Java vs. ActiveX, tietoturva ...

Mika0800

Java vs. ActiveX, tietoturva ...

Näillä kahdellla ero taitaa olla paljon pienempi kuin moni luuleekaan !

Luin juuri tämän artikkelin:

http://www.digitoday.fi/keskustelut/thread.jspa?threadID=107982&start=20&sourceStart=0

lainaus siellä esitetyistä kommenteista:



"Asia 0:

Digitaalisesti allekirjoittamaton appletti ei voi tehdä oikeastaan mitään muuta, kuin ottaa yhteyttä hostiin/domainiin josta se on ladattu.

Asia 1:

Vain digitaalisesti allekirjoitettu appletti voi kutsua natiivikoodia

Asia 1.1:

Digitaalinen allekirjoitus ei tosin takaa, etteikö sovellus tekisi mitään asiatonta, se takaa vain sovelluksen alkuperän ja sen ettei sovellusta ole ronkittu matkalla.

Asia 2:

Sammon appletti kerää JNI-koodilla joukon tietoa koneesta (ja käyttäjästä, siellä on username mukana), joista lasketaan hash-koodi."



Yhteenvetonsa siis:

Digitaalisesti allekirjoittettu java-appletti selaimessa voi siis tehdä kaikkea sitä, mitä ActiveX -komponenttikin.

Ainoa ero on se, että Java-"hiekkalaatikon" ulkopuolelle pääsyn saamiseksi Java -appletti joutuu ensin lataamaan koneelle JNI -natiivikirjaston (windowsissa xxxx.dll) ja tallentamaan sen paikalliselle kiintolevylle ja käynnistämään sen (mikä allekirjoitetulta Java-appletilta onnistuu käyttäjältä mitään kyselemättä).

Sampo-pankin verkkopankin javasovellus siis urkkii käyttäjän koneen kokoonpanotietoja sekä käyttäjänimen.

Pasiradiossa mainittiin myös Nordea, tosin minulle jäi epäselväksi, miten (jos yleensä mitenkään) Nordea liittyy asiaan.

Onko tästä Java -hullutuksesta tulossa muidenkin pankkien asiakkaiden riesa ?

6

1101

Äänestä

    Vastaukset

    Anonyymi (Kirjaudu / Rekisteröidy)
    5000
    • d23

      Ja on syytä muistaa että IE:n asetuksista pystyy säätämään niin, että vain allekirjoitettu ActiveX suoritetaan.

      Onhan tuo Sammon käyttämä juttu kökkö, ensinmäistä kertaa kun laskuja maksoin niin joutu siinä hetken hämmästelee että todellakin Java-appletin popuppiin salasana syötetään, tuon ulkoasu poikkeaa Sammon yleisilmeestä kovasti. Periaatteessahan koneelle haittaohjelma joka tekee oman Java popuppinsa kun käyttäjä on yhteydessä Sampoon ja sitten kyselee tarvittavia tietoja. Mistäs käyttäjä erottaa onko popuppi oikea vaiko väärä.

      Sekä nykyiselläänhän tuo tietoturva on huonompi, ennen laskut hyväksyttiin kortilla olevalla kertakäyttöisellä tunnusluvulla, nyt samalla nelimerkkisellä salasanalla jota käytetään pankkiin kirjaantumiseen.

      Sekä tuo Appletti tekee koneelle mitään kysymättä e-Safekey hakemiston, tästä en ainakaan itse huomaa vieläkään tietoa Sammon sivuilla eikä hakukaan sitä kerro. Varmaan moni on ihmetellyt mikä troijalainen koneelle on tullut.


      Allekirjoitettu Java Appletti kysyy lupaa suorittaa JNI koodia ja jos käyttäjä klikkaa luota aina allekirjoittajaan x. Sitten joskus joku huomaa että tuossa appletissa onkin aukko jota voi hyödyntää. Vaikka Sampo/Danskebank korjaisi heti tuon aukon, niin vanhan appletin voi sijoittaa kuka tahansa omille kotisivuille ja käyttää tuota aukkoa hyödykseen, koska appletti on yhä allekirjoitettu.

      • John Carter

        "Sekä tuo Appletti tekee koneelle mitään kysymättä e-Safekey hakemiston, tästä en ainakaan itse huomaa vieläkään tietoa Sammon sivuilla eikä hakukaan sitä kerro. Varmaan moni on ihmetellyt mikä troijalainen koneelle on tullut."

        Tätä voi kokeilla vaikka ei ole sampopankin asiakas, naputtaa vain jotain tuohon kirjautumiskohtaan:
        https://verkkopankki.sampopankki.fi/

        Höpsistäheijaa ja koneella on e-Safekey-hakemisto global.dat-tiedosto.

      • minulla
        John Carter kirjoitti:

        "Sekä tuo Appletti tekee koneelle mitään kysymättä e-Safekey hakemiston, tästä en ainakaan itse huomaa vieläkään tietoa Sammon sivuilla eikä hakukaan sitä kerro. Varmaan moni on ihmetellyt mikä troijalainen koneelle on tullut."

        Tätä voi kokeilla vaikka ei ole sampopankin asiakas, naputtaa vain jotain tuohon kirjautumiskohtaan:
        https://verkkopankki.sampopankki.fi/

        Höpsistäheijaa ja koneella on e-Safekey-hakemisto global.dat-tiedosto.

        >...ja koneella on e-Safekey-hakemisto global.dat-tiedosto.

        Kokeilin piruuttani mutta mitään hakemistoja tai tiedostoja ei ilmesty.

        Ympäristönä Mandriva 2007 ja Opera 9.5

        Jos tuollaista tosiaan tapahtuu Windowsilla niin itse kyllä tekisin rikosilmoituksen. Joku raja pitää olla tunkeilullakin.

      • JAVA Opiskelija

        Taitaa olla oikea älynväläys sillä javan jsp ja servletti on aika lailla php:n vastine javalta. Kuka helvetti laittoi apletin Sampopankin palvelulle.

        DANSKE PANKIN SEKOILUJA EI SIIS KEKSIS TYHMEMPÄÄ IDEAA ITSEKKÄÄN.

        APletti on aivan erijuttu kuin php:n muistuttava servletti ja jsp tekniikka joka on vaikeampi toteuttaa. Mutta suppeampi mahdollisuus tehä yhtä laajoja kun phpllä. Tuolla oisi vielä voinut pankkia hoittaa mutta että apleteilla

    • Että näin

      Dna-prepaisilla en ole saanut puheluita läpi kahteen tuntiin minnekään. Kaksi tuntia sitten huomasin asian avatessani ja yrittäessäni soittaa kännykällä. Ylsi tekstiviesti tuli kuitenkin läpi.

      Ei kuulu tähän keskusteluketjuun mutta annanpa tiedoksi.

    Ketjusta on poistettu 0 sääntöjenvastaista viestiä.

    Takaisin ylös

    Luetuimmat keskustelut

    1. Ja taas ammuttu kokkolassa

      Kokkolaisilta pitäisi kerätä pois kaikki ampumaset, keittiöveitset ja kaikki mikä vähänkään paukku ja on terävä.
      Kokkola
      30
      3561

    2. Kukka ampu taas Kokkolassa?

      T. olisi hetkeä aiemmin lähtenyt johonkin. Naapuri kai tekijä J.K., ei paljasjalkainen Kokkolalainen, vaan n. 100km pääs
      Kokkola
      9
      1608

    3. Kuinka kauan

      Olet ollut kaivattuusi ihastunut/rakastunut? Tajusitko tunteesi heti, vai syventyivätkö ne hitaasti?
      Ikävä
      113
      1483

    4. Milli-helenalla ongelmia

      Suomen virkavallan kanssa. Eipä ole ihme kun on etsintäkuullutettu jenkkilässäkin. Vähiin käy oleskelupaikat virottarell
      Kotimaiset julkkisjuorut
      224
      1290

    5. Helena Koivu on äiti

      Mitä hyötyä on Mikko Koivulla kohdella LASTENSA äitiä huonosti . Vie lapset tutuista ympyröistä pois . Lasten kodista.
      Kotimaiset julkkisjuorut
      133
      906

    6. Kun näen sinut

      tulen iloiseksi. Tuskin uskallan katsoa sinua, herätät minussa niin paljon tunteita. En tunne sinua hyvin, mutta jotain
      Ikävä
      34
      903

    7. Purra saksii taas. Hän on mielipuuhassaan.

      Nyt hän leikkaa hyvinvointialueiltamme kymmeniä miljoonia. Sotea romutetaan tylysti. Terveydenhoitoamme kurjistetaan. ht
      Maailman menoa
      242
      893

    8. Yhdelle miehelle

      Mä kaipaan sua niin paljon. Miksi sä oot tommonen pösilö?
      Ikävä
      60
      879

    9. Ja taas kerran hallinto-oikeus että pieleen meni

      Hallinto-oikeus kumosi kunnanhallituksen päätöksen vuokratalojen pääomituksesta. https://sysmad10.oncloudos.com/cgi/DREQ
      Sysmä
      66
      864

    10. Löydänköhän koskaan

      Sunlaista herkkää tunteellista joka jumaloi mua. Tuskin. Siksi harmittaa että asiat meni näin 🥲
      Ikävä
      98
      829
    Aihe

    Liity mukaan keskusteluihin

    Meidän mielestämme keskustelu kuuluu kaikille. Jos haluat apua ongelmaasi, jakaa ajatuksiasi tai kysyä mielipiteitä, aloita keskustelu! Anonyymisti tottakai.

    TietosuojaselosteKäyttöehdotEvästeasetuksetSäännöt