ithome http://www.ithome.com.tw/itadm/article.php?c=43589
承上
略...
================================================
一位不願具名的資安專家分析,這個設計瑕疵的風險並不高,主要是帳戶資料潛在外洩的風險,對於交易安全的直接影響極低。因為中信銀以電信系統發送簡訊OTP ,既採用不同的平臺發送密碼,又採取第二道動態密碼驗證,要被盜取或轉走帳戶內的金錢,機率相當低。他指出,雖然不少網站都有未隱藏Session ID的問題,但對於安全性要求較高的銀行業者,他認為:「隱藏Session ID是保障使用者資訊安全的第一步。」
另一位不願具名的資安專家表示,中信銀應該要做到同時只能由一臺電腦請求Session ID,不能讓不同的電腦都可請求同一Session ID,甚至更嚴謹一點,要做到即便是同一臺電腦,不同的Session也不能互看。他指出,在動態密碼的把關下,有心人士無法單獨利用這個設計瑕疵來盜走帳戶金錢,但是,不能排除詐騙人士藉由竊取帳戶資訊,佐以詐騙手法取信於受害者,進而騙取其他密碼。他表示,即使此設計瑕疵的受駭機率不高,但呼籲中信銀及網銀使用者要審慎以對、及早修正。
================================================
靠~~~~
第一個專家
Session 根本是web server跟browser自己做掉,
一般而言這東西本來就是隱藏的,因為user看不到
技術而言,除非你去動資料流的編碼或是對於session機制下手腳
不然sessionID都是明碼傳送,要怎麼隱藏
隨便找1000個site沒一個有做的,凡是重要的site,一定有其它的權控設計
問題不在於做不做,而是不需要
第二個專家,更天才
這機制根本是內建好的
小學生寫的網頁都會具備你講的功能
還需要你來說嘴?
中信的問題是做太多,而不是沒有做
講這種屁話,難怪不願具名
5/26/2007
中信網銀曝設計瑕疵
ithome http://www.ithome.com.tw/itadm/article.php?c=43589
略...
資安專家指出,這個網路銀行系統設計的瑕疵,是Session ID沒有與使用者的電腦綁定。當網路銀行使用者登入系統後,網路伺服器會產生一個獨特的Session ID(連線ID),用以代表使用者的電腦,在接下來的網頁瀏覽過程中,網路伺服器就能據以辨識使用者,提供相對應的服務。
因為Session ID沒有綁定使用者的電腦,所以中信網銀的使用者登入系統後,在尚未登出或關閉網頁前,將URL傳給其他人,由於該網址已帶有Session ID,因此在其他電腦上亦可同步瀏覽該人的帳戶資訊,如此他人即可跳過系統登入的程序。
略...
====================================================
我只能說如果不是資安專家的水準另人訝異 的低
就是記者的報導居心悱測
講的一付中信某一個基本的功能沒作似的
問題根本是中信作太多
Session 本來就是 browser 與 server 溝通時的自然條件
在不做任何處理的情況下,Session 是自動會存在運作的
中信的Case不在於沒有將SessionID與 browser 綁定(Session本來就在)
而是他們沒有把Session機制納入權控的範圍
又或者說他們這個網站當初就故意設計成Sessionless的
將他認定的 SessionId 放在URL上
以達成儘管 browser 的 Session 功能被關閉,網站仍可運作
結果就是在中信 Server 接受這個 SessionId 的時段內URL貼到別的 browser 網頁就出來
其實這個只要再加一點工,
簡單的作法就是把這組 SessionID 再藏在網頁中當作必要的request變數
這個問題就可以解決
不過這部分就交給可憐的中信工程師處理吧
略...
資安專家指出,這個網路銀行系統設計的瑕疵,是Session ID沒有與使用者的電腦綁定。當網路銀行使用者登入系統後,網路伺服器會產生一個獨特的Session ID(連線ID),用以代表使用者的電腦,在接下來的網頁瀏覽過程中,網路伺服器就能據以辨識使用者,提供相對應的服務。
因為Session ID沒有綁定使用者的電腦,所以中信網銀的使用者登入系統後,在尚未登出或關閉網頁前,將URL傳給其他人,由於該網址已帶有Session ID,因此在其他電腦上亦可同步瀏覽該人的帳戶資訊,如此他人即可跳過系統登入的程序。
略...
====================================================
我只能說如果不是資安專家的水準另人訝異 的低
就是記者的報導居心悱測
講的一付中信某一個基本的功能沒作似的
問題根本是中信作太多
Session 本來就是 browser 與 server 溝通時的自然條件
在不做任何處理的情況下,Session 是自動會存在運作的
中信的Case不在於沒有將SessionID與 browser 綁定(Session本來就在)
而是他們沒有把Session機制納入權控的範圍
又或者說他們這個網站當初就故意設計成Sessionless的
將他認定的 SessionId 放在URL上
以達成儘管 browser 的 Session 功能被關閉,網站仍可運作
結果就是在中信 Server 接受這個 SessionId 的時段內URL貼到別的 browser 網頁就出來
其實這個只要再加一點工,
簡單的作法就是把這組 SessionID 再藏在網頁中當作必要的request變數
這個問題就可以解決
不過這部分就交給可憐的中信工程師處理吧
5/25/2007
男丁格爾
今天剛剛好看到男丁格爾,
於是乎就把網路上討論男丁格爾那篇翻了出來看一下
我的媽呀....看的一下我差點從椅子掉下來
沒想到那篇的內容竟然和我的想法一模一樣,只差幾個細節
O my god.........我被附身了嗎
by the way
梁又琳 正
5/18/2007
六點半
前幾天和朋友聊了一下,我用木耳也聽的出來他濃濃的愁
=========================================
家門口開了家賣車輪餅的,路過的時候我問他有沒有奶油的: 賣光了。嗯,老闆現在才十點耶
那一陣子,每天的deadline就是六點半
時間一到匆忙把東西打包下班
快步循著早上要15min的路程,想再快一點再快一點
在一個紅燈的路口有家車輪餅,很貴,10塊只能買一個
我對車輪餅的印像還停留在10塊可以買4個,3個我要想一下
算了,老闆我要一個奶油的!!
奶油通常很燙,不過我趕著搭捷運
總是儘快在到捷運站前解決掉
聽說邊走邊吃不好,不過,管它的。
這幾年走的太慢,要再快一點快一點
==========================================
和朋友聊的過程中談到一句話,內容就不講了
其實一直都知道,只是沒人願意提
就是因為不想輸給別人,所以有些事非做不可,不管多少代價
==========================================
=========================================
家門口開了家賣車輪餅的,路過的時候我問他有沒有奶油的: 賣光了。嗯,老闆現在才十點耶
那一陣子,每天的deadline就是六點半
時間一到匆忙把東西打包下班
快步循著早上要15min的路程,想再快一點再快一點
在一個紅燈的路口有家車輪餅,很貴,10塊只能買一個
我對車輪餅的印像還停留在10塊可以買4個,3個我要想一下
算了,老闆我要一個奶油的!!
奶油通常很燙,不過我趕著搭捷運
總是儘快在到捷運站前解決掉
聽說邊走邊吃不好,不過,管它的。
這幾年走的太慢,要再快一點快一點
==========================================
和朋友聊的過程中談到一句話,內容就不講了
其實一直都知道,只是沒人願意提
就是因為不想輸給別人,所以有些事非做不可,不管多少代價
==========================================
4/25/2007
Object-oriented programming
一直印像很深刻,大二時選修OOP的課程
課程中林老師提到有關物件設計時談到了椅子
椅子物件應該要有腳,可以坐
其實當時跟本是有聽沒有懂
期末project中,我們設計了兩個物件,再搭配上一個印表物件
當然啦 project出了一點問題,最後fail了
老師在看的時候說,print應該是物件本身的功能,怎麼會搬到外面去勒?
當時是很shock
工作以後,再想想這個例子,原來的設計其實也不無不可
運氣不錯,一般商務系統都要求coding的人都需要照著規範來code
而我的工作是卻規範別人怎麼code
反過來說就是自己愛怎麼寫就怎麼寫
寫多了,對OOP也卡有感覺
其實物件的功能並沒有一定的規範模式,
而是尋求自然
以人而言,有腿有腳能夠走路是自然的
一條小狗而言會叫是自然的
當一個良好設計的物件被使用時
一切就是這麼自然,想到那我來叫兩聲吧,竟然就真的有這個function
反之,如果使用上綁手綁腳的
想使用某一個功能,但卻需要繞一大圈才拿的到,這即是設計不良
然而該怎麼評價一個物件?寫多了到一個水準就有感覺
但不是像很多不知是怎樣,八字沒一撇,嘴巴到學的很快
標籤:
技術人員~無價
訂閱:
文章 (Atom)