Thomas Nybergh’s pages

  • Home
  • About
  • Notes
  • På svenska
  • Suomeksi
  • Notes and essays updates feed
«Useful link: RSS feed listing new .fi domains, updated daily
Fry your brain with “Gorgeous Tiny Chicken Machine Show” »

Danske Sampo Pankin uuden verkkopankin Java-crapletti ja mahdolliset XSS-haavoittuvuudet herättävät keskustelua

Wednesday, March 26th 2008, 6:46 UTC Published in in Finnish, internet, suomeksi, technology

Eilen keskusteltiin mediassa Danske Bankin omistukseen siirtyneen Sampo Pankin uuden verkkosivuston ja pankkijärjestelmän toimimattomuudesta ja mahdollisesta turvattomuudesta.

Tietokone-lehden blogissa ja sen kommentialueesta löytyy kiinnostavia mielipiteitä ja uutta tietoa aiheesta. Suomen perustuslain vastaisen sensuurijärjestelmän kriitikkona tunnetun Matti Nikin eli muzzyn mielestä Sampo Pankin verkkopankki-istunnoissa käytetty Java-crapletti ei ole asiallinen, eikä välttämättä kovin turvallinen ratkaisu, ja näennäistietoturva käytetään tekosyynä käyttäjien yksityisyyden loukkaamiseen. Sivuston muutkin osat antavat Nikin mielestä epämääräisen vaikutelman koko (200 miljoonan euron hintaisesta) hankkeesta:

“Kaikenkaikkiaan minua hämmentää se miten paljon sivuista on tehty staattisella tekniikalla ja javascriptillä. Noissa html-tiedostoissa kulkee urlissa joskus parametreja, mutta ne eivät ole palvelinta varten vaan javascript tulkitsee niitä itse sieltä ja lataa sen mukaan tiedostoja ja generoi framesettejä. Odotan vain innolla löytyykö tuolta XSS-reikiä, vielä ei ole tullut vastaan mutta käytetyssä arkkitehtuurissa on tolkuttomasti potentiaalia sellaiselle ja on saattanut jäädä jotain huomaamatta…

Hitto, juuri ehdin kirjoittaa ettei yhtään löytynyt ja tajusin että minähän löysin yhden mutta tiedostin sen olevan reikä vasta tätä postausta kirjoittaessani. Tässä siis javascriptiä ajava XSS, pankille ei ole ilmoitettu enkä ilmoita, koska eiköhän joku kumminkin kerro:
https://verkkopankki.sampopankki.fi/html/index.html?site=foo&gsPreview=bar&secsystem=;alert(’fail’);

Joo’oh. Eiköhän siinä ole tarpeeksi tälle illalle. Tuo järjestelmä on susi niin arkkitehtuuriltaan kuin toteutukseltaankin. Täysin perseestä.”

Nikki on Selain

(Nikki on Selain, kuten jo tiedämme. Kuvassa ilmeisesti Cross Site Scripting-haavoittuvuuden tulos.)

Voi vaan olla Tero Lehdon kanssa samaa mieltä, kun hän alkuperäisessä blogikirjoituksessa kirjoittaa:

“Toivokaamme, että integrointityön toteuttavat Tietoenatorin tytäryhtiön Primasoftin koodaajat tekevät siellä huolellista työtä. Tietoenator on iso ja tunnettu it-talo, miksi emme siis vain luottaisi heidän laadunvalvontaansa.”

Jokaiselle IT-alaa jotenkin seuraavalle on itsestään selvää että Tietoenaattorilla on laatuun ja luotettavuuteen painostavan yrityksen maine.

Täytyy vielä todeta, että olen tyytyväinen Nordean verkkopankin sisäänkirjautumisessa käytettyjen kertakäyttökoodien kanssa.  Nordean sivusto ei myöskään vaadi erillisiä plugineja toimiakseen.

Leave a Response

Where am I?

You've landed on Thomas Nybergh's personal site. This section is an occasionally expanded essay collection.

For more timely updates on things I find interesting, follow my link blog or Twitter silliness.

My contact details are listed here as well.

RSS Things I’ve posted recently

  • Tarjouspyyntö www.kuvalauta.fi -sivuston hostaamisesta
  • Tarjouspyyntö www.kuvalauta.fi -sivuston hostaamisesta
  • Tarjouspyyntö http://www.kuvalauta.fi -sivuston hostaamisesta http://j.mp/cwuyZV
  • So, here's my lengthy excuse for posting a rapey Assange related link pointing towards Valleywag of all places: http://j.mp/alAzGT
  • Okay, it’s Valleywag, but here’s a supposed Wikileaks/Assange police report leak
  • RT @JoonasD6: "we learn that Assange's preferred method of seducing groupies is to feed them cheese." http://u.nu/5y62f #piratpartiet #wikileaks
  • RT @nexenta: Reading Simon Crosby on Open Source does not mean Interoperable or Compatible http://community.citrix.com/x/XADnBw
  • Pirate, warez scener, Fairlight founder, GOP chairman
  • The shutdown of Chatroulette is a fine example of the problems w/ "cloud computing." Your favorite masturbation tools can be gone any minute
  • Group of shitfaced teens lit cigarettes on a packed bus last night. Got an apology by asking them to at least pass around a spliff next time
  • Chat Roulette Removed? http://chatroulette.com (via @hackernews)
  • Web design. http://www.viialanleipomo.fi
  • Mad Men is notable for its subtly dramatic take on alcoholic 60's advertising creatives, their women and other property.
  • On the other hand, autoposting links like some SEO webdick would challenge me to keep the signal/noise ratio of @omglog better than before.
  • Wondering if it's too douchy to autopost the feed of my @omglog posts to my Twitter account. The issue is linking to a blog w/ mostly links.
©2010 Thomas Nybergh
This site runs on WordPress using a slightly modified Gridline Lite theme.