Komolytalan#43
Az indexes firkász nem szakember. Ami linket küldtem ott pontosan leírják, hogy a TLS 1.0 töréséhez (BEAST) mi kell. Ez kvázi megoldhatatlan. Tudod mi az hogy "man-in-the-middle"? Tudod mi kell ahhoz, hogy egy ilyen támadást kivitelezz? És ez csak 1 szükséges komponens a 3-ból, ami kellene a TLS 1.0 töréshez. Ahol mindhárom ponton megtörik a rendszert, ott meg már olyan szinten nincs biztonság, hogy be is sétálhatnak, és elvihetik a vinyódat a gépedből.
Ezt látták az érintettek is, és ennek fényében van lehetőségük lépni. Ha úgy érzik, hogy ez problémát jelent, akkor is ott a lehetőség, hogy minimum TLS 1.1-et tegyen kötelezővé szerver oldalon a szolgáltató (bank), és onnan kezdve a dolog törhetetlen. Nyilván ez kényelmetlenség az ügyfelek felé, mert TLS 1.1/TLS 1.2-t nem támogat minden OS/böngésző, tehát döntést kell hozniuk, hogy ér-e ennyit a vihar a biliben, vagy sem.
A másik dolog amiről az indexes csóka ír, az konkrét oldalak feltörése. Ennek semmi köze az SSL-hez, mert nem adatfolyamból halásztak jelszavakat, hanem akár SQL injectionnel, akár bármi más módszerrel konkrét szervereket törtek fel, és oda rosszindulatú kódod telepítettek. Ez megint nem tudom miben befolyásolná a te kártyás fizetésedet. Felnyomják az OTP-t, és lecserélik az oldalát, majd ezen keresztül ellopják a kártyaadataidat. Ez esetben az OTP megtéríti a károdat, és fizeti a kártya cserét. Ennyi. Előfordul az ilyen. Nyilván nem veled, mert az általad üzemeltetett hálózat/szerver senkit se érdekel.
"Miféle problémájuk lesz van ha saját szervert üzemeltetnek ami elérhető saját "tikosított" csatornán vagy FTP-n. Ezen kívül saját levelező szervert. Megjegyzem sok cég évek óta így dolgozik."
Egyrészt hozzád hasonló fogalmatlan rendszergazdák fognak felelni a biztonságért, vagyis minden félhülye 12 éves képes lesz feltörni a szerverüket, ha akarja. Másrészt már említettem - a világ nem áll meg ott, hogy linux, apache, php, mysql, meg wordpress, napi 28 fő látogatással. Egyrészt vannak ezektől komolyabb szoftverek, amik licenszelése drága. Már úgy is drága, hogy napi 8 óra munka esetén kifizeted napi 24 óra licenszdíját, a vas árát, stb. Úgy meg pláne, hogy 2 hetente 4 órányi futtatásért fizeted ki a teljes licensz díjat.