Danske Sampo Pankin uuden verkkopankin Java-crapletti ja mahdolliset XSS-haavoittuvuudet herättävät keskustelua
Wednesday, March 26th 2008, 6:46 UTC Published in in Finnish, internet, suomeksi, technology
Eilen keskusteltiin mediassa Danske Bankin omistukseen siirtyneen Sampo Pankin uuden verkkosivuston ja pankkijärjestelmän toimimattomuudesta ja mahdollisesta turvattomuudesta.
Tietokone-lehden blogissa ja sen kommentialueesta löytyy kiinnostavia mielipiteitä ja uutta tietoa aiheesta. Suomen perustuslain vastaisen sensuurijärjestelmän kriitikkona tunnetun Matti Nikin eli muzzyn mielestä Sampo Pankin verkkopankki-istunnoissa käytetty Java-crapletti ei ole asiallinen, eikä välttämättä kovin turvallinen ratkaisu, ja näennäistietoturva käytetään tekosyynä käyttäjien yksityisyyden loukkaamiseen. Sivuston muutkin osat antavat Nikin mielestä epämääräisen vaikutelman koko (200 miljoonan euron hintaisesta) hankkeesta:
“Kaikenkaikkiaan minua hämmentää se miten paljon sivuista on tehty staattisella tekniikalla ja javascriptillä. Noissa html-tiedostoissa kulkee urlissa joskus parametreja, mutta ne eivät ole palvelinta varten vaan javascript tulkitsee niitä itse sieltä ja lataa sen mukaan tiedostoja ja generoi framesettejä. Odotan vain innolla löytyykö tuolta XSS-reikiä, vielä ei ole tullut vastaan mutta käytetyssä arkkitehtuurissa on tolkuttomasti potentiaalia sellaiselle ja on saattanut jäädä jotain huomaamatta…
Hitto, juuri ehdin kirjoittaa ettei yhtään löytynyt ja tajusin että minähän löysin yhden mutta tiedostin sen olevan reikä vasta tätä postausta kirjoittaessani. Tässä siis javascriptiä ajava XSS, pankille ei ole ilmoitettu enkä ilmoita, koska eiköhän joku kumminkin kerro:
https://verkkopankki.sampopankki.fi/html/index.html?site=foo&gsPreview=bar&secsystem=;alert(’fail’);Joo’oh. Eiköhän siinä ole tarpeeksi tälle illalle. Tuo järjestelmä on susi niin arkkitehtuuriltaan kuin toteutukseltaankin. Täysin perseestä.”
(Nikki on Selain, kuten jo tiedämme. Kuvassa ilmeisesti Cross Site Scripting-haavoittuvuuden tulos.)
Voi vaan olla Tero Lehdon kanssa samaa mieltä, kun hän alkuperäisessä blogikirjoituksessa kirjoittaa:
“Toivokaamme, että integrointityön toteuttavat Tietoenatorin tytäryhtiön Primasoftin koodaajat tekevät siellä huolellista työtä. Tietoenator on iso ja tunnettu it-talo, miksi emme siis vain luottaisi heidän laadunvalvontaansa.”
Jokaiselle IT-alaa jotenkin seuraavalle on itsestään selvää että Tietoenaattorilla on laatuun ja luotettavuuteen painostavan yrityksen maine.
Täytyy vielä todeta, että olen tyytyväinen Nordean verkkopankin sisäänkirjautumisessa käytettyjen kertakäyttökoodien kanssa. Nordean sivusto ei myöskään vaadi erillisiä plugineja toimiakseen.
Leave a Response