[Digitum]

Hej.

Jag har nyss uppdaterat Google Chrome till version 40.0.2214.94 m.
När jag går till SEBs hemsida (www.seb.se) och väljer logga in privat, så visas en gul triangel vid hänglåset och ett meddelanden om att det inte finns offentliga granskningsposter visas:

På Internet Explorer version 11.0.9600.17501/11.0.15 så visas inte det gröna fältet som brukar visas.

Jag tog fram den bärbara datorn och tittade, och där såg det bra ut, men så uppdaterade jag Google Chrome på den (till den senaste) och då visas felet på både GC och i IE.

Nån som har någon idé? Är det fortfarande säkert att logga in, tror ni?
Jag har kört en scanning med Norton Security och inte funnit några fel.

[BarateaU]

Du kan ju alltid utnyttja timeouten på koden om du är parranoid. Jag menar att du inte utför signeringar oftare en var 60/90e sekund. Då nyckeln enbart har en kort giltighetstid, så även om du är avlyssnad så kan de inte lyckas utföra signering av betalning samt logga in på banken. Var kanske en tokig tanke.

Denna då, ponera att någon lagt dns /proxy ändring på maskinen/internetanslutning och gjort replica dummy frames från banken för att då presentera challange response koden och ha formulär där fulhackaren sitter och väntar på koden, har han då runt 1min att använda koden. Då måste han först ha egen session mot bank för att få koden xxxx xxxx som han sen ska visa i din bogus frame som du sedan matar in i digipaasen och ger till han. Men om du vill skicka pengar utanför ditt konto så krävs signering med rätt summa pengar i digipassen, ska du betala en räkning på 350kr så vore de märkligt om challange responsen vill att du matar in för 30tusen.

Kan väll säga du är rätt säker så länge du har åtanke på signeringsumman.

[Digitum]

Jag lutar åt att det är något knasigt med senaste uppdateringarna. Jag har nu stött på flera webbplatser som uppvisar samma fenomen, inklusive en av mina servrar.

Frasen "...men det finns inga offentliga granskningsposter", har det kanske något med saken att göra? Eller det med att "på den här webbplatsen används föråldrade säkerhetsinställningar..."?
Brorsan gick in på SEB från sitt jobb, som garanterat inte har något gemensamt med mina datorer, och fick samma fel med senaste Google Chrome.

[Anders Larsson]

En trolig orsak är att de använder föråldrade och osäkra krypteringsmetoder. Dels är deras certifikat signerat med SHA1, de använder RC4 och SSLv3 som är öppet för attacker.

Google har startat ett krig mot dåliga implementeringar av cert, vi kommer att se mycket av detta framöver. De har tidigare sagt att de ska börja varna för certifikat med svag signering som är giltiga längre än 2015, de verkar sätta igång med detta nu!

[patrikweb]

Jag skulle inte vara rädd för certifikat varningar med banker som använder olika form av digipass.

Ingen risk så då, värre men många utlandsbanker där man använder password fortfarande eller faxa över överföringar

[nosnaj]

Citat:

Ursprungligen postat av Anders Larsson

En trolig orsak är att de använder föråldrade och osäkra krypteringsmetoder. Dels är deras certifikat signerat med SHA1, de använder RC4 och SSLv3 som är öppet för attacker.

Google har startat ett krig mot dåliga implementeringar av cert, vi kommer att se mycket av detta framöver. De har tidigare sagt att de ska börja varna för certifikat med svag signering som är giltiga längre än 2015, de verkar sätta igång med detta nu!

Det blir än värre att inte fixa sitt certifikat i Chrome 41 :-)
http://blog.chromium.org/2014/09/gra...ing-sha-1.html

Jag har själv en sida där jag måste uppdatera certifikatet för att jag kör SHA1, men den är ju inte lika stor eller säker som en bank bör vara...

[Digitum]

Lite uppföljning av detta.

Det visade sig att det var SEB som hade ett certifikat som inte längre mötte Googles krav. Först ville de inte kännas vid det, jag fick till och med tala med en på deras it-avdelning och de menade på att det var min dator, kanske till och med ett virus. Bara några dagar senare så hade man uppdaterat certifikatet så att det blev grönt och fint i adressraden.

Det jag tycker är anmärkningsvärt är att de inte från början tog min anmälan på allvar utan troligen när de själva började uppmärksamma samma sak privat (gissar jag). En stor bank borde ha bättre koll på detta än vad de verkade ha. Man kan hoppas att de uppdaterar sina rutiner.

Nu är de inte ensamma om detta, långt ifrån, men stora starka aktörer borde ha åtgärdat innan det ens dök upp. Jag hade uppdaterat nästan alla mina sajter redan innan efter branschrekommendationer.

[coredev]

Det är tyvärr lite typiskt för hur banker tänker. Gammalt och beprövat är alltför ofta rätt i deras ögon, DES används t.ex. fortfarande till vissa saker... *ryser*