекать их действия и жуликов ловить, мы просто вам об этом сообщим.

Rating is hidden

Гениально! А как пароли-то утекли по номеру телефона? :-D

Rating is hidden

В Сбере буква Л за логику.

  1. Скриншот номер 1 - без привязки телефона нельзя получить карту сбера, без карты сбера - открыть расчетный счет

  2. Скриншот номер 2 - Поздравляем, вы установили приложение Сбербанк Онлайн

  3. Скриншот номер 3 - МИЛЛИОН кредиток, бизнес-счетов, ипотек и страховок с номера 900

  4. Ну а скриншот 4, очевидно, естественное завершение оказания услуг сбером, слив персональных данных

Rating is hidden

Перевыпустили симку, пока клиент был в самолёте/поездее

Rating is hidden

е обязательно проверять, использует ли точка доступа шифрование WPA2/WPA3

И как это поможет если точку доступа поднял мошенник и фактически запустил Mitm?

Rating is hidden

Прописать хеш серта в коде мобильного приложения

Rating is hidden

Предположу, что в их советах есть правильная часть конкретно для ру сегмента.


Шифрование https основывается на сертификатах, а те на цепочке доверия (certificate-pinning пока сознательно вывожу за скобки). А цепочка доверия основывается на корневых сертификатах, в которые вставили неизвестно что от минцифры с правом на все и на 30 лет. Кому принадлежат закрытые ключи от сертификата минцифры, кто имеет к нему доступ и как мы узнаем, если эти ключи утекут налево — все это не знает никто. И вообще вокруг минцифры отсутствует институт репутации и конкуренция, которые и останавливают обычные УЦ от выдачи фальшивок.


И поэтому "зеленый замочек" https соединения на этих компьютерах может не значить ровно ничего — тут вполне может быть фишинговый сайт с "поддельным" сертификатом, подписанным сертификатом минцифры. Или точка доступа может каким-то образом получить такие сертификаты и выдавать их вместо нормальных — вопрос лишь в получении доступа к закрытым ключам минцифры, о которых ноль информации.


Все это ломает традиционные и простые индикаторы безопасности для пользователя, возвращая нас во времена нешифрованного трафика. А это в свою очередь требует повышенной гигиены для всего маршрута нешифрованного трафика.

Rating is hidden
UFO landed and left these words here

Как точка доступа wifi может быть фальшивой? Это же не облигация. Что за странная лексика.

Rating is hidden

Интересно, а почему vpn не порекомендовать при использовании любых публичных сетей.

Rating is hidden

Vpn до Сбера? Или о каком vpn речь?

Rating is hidden
Sign up to leave a comment.

Other news

Your account

Sections

Information

Services

Support
© 2006–2025, Habr