tässä oli viimonen niitti.. kertosvat ees miksi näin tekevät...
http://www.digitoday.fi/tietoturva/2008/03/26/Sampo pankilla on tosi utelias java-sovellus/20088591/66
nimim. ISO-EI-TANSKAN-PANKILLE
nyt vaihtu pankki
2
293
Vastaukset
- kuinka "mäkki ja linux...
ylivertaisuuden alttarille kumartavat ja niiden tietoturva riskit kokonaan kiistävät suhtautuvat tähän.
- ja paha
Vaikken kiistäkään tietoturvariskejä, vastaan silti.
Monet Linux-käyttäjät ja ehkäpä jotkut Mac-käyttäjätkin ovat tavallista Windows-käyttäjää tarkempia sen suhteen, mitä ohjelmakoodia he suostuvat suorittamaan omalla koneellaan. Avoimen lähdekoodin kanssa on mahdollista olla tarkka. Silloin ei tarvitse luottaa pelkästään ohjelman toimittajan sanaan ohjelman toiminnasta, vaan ohjelmaa on erittäin todennäköisesti katselmoinut moni puolueetonkin ohjelmoija. Halutessaan ohjelmaan voi perehtyä itsekin.
Sampo-pankin ratkaisu on erittäin ilkeästi näiden henkilöiden ideologian vastainen. Järkevästi toteutetut verkkopankit eivät työnnä käyttäjien koneille ajettavaa ohjelmakoodia lainkaan, tai korkeintaan vähän Java-skriptiä viilaamaan selainkäyttöliittymän kulmia. Sammon ratkaisu sen sijaan pakottaa vastaanottamaan Java-sovelluksen, joka ei ole "tavallinen" verkosta ladattava Java-ohjelma, vaan jotain pahempaa.
"Tavallinen" verkosta ladattava Java-sovellus toimisi kokonaisuudessaan Java-virtuaalikoneen sisällä. Vaikka Java-virtuaalikoneestakin löytyy vähän väliä tietoturva-aukkoja, sen sisällä toimiva ohjelma on edes jonkinlaisessa hiekkalaatikossa. Parhaimmillaan siellä suoritettava ohjelma ei pääse käyttäjän tiedostoihin tai laitteistoon. Todellista tarvetta sellaiseen ei pitäisi Sammonkaan tapauksessa olla.
Sampo-pankin Java-ohjelma sisältää kuitenkin kolme DLL-tiedostoa: yksi Windowsiin, yksi Linuxiin ja yksi Maciin. Nämä ovat binäärejä, joiden toimintaa on erittäin vaikea selvittää ajamatta niitä, ja joita ajetaan oikeassa käyttöjärjestelmässä, kokonaan Java-virtuaalikoneen ulkopuolella. Lisäksi Java-virtuaalikone vaatii sellaiset oikeudet, että pankin lähettämä Java-sovelluskin voi tehdä käyttäjän koneessa melkein mitä vain. Tämä on sama asia kuin suoraan EXE-tiedoston tarjoaminen verkkopankkisovellukseksi, paitsi että Java vain tekee siitä hitaamman ja rumemman.
Vakaumuksestaan kiinni pitävä Linux-käyttäjä on jo tässä vaiheessa vaihtanut pankkia --- riippumatta siitä, mitä Sammon Java-ohjelma ja DLL oikeasti tekevät.
Käyttäjät voivat vaikuttaa tietoturvariskeihin paljon. Tässäkin tapauksessa selviää ilman minkäänlaista tietoturvariskiä, jos ei anna lupaa Java-ohjelman käynnistämiseen.
Ketjusta on poistettu 0 sääntöjenvastaista viestiä.
Luetuimmat keskustelut
Näin Enter-napilla tehdään miljardi euroa - Helsingissä
"Ei se nyt niin kovin ihmeelliseltä näytä. Tavallinen nappi, musta muovinpala, joka kököttää parikymppiä maksavan mustan2018844- 695805
- 245377
Perussuomalaiset kirjoittaa vain positiivisista uutisista
Ei tarvitse palstaa paljon seurata, kun sen huomaa. Joka ainoa positiivinen uutinen Suomen taloudesta tai ylipäätään, ni415271Jätä minut rauhaan
En pidä sinusta. Lopeta seuraaminen. Älä tulkitse keskustelutaitoa tai ystävällisyyttä miksikään sellaiseksi mitä ne eiv385114Ben Z: "SDP ei ole ollut 50 vuoteen näin huolissaan velasta"
"– Olen ollut eduskunnassa noin 50 vuotta, eikä SDP ole koskaan ollut niin huolissaan velasta kuin nyt. Se on tietysti h835020- 624533
- 434207
Mitä luulet, miten Martina Aitolehti pärjää Erikoisjoukoissa?
Kohujulkkis, yrittäjä ja hyvinvointivalmentaja Martina Aitolehti on mukana Erikoisjoukot-realityssä. Erikoisjoukot on543515- 493185