Адрес для входа в РФ: exler.world
Сбербанк-онлайн
На Geektimes рассказывают всякие страсти про сбербанк-онлайн - "Как Сбербанк Онлайн сливает данные пользователей".
Цитата.
Совсем недавно случайно обнаружил, что Сбербанк Онлайн густо утыкан счетчиками. Это Google, Doubleclick, Rutarget, ЯМетрика. Еще раз подчеркну, в личном кабинете, где люди переводят деньги, вводят очень персональную информацию и т.п., в этом личном кабинете натыканы скрипты, которые Сбербанку совсем не принадлежат, а принадлежат совсем не нашим компаниям, например. Давайте посмотрим, что из этого выходит (слайды и видео ниже).
...
Слева сайт Сбербанк Онлайн, справа — мой комп в 20км от того места, где я сижу. При наборе какого-либо текста, включая пароль, данные уходят в журнал на моем компьютере. Заморачиваться не хотелось, потому на все ушло меньше времени, чем я пишу эту статью.
Суть происходящего в следующем:
1) Скрипты могут быть использованы для сбора любой информации, о платежах, картах, паролях и других вводимых и отображаемых данных.
2) Скрипты могут не принадлежать тем хостам, с которых их изначально планировалось брать (в видео выше я подменил один из скриптов на свой), поскольку оценка безопасности перекладывается на браузер пользователя, изначально крайне небезопасную вещь.
3) Скрипты могут быть использованы для подмены вводимой информации.
Скажите, кто пользуется "Сбербанк-онлайн" (я не пользуюсь, у меня карты Сбера нет) - там вот реально такая кошмарная дыра в безопасности? Они реально используют всякие посторонные скрипты - гугл.аналитики, яндекс.метрики и рутаргеты?
Автор статьи Олег Кулабухов от Сбера по этому поводу получил совершенно потрясающий ответ, цитирую:
Прям даже не верится, что там все может быть НАСТОЛЬКО запущено.
Но я вспомнил какую интереснейшую штуку, и в этом блоге ее подтвердить может не один человек.
Помните, в один прекрасный момент гугл накосячил со своими скриптами, в результате позволив включать левый код в свои, подписанные сертификатом, баннеры и счетчики?
О какой еще безопасности можно говорить? Тут уже даже не теоретический взлом, а вполне имевший место быть косяк гугла, дискредитирующий на то время любой сайт с гугловскими приблудами.
Даже тут у Алекса на сайте при показе гуглорекламы предлагало установить какие-то левые програмульки.
Может хоть так поймете, что дырка не в самом протоколе, а в кривых руках тех дебилов, что на конфиденциальные страницы ставят нахрена-то скрипты и картинки с левых ресурсов?
они это и подтвердили%) в, упомянутой выше статье geektimes.ru/post/289661/ , ибо никто не спорит что у Google и Яндекс приличная репутация, что вероятность серьезного взлома там не сильно выше ( а с моим отношением сберу думаю что ниже) чем у сбера, только вот общая вероятность успешной атаки увеличивается примерно в три раза.
Про то что они анализируют передаваемые данные, интересный предполагаемый факт, все что они могут ( почти уверен что этого не сделано) это проверять неизменность кода скрипта, который в данный момент ( и именно им, что учитывая геораспределенность сервисов не является полной гарантией) отдается в ответ на запрос.
seturentss: Даже тут у Алекса на сайте при показе гуглорекламы предлагало установить какие-то левые програмульки
а это как раз сценарий вида "верю чужому коду", правда в аналитеку вроде параметров, на которые может воздействовать пользователь браузера, передается сильно меньше, но .
Palm: В Сбербанк онлайн уязвимостей нет geektimes.ru/post/289661/
маркетинговый бред.
seturentss: Извините, джентльмены, не было возможности поиграться с подменой. Появится - обязательно попробую.
мысль для вектора атаки, если кому не лень: имея доступ к транзиту можно играться перекрытием запросов на отозванные сертификаты, если я правильно помню это приведет к тому что, через некоторое время бразер будет не признавать безопасным ни один сайт, таким образом можно выработать у пользователя привычку не реагировать на предупреждения.
Ну так сделайте свой Луна-банк с блэк-джеком и шриптами, и играйтесь на здоровье.
Если же о том, что кто-то может на вашей странице подменить содержимое скрипта, то этот кто-то сможет и добавить скрипт туда где его никогда не было.
1) Потому, что 50% спора идет о мнении/оценочном суждении, примерно о таком: "Выявленная автором статьи особенность работы сбербанка: серьезная уязвимость, незначительная проблема или вообще норма?". Доказать или опровергнуть мнение невозможно. Можно лишь пояснить причины/аргументы для наблюдающих за беседой. В любой самой "технической" области есть большой простор для оценочного суждения (космонавтика, математика, физика).
2) Потому, что вторые 50% спора идет о фактическом суждении, примерно о таком: "Без вмешательства в работу клиентской машины можно подменить внешние HTTPS скрипты, не вызвав блокировку со стороны браузера". В фактической стороне этого вопроса беседующие а) не разбираются досконально и/или б) не готовы терпеливо и вежливо объяснить оппоненту свое понимание.
3) Потому, что беседа идет не структурировано. Например, в ответ на опровержение или подтверждение фактических суждений, другие участники не всегда говорят: "Большое спасибо, я теперь понял, как https защищает от такой подмены скриптов, вы были правы. А теперь давайте обсудим, достаточно ли хорошо браузер предупреждает пользователя об угрозах в этом случае, ок?". А просто переключаются на другую тему как будто это контр-аргумент к изначальной дискуссии, что-то типа: "Но смотрите, какое левое предупреждение дает браузер! Пользователь же это проигнорирует!".
4) Потому. что в процессе беседы люди переходят на личности, обвиняют друг друга в отсутствии технического образования и непонимании простых вещей. В такой ситуации многим неловко признать правоту другой стороны даже в конкретном незначительном вопросе, и приходится "идти до конца".
Как-то так. 😄 Более подробно о почти всех поворотах сегодняшней дискуссии можно прочитать вот в этой отличной статье. Сегодня попалась в ленте ФБ, очень рекомендую:
https://theoryandpractice.ru/posts/16062-v-internete-kto-to-prav-11-pravil-spora-s-adeptami-lzhenauki
PING sbrf.ru (194.54.14.129) 56(84) bytes of data.
^C
--- sbrf.ru ping statistics ---
4 packets transmitted, 0 received, 100% packet loss, time 2999ms
А можешь популярно объяснить, почему пинг не ходит и как это показывает крутость/ламерство спецов сбера?
sbrf.ru мне доступен.
З.Ы. Приложение, к примеру, не работает на рутованных телефонах и пересылает в личный кабинет, т.е. на сервер сбера, всю твою адресную книгу и еще неизвестно что еще...
забрутфорсить роутер... подменить скрипт в трафике... прописать сертификаты в ифреймах... 😖))
АЛЕКСЕЕЕЕЙ БОРИСОВИИИИЧ, можно в рублику "ликбез" перевод вот этого потока красноречия от программистов в комментариях, пажааальста? - смогу тогда форсить перед другими в других комментариях на других сайтах ,вворачивая такие же словечки ИТшные -)))
А скрипт "внезапно" логгирует ваши нажатия кнопок. И, поскольку это не ваш скрипт, а третьей стороны, то вы не можете гарантировать, что даже если он сегодня не собирает именно эти данные, то не будет собирать их и дальше. А ещё однажды гуголь забыл продлить один из своих доменов и его случайно перерегистрировал на себя один из его бывших работников, помните? А ещё однажды один из СА выпустил "случайно" дублирующий сертификат то ли гугла, то ли чего-то подобного... Если вы не понимаете, что на защищённой странице не должно быть ничего из третьих источников, которые вы не контролируете, значит вы попросту некомпетентны.
v1adimir: Наличее на странице сторонних сторонних скриптов (от надежных разработчиков) является нормой. Ваши заявления про уязвимость не имеют под собой абсолютно никаких оснований. Никакой уязвимости в такой схеме нет.
Это сегодня скрипт от "надёжных" разработчиков и гуглу не интересны ваши данные. А завтра станут интересны и они поменяют скрипты на другие. Или опять забудут продлить домен и вы получите на конфиденциальной страничкескрипты от ненадёжных китайских разработчиков. Причём, даже не будете об этом знать. Никакой уязвимости? А, ну-ну!
Anacreont:
По теме вопроса: да, они используют скрипты гуглоаналитики, яндексометрики и рутаргета (как я понял, последнияя - это их дочерная компания). Конечно, ставить какие-то левые скрипты на приватные страницы - это, скажем так, не хорошо, однако, при этом всем и докучи всей моей нелюбви к Сбербанку приведенная статья выглядит примерно как "Я поставил себе кейлогер и теперь мои данные уходят налево!"
Да, они используют левые скрипты от гугло и яндо аналитики. Да, они поставили на приватную страницу кейлогеры. То, что это кейлоггеры от гугла и яндекса именно и означает, что данные, помимо, сбербанка, утекают, как минимум, в яндекс и гуголь и сбербанк ни как не контролирует эту утечку.
либо уних дыры в защите, либо крысы в конторе, а может и все вместе.
Яндекс метрика
mc.yandex.ru/watch/16949086
и гугл аналитика с идентификатором
_gaq.push(['_setAccount', 'UA-34621209-1']);
"Это было давно и неправда". (с)
собственно денег на картах не держу вообще, надо - со счета переслал сколько надо, заплатил и в сторону.
Наверное, если бы там были ТАКИЕ дыры, как нас пугают, этими дырами давно бы уже воспользовались грамотные люди. Однако тихо вроде в Датском королевстве.
С другой стороны я не прогер ни разу, так что мое мнение нах никому не интересно 😄
Несколько дней назад писали - и пруфы дали, когда я засомневался, что такой маразм возможен - перевод денег со своей карты на чужую смской с телефона.
Та что дыр там дофигища.
Короче, дыру подтверждаю.
Короче, дыру подтверждаю.
А можете указать поконкретнее или вы сказали наугад, типа пальцем в.... дыру?
Они стали выкручиваться, вот типа, вы подписываете соглашения, когда входите на сайты, чего-то там скачиваете, а у нас партнёрство с аналитическими компаниями и пр. В общем, бред полный.