Feed subscription » blog | » comments | » google+ | » mobi | » twitter

Bude Internet banking Tatra Banky vo Flashi?

Bude Internet banking Tatra Banky vo Flashi?Internet banking (IB) Tatra Banky (TB) by mal byť v blízkej budúcnosti dostupný v novej verzii vytvorenej technológiou Adobe Flex, resp. Flash. Informuje o tom samotná banka na stránkach svojho IB. Je to dobrá, alebo zlá správa?

Na začiatok je potrebné vyjasniť jednu podstatnú vec. Adobe Flash je klientská aplikácia, ktorej ekvivalentom je kombinácia HTML, JavaScript a CSS. Nejedná sa teda o serverovú časť, ktorá robí “rozhodnutia” na základe vstupov od klienta.

Ešte je vhodné uviesť, že nemám žiadne ďalšie informácie o tom, aká časť IB má byť prerobená do Flashu. Je pokojne možné, že pôjde len o časť (napríklad zobrazovanie informácií v grafoch), alebo o celý IB. V tomto článku budem pracovať s druhou verziou, teda že celý IB bude prerobený do Flashu.

Pre a proti

Prečo sa TB rozhodla ísť do technológie Flashu môžem len hádať. Myslím si, že to ma celé na svedomí neustále objavujúci sa malware, ktorý vstupuje medzi klienta a banku. TB presne kvôli tomu pristúpila k zavedeniu aktívneho tokenu pod názvom Card&Reader, ktorý mal tieto útoky zastaviť. Dodnes sa im však nepodarilo presvedčiť všetkých klientov, aby prešli na tento systém autentifikácie. Možno preto hľadajú ďalšie možnosti, ako minimálne sťažiť prácu tvorcom malwaru a iným zlodejom. TB však neraz pristúpila, povedal by som až neštandardne, k bezpečnosti svojich zákazníkov.

Dostupnosť

Penetrácia Flashu na počítačoch je podľa oficiálnych informácií Adobe niekde okolo 99%. Táto informácia je však značne skresľujúca, pretože Flash napríklad nepodporuje dnes veľmi populárny iPhone a iPad od spoločnosti Apple, rovnako ako mnoho smartphonov a iných zariadení.
Pri týchto číslach je potrebné pamätať aj na to, že z tých 100% testovaných zariadení, kde má väčšinovú podporu Flash, má 100% podporu HTML.

Podľa mňa logickejším krokom by bolo zvolenie kombinácie HTML 5, JavaScript a CSS 3 (nebudem ich ďalej v článku už vypisovať, tieto tri technológie bude reprezentovať len uvedenie HTML 5). Ich penetrácia rovnako nedosahuje 100%, ale zato umožňuje využiť potenciál samotných prehliadačov. Flash je samostatná technológia, ktorá je ešte mimo to aj dosť autonómna (napríklad používa vlastné cookies).
Ak by si TB zvolila HTML 5, mohla by dosiahnuť veľmi podobného efektu ako pri použití Flashu. Viac o nových možnostiach samotnej technológie HTML 5 sa môžete dočítať v seriáli Martina Malého “Webdesignérův průvodce po HTML5.

Bezpečnosť

Jedným z mnohých argumentov, prečo nepoužívať Flash, je bezpečnosť. Flash Player ako aplikácia skutočne trpí relatívne často na bezpečnostné zraniteľnosti, ktoré môžu vážne ohroziť bezpečnosť klientského počítača. Flash je však technológia, ktorá by sa v určitom zmysle mohla dať na podobnú úroveň ako samotný prehliadač (nechcem to zbytočne rozvádzať, snáď chápete, čo tým myslím).

Ak by sme teda porovnali množstvo zraniteľností u Flash Playeru a u rozšírených prehliadačov, nebude v množstve zraniteľností veľký rozdiel.
Zásadný rozdiel je však v tom, že užívateľ prehliadač použije i pre načítanie Flashového obsahu, čím sa bezpečnostné riziko zdvojnásobuje. Rovnako je na trhu väčšie množstvo prehliadačov, kým Flash Player je v podstate len jeden.

Na otázku, aká je najbezpečnejšia kombinácia OS + prehliadač, odpovedalCharlie Miller že:

Chrome or IE8 on Windows 7 with no Flash installed. There probably isn’t enough difference between the browsers to get worked up about. The main thing is not to install Flash!

Miller je viacnásobný víťaz súťaže PWN2OWN, na ktorej sa podarilo získať kontrolu nad počítačom aj vďaka neverejnej (tzv. 0day) zraniteľnosti Flash Playeru.

Tip: Ako sa chrániť pred zraniteľnosťami v Adobe Flash a Reader

Záver

Len ťažko hľadám pozitívum v rozhodnutí TB prejsť na technológiu Flash. Možno ho len nevidím a niekto mi ho ochotne prezradí v diskusii pod článkom.

Podľa mňa predstavuje IB veľmi kritickú aplikáciu, kam nepatria technológie ako Flash, či Java (na strane klienta). Rovnako tam nepatria skripty tretích strán, ako napríklad monitorovanie od Google Analytics, a podobne.

Aký je váš názor?

Zaujal vás článok? Sledujte ma na Twitteri.


34 Responses to “Bude Internet banking Tatra Banky vo Flashi?”


  1. 1 scru.f Sep 12th, 2010 at 10:51

    Nesuhlasim s Charlie Millerom a myslim ze midas za pravdu pretoze:
    1. Windows 7 bol uz pod prveho predavania cracknuty co znamena ze ho mozes mat ako legalny nelegalne a siri sa tam malware ako na predoslych.
    2. IE8 – tu by som tiez trosku pomlcal! Stale je to vyrobok Microsoftu ktory z bezpecnosti aj po tych rokoch vie strasne malo, Stale sa moze nakazit s “trojanom” cez javascript konkretne activeX.

  2. 2 Rastislav Turek Sep 12th, 2010 at 11:35

    @scru.f: na druhu stranu, cracknute je kdeco. len malo aplikacii (ci uz su to hry, alebo iny sw) nie je cracknutych, aspon po urcitom case. Win 7 prisiel s velkymi bezpecnostnymi zmenami, ktore podla mna znizuju riziko nakazanie. rovnako aj updaty su uz o nieco lepsie a stabilnejsie.

    IE8 je rovnako krok vpred, oproti takej IE6. remote code executuion, teda moznost nakazit PC trojanom je prakticky u kazdeho browsera od hora az dole. samozrejme odstranuju tieto zranitelnosti co najrychlejsie (momentalne za to aj platia), ale existovat to existuje.

  3. 3 majak Sep 12th, 2010 at 12:18

    Ja si zas myslím, že s tou bezpečnosťou to nie je úplne zlé.
    Väčšina bezpečnostných problémov vo flashi je zneužiteľná načítaním zákerného swf.

    Kto doteraz používal flash, tak tomu sa riziko použivaním tohto internetbankingu nezvýši, pretože môžme predpokladať, že banka nebude vyrábať zákerné swf.

    A kto flash nepoužíval a nainštaluje si ho, má dve možnosti.
    1. Buď ho bude používať len v internetbankingu, čím sa riziko nezvýší.
    (No neviem nakoľko je táto možnosť technicky uskutočniteľná.)
    2. Alebo ho bude (ne)vedome používať aj na iných stránkach,
    čím sa vystaví riziku natrafenia na zákerné swf.
    Čo jeho peniaze v banke nijak priamo neohrozuje, len jeho počítač.

    Asi existuje pár zraniteľností vo flashi, ktoré umožnujú získať dáta uložené “vo flashi” z inej domény. V tom prípade by stačilo spraviť internetbanking tak, aby na strane klienta nič neukladal.

    Z môjho pohľadu je po bezpečnostnej stránke najviac ohrozený človek,
    ktorý flash nemal a nainštaluje si ho. Tých je podľa mňa minimum, no túto domnienku nemám ničím podloženú.

    V každom prípade, bezpečnosť samotného internetbankingu použitím flashu nestráca.
    Prirovnal by som to k tomu, ako keby sa Tatrabanka rozhodla spraviť to v PDF. Problémom sú zákerné PDF súbory, ale tie od banky človek dostávať nebude.

    (Je možné, že som na niečo zabudol, pretože zraniteľnosti flashu som nijak hlbšie neštudoval.)

    (Na druhú stranu, tiež sa mi tento krok nepáči a radšej by som to videl v HTML5:-). Na sprehľadnenie a zjednodušenie aplikácie nie je nutné použiť flash.)

  4. 4 scru.f Sep 12th, 2010 at 12:31

    #2 Rastislav Turek: Windows 7 ma zlate oci. pekny vzhlad (ktory ukradli) atd. super dosiel s tou ubohou ochranou ako mala vista ze musis niektore programy povolit ale ani viste ani tomuto to nepomohlo. Nefunguje to asi na 70% programov. Napr. na startup programy. Co sa tyka tych updatov tak poviem len ze najprv to poseru a potom sa az moc snazia… napr. niekto ma nelegalny windows a oni sa spoliehaju ze s updatmi ho zrusia ale co ked ten clovek ma rozum a ma ich vypnute ?
    “samozrejme odstranuju tieto zranitelnosti co najrychlejsie (momentalne za to aj platia)” tymto si mi priponul asi 16 alebo kolko rocnu zranitelnost ktoru si vobec nevsimali. A to nevravim o tom ze su to obycajny zlodeji a diletanti – http://tinyurl.com/343jsg5
    … Co sa tyka toho IE mam nanho stale rovnaky nazor, je to moja nocna mora.

  5. 5 Rastislav Turek Sep 12th, 2010 at 12:58

    @majak: ja som nehovoril o tom, ze su v ohrozeni peniaze ludi v banke, ale presne to, co si napisal ty. v ohrozeni su samozrejme ludia pouzivanim flashu na inych weboch.

    musis uvazovat aj nad tym, ze aj banka moze byt infikovana. pravdepodobnost je znisia, ale existuje. RCE na urovni prehliadaca nie je az tak ucinna ako na urovni flashu, ktory je len jeden oproti mnohym prehliadacom. banka je autorita. ak povie klientom, aha, aj my pouzivame flash, tak oni si prestanu/nezacnu davat pozor na nebezpecne weby. podobnu vec som pisal uz pri emailingu CSOB, kedy oni pochybili v tom, ze poslali emailing podobny phishingu. ak si klienti zvyknu, ze to je ok, tak bude phising uspesnejsi.

    rovnako su problemom aj pdf subory (vid posledny 0day exploit). bolo by lepsie, keby banka radsej generovala len textove subory a pdf umooznovala stiahnut az z webu.

    nechcel som to davat priamo do textu, ale z mojich skusenosti pri auditovani flashovych webov ti viem povedat, ze prave kvoli urcitemu pocitu falosnej bezpecnosti, sa hodne zabuda na niektore casti systemu, ktore su potom nachylne na rozne utoky. ale toto je priamo chybou tvorcov, nie systemu ako takeho.

    @scru.f: nechcem zachadzat do invektiv. aj unix mal bug, ktory bol otvorenny cez 10 ci 20 rokov. toto su jednoducho veci, ktore sa stavaju. ci nieco ukradli, to ja fundovane posudit neviem. viem ti len povedat, ze po zavedeni UAC sa znizuje bezpecnostne riziko. pomaha tomu aj DEP, ale tiez nie je ziadnym silver bullet na bezpecnost.

  6. 6 Vojto Sep 12th, 2010 at 13:30

    Preco Rovno neurobit java applet?

  7. 7 hnidopich Sep 12th, 2010 at 15:39

    @scru.f – U Explorera veľmi záleží na tom, pod akým systémom beží, je totiž veľmi prepojený s operačným systémom aj vo veci bezpečnostných opatrení. Na XPčkach by som s IE8 rozhodne nerobil, ale na Viste s SP2 či Windows 7 je IE8 jeden z najbezpečnejších prehliadačov. A netreba zabúdať aj na najlepšiu ochranu IE8 pred sociálne orientovaným malware, možno aj toto je dôvod, prečo ho Miller odporúčal.

  8. 8 Kusi Sep 12th, 2010 at 16:04

    Ja pevne verím, že ten Flash bude v TB určený iba na grafy a akési sprestrenie tých tabuliek.

  9. 9 exoomer Sep 12th, 2010 at 21:24

    Predpokladam ze po takejto negativnej reakcii na vsetkych forach, diskusiach a pod. bud nechaju alternativu v HTML, alebo jednoduchon nieco vymyslia, pretoze ten flash je naozaj fail.

  10. 10 akira Sep 12th, 2010 at 22:19

    Mozno len pridaju animaciu kde sa ukaze kalkulacka a daky pazur bude dokola natukavat cisla co ma clovek zadat do tej ich kalkulacky + par reklam na ich produkty.

  11. 11 Borek Bernard Sep 12th, 2010 at 23:32

    Pokud jde čistě o bezpečnostní pohled, tak běžní uživatelé už Flash Player dávno mají a odborníci si poradí, takže nevidím problém. Jinak jak jsi psal, bezpečnost bankingu samotného problémem není, jen aby si to tak někdo nevyložil…

    Flash má své nevýhody, o tom žádná, ale i své výhody, takže se IMO jedná o normální technologickou volbu.

  12. 12 Rastislav Turek Sep 13th, 2010 at 00:01

    @Borek Bernard: nechcel som to pisat priamo do clanku, ale nie je to az tak uplne pravda. u flash aplikacii je podla mojich skusenosti vacsie riziko, ze bude system (teda na strane servera) nachylnejsi, ako pri pouziti HTML. velmi obdobne to plati i u AJAXu. TB dodnes nema odstranene niektore zranitelnosti (napr. XSS a CSRF na niektorych miestach). Obavam sa, ze tento krok bezpecnosti nijak neprospeje. Nie vela bezp. ludi vie auditovat tieto systemy, hlavne ak sa pouzije AMF (mal som tu cest asi 2x) a tak vznika dalsi priestor na problemy.

    Ale vsetko je otazka tvorby, toto su len moje velmi subjektivne pocity. Pockam si na prvu betu, urcite budem medzi prvymi, kto ju vyskusa.

  13. 13 k0rnel Sep 13th, 2010 at 01:54

    Viem, ze debata je primarne zamerana na oblast bezpecnosti, a ta zaujima aj mna, ale netreba zabudat aj na pohlad pristupnosti. Z tohto pohladu flash ako jedina verzia IB tiez nie je velmi stastnym riesenim, ci uz pre to, i ked pomerne male percento ludi, ktori flash nemaju alebo o nom dokonca ani netusia, pripadne si ho nechcu nainstalovat, ale hlavne pre ludi s urcitymi problemami. Obavam sa totiz, ci by vyvojari zabezpecili dostatocnu mieru pristupnosti flashovej (flexovej) aplikacie. I ked by z ich pohladu nemal byt problem zabezpecit napr. ovladatelnost celej aplikacie klavesnicou, alebo dokonca aj pripadne ‘ozvucenie’ celej aplikacie, stale vidim isty problem pri pouziti napr. screen readerov, kedze adobe implementovalo len MSAA Api, ich pouzitelnost vramci flashu na inych os ako windows sa blizi k nule. Tak isto ako prekazku v pouzitelnosti nevidim len postihnutia samotneho cloveka, ale napr. aj pomalu linku uzivatela, to vsak zavisi od toho, aku velkost dana aplikacia bude mat. No a v neposlednom rade spominane mobilne zariadenia, hlavne tie, ktore flash vobec nepodporuju.
    Optimisticky sa vsak pridavam k hlasom ktore tu uz odzneli, ze snad bude flash v IB tatrabanky len ako doplnok pre spestrenie niektorych vizualnych prezentacii, lebo inac este bude o com diskutovat :)

  14. 14 Marki Sep 13th, 2010 at 11:59

    No ohrozenie PC uzivatela sice nemusi priamo znamenat ohrozenie penazi (kedze na aktivne operacie v IB treba viac autentifikacie), ale urcite pomoze utocnikovi sa to IB dostat…

  15. 15 brano Sep 13th, 2010 at 21:20

    Ak to zavedu, odchadzam. Uz som ich na to upozornil mailom.

  16. 16 TheTiger Sep 14th, 2010 at 18:12

    Ako odpoved mi z TB poslali celkom dobre napisany reklamny mail ake bomba nove moznosti pre IB to prinesie ale napisali aj ze paralelne to bude bezat 6 mesiacov a ze pripravuju aj riesenie pre platformy kde Flash nie je dostupny. Mozno sa teda predsa len trocha spamatali a na odozvy ludi a komentare na weboch budu nadalej podporovat stary dobry HTML IB vo verzii pre mobily ale vymyslia nieco nove.

  17. 17 ayslix Sep 14th, 2010 at 20:25

    “Flash je samostatná technológia, ktorá je ešte mimo to aj dosť autonómna (napríklad používa vlastné cookies).”

    –flash nepouziva vlastne cookies. flash pouziva cookies z internet exploreru.

  18. 18 Zafael Sep 14th, 2010 at 21:53

    @ayslix: nie nie… mylis sa… Flash cookies alebo tiez Local Shared Object su rozdielne od klasickych cookies ktore pouzivaju browsery…

  19. 19 Rastislav Turek Sep 14th, 2010 at 22:01

    @Zafael: dik, aspon mu to nemusim pisat ja :)

    @ayslix: precitaj si http://blog.synopsi.com/2009-08-21/nie-su-cookies-ako-cookies

  20. 20 WURMi Sep 18th, 2010 at 13:27

    V pripade Flashu mi napadol este dalsi problem. Ked sa v nom najde nejaka kriticka chyba, treba cakat na hotfix od Adobe, co moze nejaku dobu trvat. A bez hotfixu bude pouzivanie Flashu predstavovat velke bezpecnostne riziko. Naopak, ked sa najde nejaka vazna chyba napriklad v IE, este stale je moznost pouzivat IB trebarz vo Firefoxe

  21. 21 dc Sep 23rd, 2010 at 01:39

    no mna by skor zaujimalo, ak to bude flex, do akej mieri vyuziju cely framework. Ono predsa len pri flexe to tak nejak laka presunut cas business logiky ku klientovy, ved tam mam na to cely pekny framework. A toto moze byt potencionalne riziko ak vyvojari v TB sa nechaju zlakat. Staci dekompilovat swf a minimalne sa moze clovek dozvediet veci ktore by radsej vediet nemal (nevravim ze rovno nejaky pristup/heslo aj ked by som sa tomu nedivil, ale aj tak informacie ktore mu mozu pomoct). No a ak zasa nevyuziju potencial flexu tak mi to fakt pripada ako zbitocnost pretoze vyvojari si pracu nejak neulahcia a spravit “shiny” IB sa da aj inak….

  22. 22 Kremo Sep 24th, 2010 at 11:18

    Co je zle na sucastnej kombinacii prihlasenia sa cez browser kde ID mi pridelila banka, password je moj (v hlave), na prihlasenie do uctu mi pride potvrdzovaci kod cez SMS, a na vykonanie prikazov mam GRID kartu ? Aj keby mi odcudzili doklady (grid), a telefon sucastne, tak bez hesla sa dalej nedostanu.

  23. 23 n Sep 26th, 2010 at 17:34

    Hlavne adobii zablesk je proprietarna technologia,
    u ktorej realne nemas moznost alternativy. Ziadne otvorene standardy, nic.

    A ked ti tam nieco nefunguje, alebo funguje az prilis (exploity), mozes sa ist stazovat tak na lamparen.

    Ak to fakt zavedu, maju o zakaznika menej.

  24. 24 cotadotoho Sep 28th, 2010 at 18:29

    uplne najlepsie je, ze vacsina ludi co tu pise ani nie su klientami TB a pouzivaju este GRID cards alebo SMSky ale nic o zneuzitelnosti tychto nastrojov som tu nepocul. vela kriku pre adobe, pre citacku cipovych kariet a nove technologie. ale to ze tito “bezpecnostni experti” stale ficia ako sto rokov za opicami na GRID kartach, to je v poriadku:))))))))))))))))))) trapni – som zvedavy, ci bude tento prispevok zverejneny

  25. 25 marek Oct 2nd, 2010 at 23:35

    asi majú veľa klientov keď si takto dovolia hazardovať :D

  26. 26 pf Oct 5th, 2010 at 15:08

    tu je vyjadrenie z TB, ked som sa ich opytal danu temu:

    Vazeny pan *,

    dovolujeme si reagovat na Vas e-mail.

    Sucasny Internet banking Tatra banky je uz viac ako 10 rokov zalozeny na rovnakej technologii.
    Cielom prechodu na novu technologiu Adobe Flex ®, ktora je sucastou Adobe ® Flash ® platformy, bolo pri zachovani vysokej bezpecnosti zabezpecit jeho
    pouzivatelom zjednodusenie prace a sprehladnenie ponukanych funkcionalit.
    Radi by sme Vas ubezpecili, ze Tatra banka tento krok dokladne zvazila a tak ako standardne pri zmenach elektronickeho bankovnictva, aj tento proces, vratane
    bezpecnostnych testov, podliehal auditu tretich stran – renomovanych spolocnosti zaoberajucich sa bezpecnostou na internete.
    Otazka bezpecnosti elektronickeho bankovnictva je pre nas vzdy najvyssou prioritou a bezpecnost noveho Internet bankingu je preto zosilnena nad ramec sucasneho
    Internet bankingu. Vyuzivat
    bude standardne zabezpecenie komunikacie pomocou sifrovaneho protokolu tak, ako je to v dnesnom Internet bankingu a zabezpecenie integrity a autenticity
    komunikacie.
    Uvedomujeme si, ze podmienenost tohto Internet bankingu prave verziou Adobe ® Flash ® Player 10.0, resp. vyssou moze byt na prvy pohlad prekazkou pre jeho
    pouzivatelov.
    Novu technologiu Adobe ® Flash ® Player 10.0, resp. vyssiu, uz dnes vyuziva 98 % nasich aktivnych klientov (okrem pouzivatelov mobilnych platforiem – tzv.
    smartphones), preto budu moct takmer vsetci nasi klienti vyuzivat novy Internet banking bez akejkolvek instalacie. Taktiez to, ze je tato technologia volne
    dostupna na stiahnutie velmi jednoduchym sposobom z nej vytvara pristupny nastroj k efektivnejsim a technologicky vyspelejsim rieseniam.
    Aby si vsetci pouzivatelia Internet bankingu mohli na jeho novy vzhlad a vyuzitie zvyknut, proces spustenia novej verzie bude postupny. Po dostatocne dlhe
    obdobie, minimalne sest mesiacov, bude nadalej zabezpecene fungovanie jeho sucasnej verzie spolu s novou beta verziou. Po ukonceni beta verzie noveho Internet
    bankingu, tento nahradi sucasnu verziu, ktora bude nasledne vypnuta.
    Vazime si nasich klientov a snazime sa transparentne a vcas komunikovat zmeny, ktore sa ich tykaju. Aj z toho dovodu sme v dostatocnom predstihu pred spustenim
    novej beta verzie zverejnili na prihlasovacej stranke do Internet bankingu pre klientov oznam o pripravovanych zmenach. Presny termin spustenia novej beta
    verzie zatial nevieme zaväzne potvrdit, ale urcite to bude v kratkom case.
    Verime, ze v konecnom dosledku uvitate novy dizajn a pouzivatelske rozhranie, ako aj nove prvky ovladania aplikacie, pricom bezpecnost prace s Vasimi financiami
    zostane zachovana. Nova platforma vytvara priestor pre dalsie inovativne funkcionality, ktore Vam sprehladnia pracu s Vasimi financiami, ako aj pracu so
    samotnym Internet bankingom.

    Dakujeme za porozumenie.

    S pozdravom

  27. 27 Adam Oct 17th, 2010 at 13:42

    Prečo sa všetci oháňajú HTML5 a CSS3 ako štandardami? (Najviac ma to vytáča u Apple a jeho fanboyov)

    HTML5 je stale v stadii Working draft (konkr. verzia 9 alebo 10 myslim) a CR tohto standardu je naplanovany niekedy na rok 2012 (resp. hlavny editor tohto standardu to predpoklada) a css3 oficialny roadmap nema nastavene terminy ani na CR). To, ze mnoho prehliadacov parcialne alebo kompletne podporuje WD je sice pekne, ale standard este zdaleka nie je hotovy a jeho podpora este zdaleka nie je kompletna.

    Navyse, ako sa raz flash napise, tak sa zobrazi tam kde je podporovany, co sa v nasich podmienkach o HTML/CSS zdaleka neda povedat (len vdaka tomu, ze este stale je tu IE6 a IE7 – dokopy asi 30% [10 a 20])

    Tymto samozrejme nehovorim, ze IB klient vo flashi je dobry napad, len ludia vo fanatickom vymietani diabla (flash) zabudaju na to, ze situacia okolo standardov a ich podpory nie je taka ruzova a zdaleka nie je v stave “napisem to tak a bude to 100% fungovat)

    P.S.: vo formulari mas prilis svetly font, ledva sa mi to citat pri pisani, pri neaktivnych polozkach ani nehovorim :) (latest Chrome/Mac 10.6)

  28. 28 egman Oct 25th, 2010 at 09:45

    #23 n: gnash je GNU alternativou pre flash, otazne je, ci v nom bude fungovat IB, kedze tam nefunguje vsetko…

    Na jednej strane je fajn, ze sa hovori o tom, ze to moze byt nebezpecne, ale v podstate nepoznam bezneho cloveka, ktory by nemal flash (uz len kvoli youtube a podobnym veciam).

    Klienti, ktori nepouzivali doteraz flash z bezpecnostnych dovodov, ho nemusia pouzivat ani potom, su zrejme dostatocne pc gramotni na to, aby si nahodili flashblock s povolenim na domenu tatrabanky.

    Myslim, ze pocet ludi, ktori si nainstaluju flash kvoli TB bude minimum…

  29. 29 Rastislav Turek Oct 25th, 2010 at 17:39

    @egman: ono to nie je ani tak o tom, ci maju vsetci flash. Ja by som pochopil, keby banka robila aplikaciu pre OS do AIR, kedy ma flash vyhodu: ma lepsi a prehladnejsi SOP model. Takto to je vsak dvojity problem, pretoze nielen, ze musia riesit SOP model flashu, ale budu musiet este aj prehliadacov, do toho dalsie zranitelnosti spojene s webovym serverom, atd. Nakoniec je to dvojnasobne viac moznosti prieniku, ako by bolo pri osobitnom webe a osobitnej AIR aplikacii.

    @Adam: Ano, suhlasim, HTML 5 nie je ziadny standard, ale da sa uz dnes celkom pekne pouzivat. Cele to je na margo pouzitia flashu, nie na margo dobreho vyberu technologie pre IB. Podla mna, pre IB treba pouzivat aktualne stabilne standardy a technologie, ktore nebudu znamenat zvysenu zataz pre uzivatelov, ani zvysene riziko. Tzn. ist cez XHTML a CSS2 s jQuery napriklad, alebo podobne. Tento vyber proste dobry nie je

  30. 30 a1 Oct 29th, 2010 at 08:36

    Pokial to bude porovnatelne kvalitne spravene ako toto tu:

    Aplikácia Tatra banky pre iPhone zobrazuje pohyby na cudzích účtoch – bezpečnostná chyba

    http://www.macblog.sk/novinky/aplikacia-tatra-banky-pre-iphone-zobrazuje-pohyby-na-cudzich-uctoch-bezpecnostna-chyba-4214.html

    tak sa asi odporucam aj ja.

  31. 31 wlad Nov 2nd, 2010 at 18:23

    Suhlasim, ze so standardami to vobec nie je ruzove, ale hlavne si treba z bezpecnsotnej stranky uvedomit, ze flash je ovela viac flexibilny, da sa pouzivat vlastny protokol, samotne swf sa da kryptovat, takze sa nik nedostane k zdrojakom (co u js rozhodne neplati), tokens… A zaroven je to aj z vyvojoveho ladiska lacnejsie, testovat aplikaciu na jednej platforme je jednoduchsie, ako testovat na vsetkych browseroch (pretoze standardy). Imho je to racionalna a dobra volba od TB.

  32. 32 Andurit Nov 30th, 2010 at 22:15

    Taktiež osobne nesúhlasím s názorom pána Charlie Millera. Osobne mam dosť z idealizovaný názor že najbezpečnejšie projekty sú Open SOURCE projekty. Je síce faktom že ak sa zaplatí skúsený tým programátorov je o kvalitu postarané ale nieje predsa len väčšia šanca že sa objaví (kritická) chyba ak si kód môžu pozrieť tisícky ľudí ako par členný tým? Určite nechcem znevažovať win7 nemám s ním žiadne skúsenosti a samozrejme môj názor je značne subjektívny :) K voľbe prehliadača sa bohužiaľ neviem vyjadriť :)

    K otázky použitia flashu v IB TB je podla môjho názoru skôr riziko to že sa viacero SCRIPT KID pokúsi cez to dostať.

    Predsa len si mysĺím že sú aj schodnejšie cesty ako sa dostať ľudom na IB ako cez FLASH :)

  33. 33 Meranie Jan 29th, 2011 at 01:11

    nemyslim si, ze pouzitie technologie Adobe Flash je vhodne a uz vobec nie na IB… ci uz z hladiska bezpecnosti alebo pouzitelnosti je to podla mojho nazoru krok vedla

  34. 34 Vladky Mar 8th, 2011 at 02:16

    Ahoj Rasto,

    nejako som sa doklikal k tomuto clanku a plne suhlasim, ze flash pre IB urcite nie. Nesuhlasim, ale ani s HTML5. Ako tu bolo spomenute je na neho este stale mizerna podpora a pre IE je prakticky nepouzitelny. Jediny vlastne prehliadac, ktory HTML5 korektne interpretuje je asi google chrome a safari(no aj tu som nasiel chyby). Dnes vsak zo statistik vidim, ze mizerny IE stale pouziva viac ako 30-40 percent uzivatelov co je brutalne cislo nato aby si ich odpalil s niecim co nefunguje jak vinko. Do buducnosti vsak vidim velku perspektivu HTML5+CSS3 a na mieste TB by som radsej ten rok-dva vydrzal a potom presiel. Adobe Flex sice umoznuje automaticku konverziu do HTML5 ak nie je nainstalovany flash player/nie je podporovany(napr. pri Iphone, iPad..), ale ja osobne by som sa “s automatikou konverzie kodu” pri IB bal ist do ostrej prevadzky.
    Na druhej strane budes mat ty aspon o com pisat ked to spustia. :)

Zanechajte odkaz

  • na ďalšie komentáre odkazujte za použitia čísla komentáru v hranatej zátvorke, napríklad [3]
  • vaša IP adresa je logovaná a zneužívaná na výskumné účely
  • môžete mi tykať
  • komentáre sú moderované, kritiku prijímam, snažte sa prosím strániť invektív