Bank.Дыбр

[dzz]

Сегодня несколько часов лежал интернет-банкинг Райффайзена: и мобильное приложение, и web-клиент. Причём, судя по некоторой информации, не только в России. При этом оплата картами и операции в банкоматах проходили без проблем.

Причин банк не раскрывает, но, судя по всему, наблюдался отказ сервиса авторизации: именно на запрос с логином-паролем сервер вовзращал "502 bad gateway". После 17:00 через web-клиент стали пускать, но с сообщениями об ошибке в виджетах, а ещё где-то через час всё заработало штатно.

Попутно выяснил, что пароль в вебморде передаётся хоть и по HTTPS, но открытым текстом:



Честно говоря, ожидал чего-то вроде md5-хэша, но вот так у них секьюрненько. Man-in-the-middlе, конечно, не сработает, но если в отладчике браузера посмотреть историю запросов... :)

Comments

[dzz.livejournal.com]

Тут дело не в недоверии https, а в гипотетической простоте компроментации клиентской стороны.

Посылают post-запрос, который можно посмотреть в отладчике. F12->Network в firefox-е, в хроме примерно так же. Можно включить persistent logging. Несложно представить сценарий, при котором кто-то в отсутствие хозяина компа включает отладку с сохранением логов, а после сессии связи с банком снимает эти данные.

А вот расчёт md5-хэша от пароля с добавлением переданного банком случайного префикса проходит в недрах JS-машины и в переменных отладчика не сохраняется. Сам JS-код для сессии приезжает из банка и тоже, в общем, незаметно не подменяется.

Я в своих проектах авторизацию по паролю делаю как раз в таком стиле.

[cat_mucius]

Понял, спасибо, не думал о таком аксепте.