Új hozzászólás Aktív témák

• #2209 bolbatiku tag Penge_4 #2200

  Új Válasz 2013-05-22 17:18:18 #2209

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  Privát üzenet küldése

  

  bolbatiku

  tag

  válasz Penge_4 #2200 üzenetére

  Bármennyire is biztonságos egy etárca, mindenképpen ad legalább egy új támadási lehetőséget ami a webes felületből adódik.

  Mivel böngészőn keresztül jelentkezel be, a gyengeségeit kihasználva (pl XSS) megszerezhetik a szessönöd, azaz ha az egyik lapon be vagy jelentkezve az e-tárcádba a másikban meg rákattintasz egy linkre amit direkt erre a célra gyártottak, akkor a támadó át tudja venni az irányítást az etárcád felett.
  (példa)

  És ott vannak a klasszikus MitM-ek, a támadó mondjuk https helyett kódolatlan http kapcsolatra bírja rá a böngésződet (ssl strip), vagy lemásolja az etárca weblapját és odacsal (phishing), vagy oda irányít az eredeti weblap helyett és vannak még lehetőségek. Nagyrészük elkerülhető 2FA-val
  (2 factor authentication, pl telefonra kapsz egy kódot sms-ben és csak ennek ismeretében lehet pénzt mozgatni, viszont ezt is meg lehet kerülni mert API-nál nincs 2FA volt is erre példa már pont a blockchain.infónál)

  Meg az alias-okkal is volt probléma a blockchainnél, ha a támadó ismerte az aliast, akkor offline bruteforceolni tudta a jelszót.
  http://www.reddit.com/r/Bitcoin/comments/1d0155/a_brief_analysis_of_the_security_of/

  (egyébként az etárcák közül szerintem is a blockhain.info a legjobb/legbiztonságosabb)

Új hozzászólás Aktív témák