Säästöpankin nettiturvallisuus kyseenalaista

Sivusto ainakin näyttää olevan kunnossa:
http://aijaa.com/002199529513

Kokeile IE8:lla, IE9:llä toimii niinkuin näkyy.

Kyllä se toimii IE:llä ja Chromellakin. Mutta kysymys olikin siitä että miksi se ei sitten turvallisuuden kannalta toimi myös Operalla ja Firefoxilla, mitkä yhtä yleisiä selaimia?.
Onko pankin osaaminen rajoittunut vain IE:hen?

"niin ei tule minkäänlaisia lukon kuvia"

Ei Firefoxissa tulekaan lukon kuvaa vaan väri.

http://support.mozilla.org/en-US/kb/Site Identity Button

Jos osoiterivillä on https, on yhteys suojattu.

Liikennettä ei voi kuunnella
https://www.saastopankki.fi/

https://encrypted.google.com/

Mikään ei muutu lukon kohdalla vihreäksi eikä lukkoa näy. Enkä luottaisi joihinkin kikkailuihin millä jonkun värin saa miksi haluaa jos security certificate kertoo suoraan, että asiat on päin percettä
Lukon kohdan info kertoo seuraavaa:

The connection to www.saastopankki.fi is not secure, and should not be used to
exchange sensitive information.
The following problems were found:
The server does not support secure TLS renegotiation. The site owner should upgrade the server.

Encryption protocol
TLS v1.0 128 bit ARC4 (1024 bit RSA/MD5)


Eipä näytä turvallisuusasiat olevan hallinnassa alkuunkaan. Osoittaa jo melkoista leväperäisyyttä ja asiantuntemattomuutta pankin taholta.

Firefox10. "Sivustoa hallinnoi (Tuntematon).

Jospa sinun koneellasi on pankkitroijalainen.
Ainakin minulla näkyy asiallinen varmenne.

Certificate:
Data:
Version: 3 (0x2)
Serial Number:
4e:c2:37:52:c2:0a:96:04:87:d2:3f:7d:19:af:d9:f8
Signature Algorithm: sha1WithRSAEncryption
Issuer: C=US, O=VeriSign, Inc., OU=VeriSign Trust Network, OU=Terms of use at https://www.verisign.com/rpa (c)09, CN=VeriSign Class 3 Secure Server CA - G2
Validity
Not Before: May 24 00:00:00 2010 GMT
Not After : May 23 23:59:59 2012 GMT
Subject: C=FI, ST=Espoo, L=Espoo, O=Saastopankkiliitto Ry, OU=Saastopankkiliitto Ry, OU=Terms of use at www.verisign.ch/rpa (c)05, OU=Authenticated by VeriSign, OU=Member, VeriSign Trust Network, CN=www.saastopankki.fi
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
RSA Public Key: (2048 bit)
Modulus (2048 bit):
00:cf:6d:98:94:2f:7d:d3:aa:90:da:01:b0:a3:5b:
9e:0c:8e:ef:d6:f0:69:f8:ae:8e:ce:97:14:68:ef:
7d:18:bf:33:ab:12:19:ba:c6:5b:bc:10:b5:76:8f:
d5:31:5a:43:96:38:29:0f:63:12:35:a4:95:49:40:
51:cf:fc:a2:44:48:87:d9:4e:c7:61:d8:3e:92:6d:
54:8d:2a:18:76:ae:81:df:d5:2b:6c:2f:2e:b6:d2:
e9:6c:c2:f1:1c:33:1b:c5:b5:a2:36:b7:e6:c3:e2:
8e:98:c9:97:b2:f1:ed:e8:25:d4:56:7c:16:4f:4f:
3b:c8:74:69:04:1f:a5:93:08:8f:08:02:26:1f:e6:
1e:02:83:43:6b:5c:24:f8:29:90:79:0d:cc:16:ce:
71:a5:0b:4a:ab:cc:7a:59:74:e5:80:d2:19:41:b7:
d6:53:08:db:91:a3:a9:1b:7b:f9:f8:69:08:d6:75:
cc:cd:4b:28:cf:90:cf:07:ea:0f:69:24:f3:1b:b7:
d5:3d:44:cf:bc:01:a3:ae:d7:0e:ea:0d:9d:7f:51:
ef:43:65:02:6f:c7:e1:9c:ce:c9:29:7f:99:f5:16:
1c:c0:16:31:d5:26:89:29:0b:77:ab:4d:5f:c7:bd:
b9:ab:a0:cb:df:55:9e:f3:eb:7c:89:a2:cd:5c:8a:
e2:03
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Basic Constraints:
CA:FALSE
X509v3 Key Usage:
Digital Signature, Key Encipherment
X509v3 CRL Distribution Points:
URI:http://SVRSecure-G2-crl.verisign.com/SVRSecureG2.crl

X509v3 Certificate Policies:
Policy: 2.16.840.1.113733.1.7.23.3
CPS: https://www.verisign.ch/rpa

X509v3 Extended Key Usage:
TLS Web Server Authentication, TLS Web Client Authentication
X509v3 Authority Key Identifier:
keyid:A5:EF:0B:11:CE:C0:41:03:A3:4A:65:90:48:B2:1C:E0:57:2D:7D:47

Authority Information Access:
OCSP - URI:http://ocsp.verisign.com
CA Issuers - URI:http://SVRSecure-G2-aia.verisign.com/SVRSecureG2.cer

1.3.6.1.5.5.7.1.12:
0`.^.\0Z0X0V..image/gif0!0.0... ......Kk.(.....R8.).K..!..0&.$http://logo.verisign.com/vslogo1.gif
Signature Algorithm: sha1WithRSAEncryption
ac:a4:04:4e:9c:64:63:d8:78:52:97:bf:e8:ba:22:a0:54:a5:
a2:62:87:87:2c:81:02:bb:3e:a8:6b:7d:82:c6:2d:be:46:a9:
d6:71:43:fd:73:b7:50:f5:92:d3:44:1f:34:1b:d2:a0:34:8f:
b9:d7:b1:d4:b3:4d:40:01:09:03:d9:52:1a:3c:d9:bf:7f:ab:
85:20:08:83:26:50:30:84:55:17:17:aa:04:14:59:05:61:8b:
28:3f:55:49:c4:7a:3d:4c:14:da:0c:f4:ed:6a:66:36:6f:26:
26:68:04:6a:c3:b5:81:d1:5d:df:3e:96:13:f1:44:a4:5b:15:
80:75:1f:f9:8b:36:41:b1:21:b7:2a:53:5b:df:db:66:7d:fb:
2b:aa:8e:23:15:37:51:4e:46:80:b3:f1:b3:32:c7:8d:57:70:
2c:ab:bf:cc:1f:92:7f:a5:09:d4:f9:a0:8a:8f:c3:71:e4:64:
30:25:89:4a:ea:15:7b:e1:4a:f6:eb:19:e8:17:e7:3a:c1:b1:
f5:9e:f9:30:a5:ba:c1:be:78:87:5c:b3:0e:1a:bc:b0:35:ee:
af:0a:36:1a:69:a1:a8:8b:1b:53:ca:ef:02:01:40:55:04:e8:
aa:20:e0:29:61:b2:c1:5f:48:29:4d:44:82:fe:43:a4:53:8e:
b1:9a:2a:72

Mene Operalla ilman Javascriptiä niin yhteys pysyy salattuna.
Javascriptin kanssa on yhteys ensin salattu, mutta sitten pomppaa salaamattomaksi.

The connection to www.saastopankki.fi is not secure, and should not be used to
exchange sensitive information.
The following problems were found:
The server does not support secure TLS renegotiation. The site owner should upgrade the server.

Tuo sama ilmoitus tulee minullakin. Jos ette ymmärrä sitä mitä se tarkoittaa, niin pyytäkää käännösapua. Ihan sama mitä värejä tai lukkoja näkyvissä.

Muiden pankkien sivut selvisivät testistä puhtain paperein.

Mulle tuli toi pankkitroijalainen, lapussa lukee että laita tunnukset ja salasanat ja lähetä OK napilla, menee suoraan Liettuan OP pankin sivuille ja sieltä voi sitten siirtää rahansa pois. Menee viikko ennenkuin näkyy omalla tilillä, mutta turvassa kuulemma ovat. Hyvä kun antavat ohjeita ettei rahat katoa muihin maihin.

Uusi Firefox näyttää lukon kuvan kun klikkaa sitä vaaleansinistä säästöpankki-ikonia osoiterivillä, kun osoite on https (todentaja verisign, myös varmenteen voi katsoa, tolla sivustoa hallinnoi.. ei ole merkitystä.). Näin ollen, asia on kunnossa.
Firefox10 ei näytä enää sitä pysyvää tilariviä, missä tuo lukonkuva oli ennen.

Huolestua kannattaa, jos osoite ei ole https tai tulee popup että varmentajaa (todentajaa) ei ole (pankkien https-sivut tulee olla todennettuja) tai sivusto on muuttunut erilaiseksi.

Muilla sivuilla voidaan https-salausta käyttää epävirallisella todentajalla, eli niissä ei käytetä virallisesti hyväksyttyä selaimen valmiiksi tuntemaa varmentajaa (kuten Verisign), vaan sivuston tekijän omaa varmentajaa (CA) kun ei haluta maksaa siitä "virallisesta varmennuksesta",. Tällöin tulee varoitus-popup, mikä pyytää hyväksyntää, jatketaanko yhteyttä (ainakin ensimmäisellä kerralla). Näitä voi olla esim. oppilaitosten sivut tai i-palveluntarjoajien sivut, https-salaus toimii kyllä niilläkin ihan oikein, mutta vain epävirallisella varmentajalla (todentajalla). Mutta pankkien kanssa tällaisiia varoitus-popueja ei saa tulla.

Viirus tutka ilmoitti meitsillä muutaman muun viruksen lisäksi jonkun zeustroyn jota ei saa poistettua. Eipä huolta huomisesta kaikki pankkisivut antavat lukon kuvia ja ms. ilooseja värejä. Tilillä ei koskaan satasta enempää rahaakaan. En tiedä mikä tuollainen örkki on mutta en rupee sen takia turhaa revitteleen kun en ole mitään haittaa huomannu. Jos joku tietää paremmin niin kertokoon.

Apua mummolle pankkiasiaan, aikaisempi kone hajosi ja nyt on uusi (vanha). Pöytäkone HP ja Windows XP.
Ongelmana on Sampo-pankkiin meno. Ruutuun tulee joka kerran oheinen kuva (kuvassa alla yritys live-kuvaan Saaristomerellä, ei pankki). Tässä ei auta kuin vastata "no", muuten jumittuu siihen. Lukko on auki. Mitä pitää tehdä, että tulisi kuntoon.
Vääntäkää rautalangasta vastaus, kiitos :-), että saisin sen korjattua.

Ei näy lukon kuvia enään nykyään Firfoxissa. Missä nordean sivulla näkyy lukon kuva? http://aijaa.com/004949539089
Ubuntulla napsin kk:t niin ei ainakaan pankkitroijalaisista ole tietoakaan. FF11.

Näkyykö uudessa Firefoxissa sitten osoiterivillä mitään?
http://www.dria.org/wordpress/archives/2008/05/06/635/

Se FF tilarivin lukonkuva oli vain salatun https-yhteyden merkki mistä sai näkyviin pankin lähettämän https-varmenteen, saman mikä NYT siis näkyy klikkaamalla osoiterivin ikonia (FF lienee poistanut pysyvän tilarivin vain saadakseen näin lisärivin itse sivun näyttämiseen). Ja näkyyhän siinä lukko nytkin siellä yhteys salattu tekstin vieressä.

Pääasia on, että yhteys on https ja varmenne on saatu ja todentaja/tiedot näkyy/on katsottavissa. Jos klikkaat itse varmennetta (lisätietoja), näet siitä, että se on myönnetty pankille ja mikä on se osoite mille se on myönnetty (tämä vastaa osoitetta osoiterivillä). Kun otat https-yhteyden tähän osoitteeseen (pankkiin), pankin palvelin lähettää sinulle tämän varmenteen; todentaja on allekirjoittanut sen ja selaimesi voi tarkistaa että se on aito (liittyy pankin osoitteeseen, selaimessa on todentajan julkinen avain, millä tarkistus tehdään). Varmenteessa on pankin julkinen avain, selain voi lähettää sillä salatun viestin mikä voidaan avata vain pankin vastaavalla salaisella avaimella (ja päinvastoin). Näin saadaan yhteys ja varsinainen sessiossa käytettävä salausavain asetettua salattuna. Kaikkien osoitteiden, avainten ja tarkistusten täytyy matchata. Siinä vaiheessa kun tunnuksia pyydetään, sessio menee jo salattuna sessiokohtaisella salausavaimella.

Eli kun pankin osoite on oikea, https käytössä ja todentaja mikä pitää, ja sivu näyttää normaalilta, kaikki on yleensä ok. En itse katso enää lisätietoja-arvoja.

Selain ja käyttöjärjestelmä on kuitenkin syytä pitää päivitettynä, ja virusturva.

CERT.FI linkistä voi käydä testaamassa onko koneella dns changer, haittaohjelma, joka ohjaa koneen jonnekin muualle,,, jos koneella on kyseinen haittaohjelma, sen selaimen yhteyden muodostus estyy 7,3,2012. Eli tämän jälkeen koneella ei pääse nettiin. Jokaisella verkkopankilla on täydelliset ohjeet haittaohjelmien varalta. sekä neuvot tilanteeseen. sekä tietoa eri selainten kayttäytymisestä. jos et saa konettasi toimimaan tai epäilet sen luotettavuutta, käy tarkistuttamassa se, monella pikkupaikkakunnalla se onnistuu pankissakin... vielä.