Ak ste sa stali obeťou zlodeja a prišli ste o peniaze z vášho účtu, pravdepodobne ste už prešli kolotočom problémov, ktoré vás stretnú pri snahe o získanie odcudzených prostriedkov. Často krát sa však k nim dostať nepodarí. Banky rady prenášajú zodpovednosť na svojich klientov, i keď by často mohli samé veľmi jednoducho pomôcť.
Pri svojej práci som sa stretol s desiatkami prípadov ľudí, ktorým boli nejakým spôsobom odcudzené prostriedky. O rôznych metódach by som mohol napísať aj celú knihu, ale v rýchlosti sa dá povedať o niekoľkých základných formách.
- Phishing je spôsob, kedy sa zlodej za pomoci sociálneho inžinierstva snaží vylákať z obete citlivé informácie, ako čísla k účtu, či informácie o platobných kartách, a pod. Zlodej pošle obeti podvrhnutú kópiu stránky, emailu, atď., pričom je stránka upravená tak, aby plnila presný účel pre zber citlivých informácií.
- Skimming je metóda, kedy zlodej za pomoci technických zariadení infikuje bankomat, z ktorého sníma citlivé údaje platobných kariet, z ktorých následne vyberá rôzne sumy peňazí. Zlodej taktiež môže získavať citlivé údaje aj v reštauráciách, hoteloch, pumpách, či obchodoch, resp. všade tam, kde sa používajú POS terminály pre platbu platobnou kartou.
- Keylogger/Trojan/Vírus sú škodlivé programy, ktoré sú schované v počítači nič netušiacej obete a odchytávajú jej komunikáciu, vrátane prihlasovacích údajov do internet bankingu, atď.
- Ostatné. Sem by som zaradil napríklad telefonáty s pozmeneným identifikátorom volajúceho, či SMS. Tejto téme sa budem venovať v ďalšom článku už čoskoro.
- Hacknutím stránok banky.
Zámerne som dal poslednú možnosť až na koniec, pretože jej sa budem venovať v tomto článku.
Trocha omáčky
Ako som už spomínal, banky u nás rady prenášajú na svojich zákazníkov zodpovednosť za odcudzenie prostriedkov s odôvodnením, že sami zákazníci často krát “dobrovoľne” vydajú citlivé informácie aj napriek množstvu varovaní. V určitom zmysle s týmto tvrdením súhlasím, až na dve veci. Nepovažujem snahu bánk informovať svojich zákazníkov za dostatočnú, resp. dostačujúcu. O tomto som ale už písal dávnejšie v článku zameranom proti čítačkám od Tatra banky. Druhá vec je, že banka je povinná mať systém natoľko bezpečný, aby ani phishingové aktivity neboli úspešné. To sa snažia banky docieliť viacerými spôsobmi. Ja považujem ten s kontrolnými SMSkami za prijateľný ako pre ľudí, tak aj pre samotnú banku. Akurát že u nás banky posielajú samotné SMS úplne nezašifrované a tak sa ich bezpečnosť výrazne znižuje. Samozrejme samotné SMS nie sú tzv. silver bullet na ochranu IB. Je potrebné ich využívať v kombinácii s ďalšou ochranou, ktorú však zákazník nemusí vôbec postrehnúť.
Banky sa rady chvália tým, aké sofistikované metódy ochrany používajú a ako moc je ich internet banking (ďalej už len IB) bezpečný. Výborný je aj príklad Tatra banky, ktorá na stránke s kartičkou a čítačkou má takéto vyhlásenie.
Tatra banka, banka s najlepším Internet bankingom podľa Global Finance za rok 2008…
Možno si pravidelní čitatelia spomenú, že som mal v pláne publikovať nezávislý test bezpečnosti bánk na Slovensku. Vtedy mi moje úsilie prekazili dve banky, no svoje zistenia som si samozrejme uschoval. Už vtedy mi bolo jasné, že banky na tom nie sú, čo sa týka bezpečnosti, veľmi dobre. Napriek tomu, že sa dlhodobo venujem osvete o dnes veľmi populárnych útokoch CSRF a XSS, ktoré sú skutočne na vrchole stupnice čo sa týka bezpečnosti, banky absolútne ignorujú tieto formy útokov a svoje aplikácie vôbec pred nimi nechránia. Rovnako je to aj proti clickjackingu, kde je však proces o niečo zložitejší a nebudem sa ním zaoberať v tomto článku. Najviac ma asi šokovalo zistenie, že niektoré banky doslova volajú kriminálne živly, aby sa “najedli z ich koryta”. A keďže mi už došla trpezlivosť, rozhodol som sa napísať tento článok.
Príklady za všetky slová
Aby som celú teóriu niečim aj doložil, rozhodol som sa po niekoľkých mesiacoch vytvoriť dve videá ako proof of concept. Ich hlavným aktérom je spoločnosť Tatra banka. Tatra banka na našom trhu patrí k bankám, ktoré sa navonok snažia hlásať pravidlá a zásady bezpečnosti. Ich snaha je však veľmi povrchná.
Presmerujeme vás kam si poviete
Dokazujú to už na úvodnej stránke, kde využívajú presmerovania užívateľov (redirect). Keďže sa žiadne z presmerovaní neoveruje voči žiadnej databáze (nie že by sa malo, to je úplná hlúposť, presmerovanie by používať nemali vôbec), je možné vložiť ľubovoľnú linku. Je len zázrak, že sa dodnes nik nezameral na túto banku. Útok kvalitne prevedeným phishingom by mal z môjho pohľadu obrovskú úspešnosť.
Ako môžete vidieť na videu, vďaka presmerovaniu užívateľa je možné neznalú osobu veľmi jednoducho zmiasť bez toho, aby si to uvedomila. Tatra banka tomu samozrejme napomáha aj tým, že vlastní doménu tatrabanka.com (netvrdím, že by nemala) a tak je obeť už úplne zmetená, ak by náhodou na túto stránku zavítala. Rozoznať rozdiel v jednom písmene je problém aj pre skúsené oko. Zlodej už potom môže zaobchádzať s obeťou podľa ľubovôle. Ostražitosť samozrejme klesá v okamihu, ako zbadáte linku na pravé stránky Tatra banky.
Pre tých, ktorí budú namietať, že certifikáty nesedia, poprípade že tam žiadny nie je, majú pravdu. Zakúpiť si certifikát je otázka niekoľkých dolárov. Samozrejme, nikdy nebude sedieť s tým od Tatra banky, ale ruku na srdce: koľkí si aj reálne certifikáty kontrolujú? Určite to bude minoritné množstvo. Ak by prišiel bežnému človeku phishingový email s dobrým textom, kde by linka vyzerala takto
http://www.tatrabanka.sk/cgi-bin/web/app/redir.jsp?url=http://tatrabonka.coma teda by email končil asi takto:
Prosíme vás, aby ste sa prihlásili do svojho online konta a potvrdili zmeny.
Fantázii sa medze nekladú, určite by ste vedeli aj sami vymyslieť lepší text, ktorý by bol ešte efektívnejší. Na takejto doméne môže bežať pekné web proxy, ktoré bude simulovať prakticky normálnu funkcionalitu webu, iba po prihlásení urobí niekoľko “nadštandardných” úkonov. Kým si to obeť všimne, peniaze už môžu dávno cestovať niekam do Ruska, či Číny, alebo na iný ukradnutý účet a odtiaľ do rúk zlodejom.
Upozorniť? A načo!
Ďalšia zaujímavá funkcionalita na Tatra banke je možnosť meniť si telefónne číslo priamo v profile. O zmene vás samozrejme banka nijak neinformuje, veď načo. Pri vytváraní druhého videa som si nechtiac zmenil tel. číslo pre overovanie a odhlásil sa. Nasledoval telefonát na Dialog a až potom som sa opäť mohol prihlásiť. Ak by teda útočník zmenil telefónne číslo v profile hneď po prihlásení na náhodné, či svoje, tak obeť je už úplne bež šance zareagovať v dostatočnom čase, keďže jej nepríde žiadna sms. Veľmi neštandardné fungovanie systému, ja viem.
IB bezpečnosť? Čo to prosím?
Aby toho nebolo málo, Tatra banka má tých bezpečnostných chýb o niečo viacej. Tentokrát však skutočne tie najzávažnejšie. Napriek tomu, že sa XSS a CSRF denne postarajú o množstvo nepríjemných a finančne bolestných incidentov, slovenské banky 
(nie všetky, o tom neskôr) i naďalej ignorujú túto hrozbu. Rovnako je na tom samotná Tatra banka. Možno si spomínate, ako bola na hlavných stránkach Tatra banky nájdená XSS zraniteľnosť vo vyhľadávaní. Vtedy sa Eva Šinková “bila do hrude”, že sa zraniteľnosť nachádzala len na informačnej časti Tatra banky a teda nie v časti IB a tak sa nemusia klienti ničoho obávať. Nuž, ja som pred niekoľkými mesiacmi našiel asi 60 XSS po celom IB, plus zopár i na hlavnej stránke. Keďže bezpečnostný tím banky pravdepodobne sleduje moje kroky po ich webe, odstraňovali niektoré XSS podľa toho, ako som ich našiel. Tento stav mi vyhovoval, keďže som im nemusel ani nič reportovať, ani nič s nimi preberať. Bohužiaľ, nemám chuť sa s nimi takto “hrať” donekonečna. Je veľmi zaujímavé, že ani po prvom verejnom incidente si nenechala banka urobiť poriadny bezpečnostný audit (nie taký od KPMG, ktorý ma web plný bezpečnostných chýb a môže byť rád, že mu ho dodnes nik nepremazal). Aspoň môžu klienti vidieť, ako moc banku zaujíma bezpečnosť ich peňazí. Čo sa týka CSRF, tam pravdepodobne zodpovední pracovníci banky ani nevedia čo to je. Jediné za čo banku môžem aspoň trošku pochváliť je, že neukladajú session do cookies a tak je k nej zložitejší prístup. Síce to predĺži prácu len o 10 minút, i tak je to celkom pekná prekážka.
Ale aby neostalo len pri teórii, tu je video ktoré demonštruje, ako jednoducho je možné zmeniť údaje v profile len vďaka tomu, že užívateľ navštívi podvrhnutú stránku. Musím podotknúť, že sa môže jednať aj o email s HTML, ktoré obsahuje skrytý iframe. Je mi jasné, že väčšina anti-spamových riešení by takýto email hneď označila za nebezpečný, no i to je možnosť. Samozrejme, stačí infikovať veľký portál, kam chodí veľa zákazníkov banky, ako napríklad sme.sk. Pri stave ich bezpečnosti webu by to bola otázka len niekoľkých minút.
Keďže nemám žiadny testovací účet od banky, musel som použiť môj súkromný. Preto sú niektoré časti videa začiernené, aby ste ma niekto “nenávštivil” na mojom účte. Ako môžete vidieť na videu, obeť sa prihlási do IB. Následne sa dostane na infikovanú stránku. Tá vykoná potrebnú operáciu a užívateľovi sa zrazu zmenili informácie v profile. Takto je samozrejme možné urobiť prakticky čokoľvek. Odoslať peniaze síce nie úplne priamo, ale je veľmi jednoduché donútiť osobu vypísať potrebné údaje, aj keď má napríklad čítačku. Napríklad môže zobraziť stránku priamo na webe Tatra banky (cez JS a DOM), kde bude tvrdiť, že sa jedná o test jeho zariadenia a má postupne naťukať vypísané údaje a vložiť ich do formuláru. Vďaka XSS môže zlodej obeť dlhší čas presviedčať o tom, že prostriedky na účte stále má aj keď z nich časť, či dokonca väčšinu už dávno má zlodej. Systém banky sa snaží kontrolovať aj to, či je okno už otvorené a tak sa snaží zablokovať otvorenie ďalšieho okna. Našťastie vie JavaScript upravovať prakticky čokoľvek na úrovni prehliadača a tak je táto ochrana dosť nezmyselná (v niektorých prípadoch až otravná pre bežného človeka).
Banka bude určite namietať, že by nebolo možné žiadne prostriedky odcudziť z účtu a že k takémuto úkonu by bolo potrebné využiť sociálne inžinierstvo. To je samozrejme pravda. Viem, že pre laických čitateľov moje slovo nebude dostatočným dôkazom toho, čo sa dá skutočne urobiť. Preto som urobil malý POC. Sami si môžete pozrieť, ako sa dá jednoducho zmeniť obsah webu bez toho, aby ste zasiahli do zdrojového kódu. Za obeť som si vybral web Bratislavského primátora Andreja Ďurkovského. Môžete mi veriť, že pán Ďurkovský skutočne nepropaguje kaderníctvo Synopsi.
Záver
Napriek tomu, že som sa v článku zameral len na Tatra banku, pravda je taká, že aj väčšina z bánk na Slovensku je na tom podobne, ak nie aj horšie. U jednej z bánk sa mi podarilo nájsť aj SQL Injection práve v IB, čo považujem za skutočný extrém. Nie je tomu však u všetkých, o tom však pravdepodobne nabudúce.
Tatra banka dostala samozrejme 48 hodín na odstránenie chýb pred publikovaním článku, preto dúfam, že popisované zraniteľnosti budú v čase publikovania článku už dávno odstránené. Pevne verím, že aj tento článok dopomôže k tomu, aby sa nielen banky, ale aj zákazníci a ďalšie spoločnosti postavili voči bezpečnosti zodpovedne nielen na papieri, ale aj v skutočnosti.
Tatra banka sa k mojim zisteniam odmietla vyjadriť. Ak aj napriek tomu máte záujem o vyjadrenie banky a ste jej klientom, môžete ju sami požiadať písomne na každej pobočke.
gr8 1
Uz som sa bal, ze odhalis nieco ine ako BFU!
Minimálne tie redirekty už zmizli…
Chcel by som sa opýtať autora, či používa interntbanking a ak áno, od akej banky? :)
cca1: typni si aky ib pouziva autor, ked je vo videu :) bohuzial ten, ktory popisoval. ale aj niektore ine, no vsetky su na tom rovnako. vynimkou je mbank, ktory ma ib celkom dobre rieseny po security stranke. mbank vsak zas poskytuje asi 5% sluzieb oproti ostatnym a to aj v ib
btw, tie redirecty opravi uz vcera ci predvcerom, kedze to bola skutocne ta najlahsia cast
1. vynikajuce citanie. autorovi gratulujem
2. takyto verejny pentest je asi jedinym sposobom ako prinutit banku nieco s tym urobit. uplna absurdnost je, ze ta chcu zazalovat za nieco, co ty vies a mienis publikovat a nezneuzit. oni to nemienia opravit kym nebude treba, pretoze to su zbytocne naklady pre nich.
je to prinajmensom smutne, pre mna doteraz nepochopeny pristup bank k bezpecnosti
gj
tak to s durovskeho strankou vedie :)))))
o mesias, sme radi, ze si prisiel k nam, aby si nas ucil;
nechcem sa zastavat tatrabanky ani inych bank, to urcite nie,
ale ako sa hovori rozmery ludskej hluposti su neobmedzene a ak
jedinou zranitelnostou ich (mimochodom dost zleho) ib je
ze ma moze nejaky ten mail presmerovat na phishovanu stranku,
tak blbec, ktory tam skoci, si nic ine ako okradnutie nezasluzi;
mal by si robit osvetu aj v kluboch dochodcov, materskych centrach
a odborarskych organizaciach ;-) nikdy nespravis web tak bezpecny,
aby ti daky trupik ktory naleti na kazdu somarinu neposlal cele
tvoje riesenie do kolien (napr. prezradenim hesla ;-)
Robil v TB IB vo viacerych oknach a to ze to zakazali ma dost obmedzilo.
meriu: som rad, ze si nekomentoval druhe video. je aspon vidiet, ze si jednoducho nevies uvedomit nebezpecie takehoto utoku a kombinaciu tychto dvoch. samozrejme ze urobim web taky bezpecny, ze ked mi nejaky trupik (ako si ho nazval), ktory naleti na “somarinu”, vyplni svoje prihlasovacie udaje, tak posle do kolien moje riesenie. tatra banka to dokazala za pomoci karticky a citacky. i ked je mozne opatovne vyuzit social engineering. su banky, ako napriklad ebanka v cz, ktora pouziva sadu klucov pre pripojenie do ib. s kombinaciou s sms, atd. je tento proces dotiahnuty na uroven niekde ku 100% a prihlasovacie udaje zlodejovi vobec nepomozu. samozrejme je aj chyba moznost zmenit telefonne cislo v profile banky. vzdy je mozne urobit nieco pre dosiahnutie relativneho bezpecia klientov, nech je to uz web akykolvek. samozrejme, ze nikdy neurobis 100% riesenie, ale urcite vzdy urobis viac ako tych 10% ako tomu bolo teraz.
Pekne.
Svojho casu mal T-Mobile urobeny svoj web tak, ze umoznoval includovat lubovolny iny web. Takze si mal URL adresu v tvare http://www.t-mobile.sk/………….. a zobrazovalo to content ineho webu. Ziaden redirect, ale rovno include :)
Po tom, co som to nasiel to takto mali este niekolko tyzdnov.
Banky rady prenasaju zodpovednost na klienta, ale raz sa mi aj stalo, ze zodpovednost proste nebola na nikom a peniaze boli prec. Posielal som zrychlenu platbu z uctu na ucet. U mna peniaze hned odpocitali z uctu ale na strane prijemcu neboli. A neboli tam ani po tyzdni. Peniaze zmizli a nebol sposob ako dohladat kde su, pretoze moja banka tvrdila, ze je vsetko OK a druha banka odmietala tu platbu potvrdit. Po mysli mi pravdaze chodili tie najhorsie scenare o ludoch, ktory ten system kodili, ale ani tam sa neda nic potvrdit, lebo ty sa s vami tiez bavit nebudu. Po tyzdni a cosi zrychlena platba konecne dorazila bez ziadneho vysvetlenia, co sa vlastne stalo.
zaujimave citanicko.
a mam taky pocit ze si to spachal celkom sympatickym a hlavne legalmym sposobom :-)
gratz
Nnnoo o tom Mbanku az taku dobru mienku nemam. Ich web som neposudzoval, ale celkom mi staci, ze posielaju vypis transakcii na ucte nezabezpecenym mailom. A nic take v style “Mate novy vypis v internetbankingu, prihlaste sa a mozete si ho stiahnut” ale priamo ako pdf attachment v maili. A posielaju to aj napriek tomu, ze som si zasielanie takehoto mailu zrusil. Takze web sice mozu mat dobry ale backend nereaguje na nastavenia a v inych veciah maju zasadne lapsusy.
maxoixo: mna teraz trosku mrzi, ze som napisal priamo tak pochvalnu vetu. myslel som to tak, ze mbank netrpi na XSS. samozrejme, bezpecnostnych prvkov ma minimum a je celkovo dost slabo zabezpeceny. ja som narazal skutocne len na xss
maxoixo, nechcem nikoho obhajovat, ale odvadzas pozornost asi takymto sposobom:
v mbank ma sice neokradnu, ale budu vediet kolko mam na ucte!
no offense
http://blog.synopsi.com/2008-03-03/preco-meska-ohlaseny-test-bezpecnosti-bank
Ako dopadli zistenia pravnikov? Ubehlo viac ako pol roka… a nejak som nevidel nic.
a co si chcel martin vidiet? vysledky su take, ze plosny test a vysledok z neho nebudem robit, postupne sa mozno budem venovat jednotlivym bankam osobitne.
disorder: neodvadzam pozornost. Len sa mi nelubilo, ze by prave mbank mala byt vyzdvihovana. A vysvetlili sme si to.
Velmi pekny clanok :)
Mna by zaujimalo ci a ako si sa dostal k testovaniu inych internet bankingov. Teda v TB ocividne ucet mas, mozno aj v dalsich, ale zakladal si si ucty po bankach len kvoli testovaniu ? :)
Lebo bez uctu sa asi do IB nedostanes (teda ak to programatori nejako poriadne nezmrsili, ale to by uz bola katastrofa…)
ked chces nieco dosiahnut, musis nieco obetovat. nuz, pre peniaze to veru nerobim. ale ak to pomoze dosiahnut skutocne bezpecny ib na slovensku, tak preco nie
Dobra Rada
autorovy doporucujem , dat si v buducnosti pozor na taketo detailne opisi bezpecnostnych problemov ,pretoze z pravneho hladiska o moze byt povazovane za navadzanie na trestny cin.
Urcite to autor myslel dobre, zaco mu patri chvala za tento clanok, avsak ak hovori to, ze
“tu je truhlica plna zlata, a tam za rohom pod kobercom je k nej kluc”.
Nezavisle na tom, ze ulozenie toho klucika pod koberec je nezodpovedne, oznamenie verejene kde ten kluc je, dokonca vysvetlenie cesty k nemu, moze byt povazovane za – ako pisem – navadzanie na trestny cin.
Ja som to extremne zjednodusil, ale z pravneho hladiska, to je dost na tenkom lade. Kontra argument je, ze sukromny majetok ( a majetok v sprave inych) ma byt zabezpeceny podla najlepsich moznosti a schopnosti.
Toto je ale o vyklade a som si isty TB ma lepsich pravnikov ako autor :).
P.S.
Nemam z TB nic spolocne. Som pravnik a vidim o inak ako technik ci laik.
dakujem za dobru radu, no dovolim si tvrdit, ze nemas pravdu. ten priklad co si dal ty je navadzanie prave preto, ze si jasne ukazal postup (kluc je tam za rohom). v tomto pripade postup nebol odhaleny, len bolo povedane, ze existuje kluc. aby si mohol tento utok replikovat, musel by si mat k dispozicii kod, ktory som nikomu nedal. dalsia vec je, ze tatra banka dostala 48 hodin na odstranenie zavad este pred publikovanim clanku a to s jeho kopiou. keby aj tb podala zalobu, viedlo by to len k tomu, ze by som uverejnil o nieco zaujimavejsie veci, ktore by banka s tak stoickym kludom nepresla. vyhrat takyto spor by sa banke podla mojho skromneho nazoru nepodarilo, i ked pravnik nie som.
kazdopadne si pockam na to, ci sa tak stane, alebo nie. ja som sa k banke zachoval fer, uvidime ako moc na to zatlacia oni.
Musim povedat, ze to kadernictvo ma pobavilo a hlavne ten link
Je mi len luto, ze banky nemaju vacsi zaujem o zabezpecenie……… ale necudujem sa.
kokos, tak sql injekcia, to je uz naozaj silna kava… sam som chcel uz davno nieco podobne vyskusat, ale bal som sa, ze to maju nejak trackovane a ze z toho budem mat trable.. tak moc diky za tento clanok.. uprimne povedane som to cakal. ved to je uz na slovenskych weboch uplne bezna vec, ze vyvojovy tym nevie o bezpecnosti vobec nic. najkrajsi priklad azet.sk, tam som si uzil docela pekne chvile :D
super len tak dalej :)
ja len doplnim, ze nielen web A. Durkovskeho sa da takto upravit, ale kazda stranka pouzivajuca system vismo, cize napriklad aj bratislava.sk … ked si nahodou pozriete ten durkovskeho web, prepiste si domenu na bratislava.sk ;-)
eMDi: tento clanok som nechcel zamerat voci nim, ale ano, mas pravdu. ale tam je ovela viac problemov s tymto systemom. to ze je tam par XSS je len slaby odvar ;)
Neviem, pravdepodobne cakaju, kym im niekto klepne po prstoch a bohuzial to bude aj po prstoch klientov a potom uz bude neskoro.. ale tak to proste na nasom zlatom slovensku je..
Pekný článok, dal mi odpovede na niektoré otázky. Zrovna pred pár dňami som kamarátom vravel, že banky určite platia strašné prachy za bezpečnostné audity a dajú si ich urobiť minimálne dva na aplikáciu od úplne odlišných spoločností… …a otvorím Synopsi a zistím že som sa strašne kruto osral :)) A IB som začal používať s pocitom bezpečnosti pretože mi prišlo ako úplne samozrejmé že z pohľadu banky nie je možné aby takéto aplikácie išli do ostrej prevádzky bez auditu.. No nič to, vitajme v krutej realite :)
Ale mal by som na autora jednu otázku – aký spôsob uchovávania session je teda z pohľadu bezpečnosti ideálny, keď nie pomocou cookies? Nebodaj overovaním IP adresy?
Vopred vďaka
Miro: polozil si trosku zle otazku. pytal si sa na uchovavanie a v druhej casti si do toho pridal overovanie. uchovavanie session samozrejme moze byt cez cookies, najlepsie cez httpOnly Cookies. Ako overovat dotycneho usera sa uz riesilo u arthura denta. je relativne jedno kde session ulozis, podstatne je, aby ho nebolo mozne prevziat. teda ak sa aj ku session dostanem, nesmie byt moznost, aby ma pustila dnu. teda overovanie session za pomoci casti ip plus dalsie veci, ako mozno unikatny hash z user-agenta, etc. ale to je dost na polemiku, ci to vobec ma zmysel. ak sa hacker dostane k session cez XSS, uz nema problem dostat sa aj k user-agent.
zaujimave je ze tatrabanka je podla ‘odbornej poroty’ hodnotena ako banka s najlepsim internet bankingom v sutazi zlata minca 2008 :-)
! zlata minca 2008 vysledky hlasovania !
tam sa vsak bezpecnost nehodnotila. bohuzial