Tein viranomaiselle hakemusta, johon liittyi maksusuoritus.
Tunnistauduin pankkitunnuksilla ja täytin hakemuksen. Maksun aika tuli ja viranomaissivusto siirsi minut verkkokaupan tapaisesti/tavoin maksunvälittäjän sivulle.
FF selaimena ja NoScript lisäosa keskeytti jatkamisen ilmoittamalla heti maksunvälittäjän sivulle siirryttäessä, että välissä on XSS Cross site scripting -haavoittuvuus
https://fi.wikipedia.org/wiki/Cross_site_scripting
Maksunvälityksenä mahdolliset olivat pankkimaksu tai luottokorttimaksu.
En päässyt etenemään hakemuksessa ellen hyväksynyt XSS:ää.
Miten todennäköisenä/mahdollisena pidätte sitä, että maksunvälittäjän sivun virhe/haavoittuvuus on tehty tarkoituksella, jotta ko. viranomainen pääsee tutkimaan hakijan pankkitilin tapahtumia ( man-in-the-middle? ) tai luottokorttimaksussa myöhemminkin tutkimaan hakijan luottokorttitapahtumia?
Tai
Miten todennäköisenä/mahdollisena pidätte sitä, että maksunvälittäjän sivulle siirron virhe/haavoittuvuus on tehty tarkoituksella, jotta ko. viranomainen pääsee syöttämään omaa koodiaan hakijan koneelle ( joka on laillista nykyään )?
Tai jotain muuta?
Aikaisemmin ainoan kerran olen kohdannut vastaavan XSS-haavoittuvuuden, kun Power-kauppa aloitti Suomessa. Teen verkkokauppaostoksia suht tiheään. Tänä vuonnakin n. 30 eri suomalaisiin kauppoihin ja ehkä 10 eri välittäjän kautta.
En tunne ohjelmointia lainkaan.
XSS-haavoittuvuus
7
102
Vastaukset
- trollerson
Ei pääse tutkimaan pankkitilin tapahtumia, sehän on kiinni pankin järjestelmistä.
Jos pääsee, niin pankin järjestelmissä on paha aukko, eli oikea osoite kritiikille olisi pankki.
Jos maksunvälittäjän systeemissä on aukko, niin ainut tietovuoto riski siinä olisi vain se maksutapahtuma, mitä olet juuri nyt tekemässä.
XSS ongelmat voi kokonaan välttää kun tietää yhden asian:
Käytä aina eri selainta ja mielellään eri konetta pankissa käyntiin. Etkä tee sillä selaimella / koneella mitään muuta, mitään muita välilehtiä ei pidetä auki kun ollaan pankissa ( paitsi nyt tietysti se pakollinen, josta tuli johdetuksi pankkiin) , tms. Siinä eri selaimessa ei pidetä mitään lisäosia asennettuna, koska erilaiset "ad blocker", "no script", virustorjjunta, jne. "avustaja" lisäosat itsessään ovat iso tietoturva / vakoilu riski.
Jos tämän tekee, niin vaikka olisi miten iso XSS reikä sivulla, siitä ei ole mitään hyötyä kenellekkään.
XSS tarkoittaa siis sitä, että olet vaikka pankissa yhdellä välilehdellä ja sinulla on sinne "sessio" auki.
Sitten olet toidella välilehdellä jollakin höpöhöpö sivulla ( tämä toinen sivu on se, missä hyökkääjä sijaitsee ). Tämä toinen höpö sivu, jonka ei pitäisi liittyä pankkiin mitenkään, voi sisältää javascriptiä, mikä lähettää pankin sivulle jonkun pyynnön. Nyt jos pankin sivulla on aukko, se toteuttaa tämän pyynnön, vaikka se ei tullut sinulta, vaan oli toisessa höpö höpö sivu ikkunassa.
Suomessa ainakin OP kyselee tunnuslukuja kesken vierailunkin aina vahvistukseksi, niin rahan menetys tämmöisen aukon takia olisi vähän vaikeampaa, toki kaikki on mahdollisa. Jotakin tilitietoja ehkä voisi mennä. Mutta siis, aukon pitäisi olla pankin järjestelmässä, eli maksunvälittäjän sivulla oleva aukko ei riitä, ja miten luotettava tuo "analyysi" ko. aukosta edes on. On kuitenkin hyvin tunnettu tietoturvaongelma kyseessä, mikä on oikeilla käytännöillä hyvin helposti vältettävissä.
Enempi ihmetyttää, että luotat tuollaisiin "No Script" lisäosiin, mistä et tiedä kuka ne on tehnyt ja kuka niitä ylläpitää. Pankissa kun käyt, jos turvallisuuden haluat maksimoida, sinulla ei pitäisi olla mitään lisäosia päällä ja mielellään tosiaan oma selain pankissa käyntiä varten, vielä parempi, oma kone koko hommaan. Silloin haitalliset sivut taustalla, eivät vaikuta pankkiasiointiin, ja koneen riski saastua laskee, kun sitä käytetään vain rajatulla alueella.
Selain lisäosat on aika iso tietoturvariski, vaikka toki erityisen törkyisillä sivuilla asioitaessa jokin No Script voi olla jollakin tavalla hyödyllinen.
Pankin sivulla sitä ei kuitenkaan tarvita, koska asioit pankin järjestelmässä ja siis luotat heihin joka tapauksessa jo. Silloin tämmöinen lisäosa selaimessa on itse enempi riski kuin suoja. - trollerson
Tämmöinen tietoturvasaarna tällä kertaa. ;)
Tietoturva asioissa näköjään siis pätee vanha periaate; Pessimisti ei pety. Kaikista varminta kun ei luota kehenkään. - Anonyymi
><script>alert("123")</script>
- Anonyymi
Käytät harvinaisen selkeää ja hyvin perusteltua ilmaisua............
- Anonyymi
Jos skriptaus-ohjelmaan on tehty gludge, jolla se on saatu ilmoittamaan ongelmasta - ongelma on luultavasti todellinen. Ainoa tapa välttyä hyökkäykseltä on käyttää selainta, jolta ei ole tehty ainoatakaan sivuhakua aikaisemmin. Tämän lisäksi joutuu kyllä luottamaan pankin ja palveluntarjoajan järjestelmiin - että ne eivät ole saastuneita. Käytännössähän tuo tarkoittaa, että jos olet vieraillut sivulla, joka on asentanut yhteiskäyttöskriptin tarkkailemaan tuota väliä, ei mikään välillä välitetty tieto pysy salassa.
Itse jättäisin em. rahasuoritteen tekemisen suosiolla verkkopankin puolelle eli jos ainoa vaihto maksaa on tuollainen pili-pali palvelu - ei ehkä syytä ole käyttää em. palvelua edes pakon edessä. Mutinaa siitä voi tulla, mutta yleensä rahan ahneus vie voiton ja ongelma kuitenkin saadaan järjestettyä. - Anonyymi
Vahinko, ettei tässä anneta mitään yksityiskohtia mahdolliseen XSS -haavoittuvuuteen.
Ei ole myöskään todisteita siitä, onko edes kyse XSS -haavoittuvuudesta, vai tulkitseeko tuo NoScript -laajennus sinänsä normaalin toiminnan epäillyksi haavoittuvuudeksi.
Periaatteessahan nuo verkkomaksut toimivat näin (huom: valtion tapauksessa asia on mutkallisempi, koska mikään valtion palvelu ei itse suoraan ohjaa verkkopankkiin maksamaan, vaan valtio käyttää omistamaansa suomi.fi -palvelua "välimiehenä" eli valtion muu palvelu ohjaa suomi.fi joka edelleenohjaa pankin sivulle):
1. Kauppiaan järjestelmä on valmis vastaanottamaan verkkopankkimaksun
2. Kauppiaan järjestelmä ohjaa pankin sivulle räätälöidyllä linkillä, joka sisältää tiedot maksettavasta summasta ja muistakin maksun yksityiskohdista, sekä lisäksi tarkistesumman, jonka laskemiseen on käytetty sekä maksutapahtuman tietoja että kauppiaan ja pankin "jaettua salaisuutta", jota asiakas ei tiedä.
Koska tuota "jaettua salaisuutta" ei milloinkaan siirretä tietoliikenneyhteyttä pitkin (ei edes salattuna), ei asiakas voi vakoilemalla saada siitä kopiota itselleen.
3. Pankin järjestelmä kysyy asiakastunnuksen, kiinteän salasanan ja vaihtuvan salasanan avainlukukortilta, ja nykyaikaan vielä tekstiviestillä lähetetyn vahvistuskoodin
4. Jos kaikki kohdan 3 tiedot olivat oikein, pankki maksaa asiakkaansa tililtä ko. maksusuorituksen, ja genereroi vastausdatapaketin, jonka mukana tarkistussumma, jonka laskennassa käytettiintapahtuman tietoja sekä pankin ja kauppiaan välistä jaettua salaisuutta.
5. Asiakkaan selain saa tuon vastausdatapaketin, ja välittää sen edelleen myyjän tietojärjestelmään
6. myyjän tietojärjestelmä tarkistaa vastausdatapaketin sisällöstä, että oikea maksun suuruus, oikealle tilille ja oikealla viitenumerolla on maksettu, ja laskee myös tuon vastausdatapaketin tarkisteen JA varmistaa, että se on sama kuin asiakkaan selaimelta saatu. JOS se täsmää, myyjä voi luottaa siihen, että maksu on todella maksettu.
6b. JOS tarkiste ei täsmää, kyse on joko hyvin harvinaisesta tietoliikennevirheestä ( 1/65536 -OSA KAIKISTA tietoliikennevirheistä johtaa tähän tilanteeseen) tai siitä, että kyseessä on väärinkäyttöyritys, jossa joku yrittää vain teeskennellä maksaneensa.
Koska tuossa tietoa siirrellään edestakaisin pankin, myyjän tietojärjestelmän ja asiakkaan selaimen välillä, on hyvinkin mahdollista, että NoScript virheellisesti tunnistaa tämän sinänsä aivan asiallisen tiedonsiirron mukamas haavoittuvuudeksi.- Anonyymi
NoScriptin asetuksissa on Advanced-välilehdellä asetus "Sanitize cross-site suspicious requests", joka on oletuksena päällä.
Ketjusta on poistettu 0 sääntöjenvastaista viestiä.
Luetuimmat keskustelut
Nurmossa kuoli 2 Lasta..
Autokolarissa. Näin kertovat iltapäivälehdet juuri nyt. 22.11. Ja aina ennen Joulua näitä tulee. . .633983Vanhalle ukon rähjälle
Satutit mua niin paljon kun erottiin. Oletko todella niin itsekäs että kuvittelet että huolisin sut kaiken tapahtuneen493040Maisa on SALAKUVATTU huumepoliisinsa kanssa!
https://www.seiska.fi/vain-seiskassa/ensimmainen-yhteiskuva-maisa-torpan-ja-poliisikullan-lahiorakkaus-roihuaa/15256631312981Mikko Koivu yrittää pestä mustan valkoiseksi
Ilmeisesti huomannut, että Helenan tukijoukot kasvaa kasvamistaan. Riistakamera paljasti hiljattain kylmän totuuden Mi3882064Ensitreffit Hai rehellisenä - Tämä intiimiyden muoto puuttui suhteesta Annan kanssa: "Meillä ei..."
Hai ja Anna eivät jatkaneet avioliittoaan Ensitreffit-sarjassa. Olisiko mielestäsi tällä parilla ollut mahdollisuus aito111173Purra hermostui A-studiossa
Purra huusi ja tärisi A-studiossa 21.11.-24. Ei kykene asialliseen keskusteluun.2101166- 731162
Joel Harkimo seuraa Martina Aitolehden jalanjälkiä!
Oho, aikamoinen yllätys, että Joel Jolle Harkimo on lähtenyt Iholla-ohjelmaan. Tässähän hän seuraa mm. Martina Aitolehde29994- 58972
Miksi pankkitunnuksilla kaikkialle
Miksi rahaliikenteen palveluiden tunnukset vaaditaan miltei kaikkeen yleiseen asiointiin Suomessa? Kenen etu on se, että110954