Strona główna > Wiadomości > Technologia

A A A

Korzystasz z banku? Uważaj na Firefoksa i Operę

30 lipca 2008, 12:26 | Technologia

Jedna z podstawowych zasad bezpieczeństwa dotyczących korzystania z online'owej bankowości brzmi: na stronę banku nie powinniśmy logować się z komputera, do którego dostęp mogą mieć inne osoby. Jeśli jednak korzystamy z takiej maszyny, powinniśmy uważać na edycje przeglądarek Firefox 3.x i Opera 9.x.

Rzeczpospolita zauważyła, że jeśli zalogujemy się na stronę naszego banku, a następnie z niej wylogujemy, to wystarczy kliknąć później na pasku nawigacyjnym wspomnianych przeglądarek strzałkę "Powrót do poprzedniej strony", by ponownie, tym razem bez potrzeby logowania, znaleźć się na swoim online'owym koncie. Oznacza to, że ktoś niepowołany może tam zajrzeć. Na szczęście nie jest możliwe wykonywanie wówczas żadnych operacji, ale można w ten sposób zdobyć szczegółowe informacje na temat samego konta oraz jego stanu.

Problem leży w konstrukcji Firefoksa i Opery. Przyspieszają one nawigowanie po Sieci, zapamiętując obrazy odwiedzanych stron.

Eksperyment z powrotem do konta bez konieczności logowania się został przeprowadzony na stronie BZ WBK. Rzeczpospolita informuje, że prawdopodobnie dotyczy on większej liczby banków online (m.in. mBankku, Inteligo, Lukas Banku i Multibanku). Co więcej, zdaniem przedstawicieli banku, jeśli w takim wypadku dojdzie do kradzieży poufnych informacji, to wina będzie leżała po stronie klienta, nie banku.

Banki zapewniają, że mają zamiar zająć się rozwiązaniem tego problemu.

Autor: Mariusz Błoński

Źródło: Rzeczpospolita

bankowość elektroniczna Firefox Opera

Komentarze (10)

argail, 30 lipca 2008, 12:47

Bzdura .... Przeglądarka Firefox3.0.1 - po zalogowaniu się na stronę MBank, wylogowaniu i próbie powrotu do poprzedniej strony wyswietla się komunikat :

"Alarm bezpieczeństwa. Nieprawidłowy lub nieważny klucz sesji."

To samo w Inteligo i PKO SA

Więc ... ktoś dokładnie tego nie sprawdził ... albo ktoś ktomu przeszkadza Firefox i Opera ))

dudek34, 30 lipca 2008, 13:00

będzie to trzeba sprawdzić po przyjściu do domu .

Mariusz Błoński, 30 lipca 2008, 13:06

Bzdura .... Przeglądarka Firefox3.0.1 - po zalogowaniu się na stronę MBank, wylogowaniu i próbie powrotu do poprzedniej strony wyswietla się komunikat :

"Alarm bezpieczeństwa. Nieprawidłowy lub nieważny klucz sesji."

To samo w Inteligo i PKO SA

Więc ... ktoś dokładnie tego nie sprawdził ... albo ktoś ktomu przeszkadza Firefox i Opera ))

Nieco uściśliłem notkę. Być może chodzi np. o FF 3.0? Niestety w Rzepie nie podali szczegółów.

faramir, 30 lipca 2008, 13:32

Wydaje mi się, że chodzi o to, że przeglądarki cache'ują wyniki za długo.

Przed chwilą sprawdziłem Inteligo przez Operę i Firefoxa. Oba pokazały mój stan konta po tym, jak wylogowałem się.

Wersja: 9.51
Kompilacja: 10081

Platforma: Win32

System: Windows XP

Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.0.1) Gecko/2008070208 Firefox/3.0.1

W sumie w nagłówku odpowiedzi ze strony banku jest m.in.:

Expires: Wed, 30 Jul 2008 11:17:53 GMT
Pragma: no-cache
Cache-Control: no-cache

Wydawałoby się, że jest dobrze... ale słyszałem, że trzeba ustawić w ten sposób nagłówki, by przeglądarki nie cache'owały:

Pragma: no-cache
Cache-Control: private, no-cache, no-store, must-revalidate

Może, jeśli programiści po stronie banku tak zmienią nagłówki wysyłane przez serwer, nie tylko IE będzie działał, ale też FF i Opera bez problemów z "prywatnością".

dirtymesucker, 30 lipca 2008, 14:09

dlatego zawsze warto czyścić prywatne dane (pamięć podręczna, dane formularzy itp) i po kłopocie. poza tym wydaje mi się, że do każdej przeglądarki może wkraść się czasem chochlik.

krzysp, 30 lipca 2008, 20:26

W artykule jest dużo prawdy.

Przeprowadziłem przed chwilą test w Operze 9.51 i Firefox 3.0.1 wg. następującej procedury:

1/ otwarcie nowej karty

2/ zalogowanie do banku

3/ przejście wgłąb serwisu (historia operacji)

4/ wylogowanie

5/ zamknięcie karty

6/ przywrócenie ostatnio otwartej karty

7/ wybranie opcji wstecz

Rezultaty (identyczne dla Firefoksa i Opery):

mBank: "Alarm bezpieczeństwa. Nieprawidłowy lub nieważny klucz sesji"

Pekao SA: "Alarm bezpieczeństwa. Nieprawidłowy lub nieważny klucz sesji"

BZWBK: "502 - Błędnie wprowadzony adres serwisu transakcyjnego. Aby zalogować się do BZWBK24 internet należy w polu adresu przeglądarki wpisać..."

Wszystko jest OK, jeśli pamiętamy aby zamknąć kartę na której korzystaliśmy z bankowości internetowej.

Korzystając z następującej sekwencji operacji:

1/ otwarcie nowej karty

2/ zalogowanie do banku

3/ przejście wgłąb serwisu (historia operacji)

4/ wylogowanie

5/ wybranie opcji wstecz

bez problemu uzyskałem dostęp do historii swojego rachunku nie będąc zalogowanym (w każdym z testowanych banków).

Wniosek:

można śmiało i bezpiecznie korzystać z najnowszej wersji Firefox'a i Opery pod warunkiem, że po zakończonej sesji zamkniemy kartę, na której mieliśmy otwartą stronę banku.

waldi888231200, 30 lipca 2008, 21:53

Trzeba się wylogować nawet z kopalni.

Gość tymeknafali, 31 lipca 2008, 00:58

Hmmm... częste czyszczenie historii też uważam za dobrą do zabezpieczającą metodę w necie

wilk, 31 lipca 2008, 02:51

W przypadku Opery polecam włączenie opcji "Always Reload HTTPS In History". Opcja ta jest dostępna poprzez opera:config. Ewentualnie polecam też wyłączenie "Cache HTTPS After Sessions".

faramir, 31 lipca 2008, 13:53

W przypadku Opery polecam włączenie opcji "Always Reload HTTPS In History". Opcja ta jest dostępna poprzez opera:config. Ewentualnie polecam też wyłączenie "Cache HTTPS After Sessions".

To by rozwiązywało problem . Ciekawe czy FF ma wtyczkę jakąś, która robi coś podobnego.. bo pewnie zwyczajnie takiej opcji nie ma

dodaj komentarz

Korzystasz z banku? Uważaj na Firefoksa i Operę

Komentarze (10)

Zostań Patronem

Najnowsze wiadomości

Najnowsze komentarze