ithome http://www.ithome.com.tw/itadm/article.php?c=43589
承上
略...
================================================
一位不願具名的資安專家分析,這個設計瑕疵的風險並不高,主要是帳戶資料潛在外洩的風險,對於交易安全的直接影響極低。因為中信銀以電信系統發送簡訊OTP ,既採用不同的平臺發送密碼,又採取第二道動態密碼驗證,要被盜取或轉走帳戶內的金錢,機率相當低。他指出,雖然不少網站都有未隱藏Session ID的問題,但對於安全性要求較高的銀行業者,他認為:「隱藏Session ID是保障使用者資訊安全的第一步。」
另一位不願具名的資安專家表示,中信銀應該要做到同時只能由一臺電腦請求Session ID,不能讓不同的電腦都可請求同一Session ID,甚至更嚴謹一點,要做到即便是同一臺電腦,不同的Session也不能互看。他指出,在動態密碼的把關下,有心人士無法單獨利用這個設計瑕疵來盜走帳戶金錢,但是,不能排除詐騙人士藉由竊取帳戶資訊,佐以詐騙手法取信於受害者,進而騙取其他密碼。他表示,即使此設計瑕疵的受駭機率不高,但呼籲中信銀及網銀使用者要審慎以對、及早修正。
================================================
靠~~~~
第一個專家
Session 根本是web server跟browser自己做掉,
一般而言這東西本來就是隱藏的,因為user看不到
技術而言,除非你去動資料流的編碼或是對於session機制下手腳
不然sessionID都是明碼傳送,要怎麼隱藏
隨便找1000個site沒一個有做的,凡是重要的site,一定有其它的權控設計
問題不在於做不做,而是不需要
第二個專家,更天才
這機制根本是內建好的
小學生寫的網頁都會具備你講的功能
還需要你來說嘴?
中信的問題是做太多,而不是沒有做
講這種屁話,難怪不願具名
沒有留言:
張貼留言