Bankir.Ru
11 декабря, воскресенье 01:31

Объявление

Свернуть
Пока нет объявлений.

Ошибка (недоработка ) в ИБК StepUp.

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Ошибка (недоработка ) в ИБК StepUp.

    Уважаемые, коллеги! Позвольте занять Ваше время ещё одним примером потенциальной слабости HTML-базирующихся ИБК, позволяющей причинить нектороые неприятности самому банку.

    *******************************************
    Незначительная ошибка, сходная с описываемой раннее имеется в демо-версии Банк-клиента продвигаемого StepUp.

    http://www.stepup.ru/

    http://www.ellipsbank.ru/abouttelebanknn.php


    Суть её проста - не фильруются HTML -теги в сохраняемых шаблонах документов, поэтому посторонний пользователь может несанкционированно разместить HTML-код на страничке банка, например для компрометации последнего.

    Простой пример: на страничке, предлагаемой для формирования документа можно разместить извещение:
    "Уважаемые клиенты: из-за финансовых проблем банк временно не может Ваши исполнять платёжные поручения. "
    и разослать ссылку в СМИ. Головная боль банку будет обеспечена.

    Пример ошибки (с нейтральным сообщением, разумеется) находится на демо-версии сайта банка "Элипсбанк" по адресам

    http://demo.telebanknn.ru/login.asp?starturl=docnew.asp

    или

    http://demo.telebanknn.ru/loginactio...ptEnabled=true

    **************************************
    Последний раз редактировалось Komlin; 08.02.2003, 17:59.

  • #2
    Чтобы избежать подобного рода компрометаций, мне кажется, надо подписывать HTML страницы, которые являются или могут трактоваться как официальные, а пользователю дать возможность проверить ЭЦП. Это по идее должно относиться ко всем официальным страницам любых институтов.

    Комментарий


    • #3
      А что это изменит?
      При подобных ошибках на любой странице можно написать, что она официальная, а подробно изучать текст запроса в URL пользователь не обязан.
      Вполне достаточно заголовка и проверки сертификата.

      P.S. Кстати к эллипс-банку (в котором вообще нет классического https) ошибка с подписанными страницами не относилась - это особенность именно ПО гута-банка. Необязательно StepUpовская. Могли и свои админы постараться.

      P.P.S. При компроментации банка вообще-то не важно подписанная это страница или нет. Если выскочит сообщение
      "Уважаемые пользователи с XX.XX.XX плажи не производятся в связи с началом процедуры банкротства" скандал может получиться нешуточный.

      Комментарий


      • #4
        С этим не поспоришь :-)). Позиция оправдывающегося заведомо проигрышная.

        Комментарий

        Пользователи, просматривающие эту тему

        Свернуть

        Присутствует 1. Участников: 0, гостей: 1.

        Обработка...
        X