Bezpieczeństwo w bankowości internetowej

O tak dobrze brzmiącym tytule pojawił się dzisiaj artykuł na stronie prnews. Abstrahując od samej treści raportu o bezpieczeństwie w bankowości internetowej, który na pierwszy rzut mojego śpiącego oka wygląda nawet rzetelnie przypomniałem sobie o swoich ambitnych pomysłach wykonania podobnego porównania bezpieczeństwa, ale trochę w innych warstwach.

Z jednej strony wręcz standardem jest potwierdzanie większości transakcji jednorazowym kodem (bez względu jak został on wygenerowany, dostarczony i jak jest powiązany z parametrami transakcji), ale moim zdaniem w dzisiejszych czasach ważna jest sama informacja, że ktoś posiada takie, a nie inne saldo, lokaty, akcje. Spłaca kochanki czy wydaje dużo pieniędzy na drogie hotele w centrum dużego miasta. Bez instalowania trojanów, przejmowania (fragmentów) (jednorazowych) haseł dla części e-bankowości można łatwo pozyskać takie informacje w lekko sprzyjających warunkach.

Czy bankowość, z której korzystasz ustawia dla najważniejszych ciasteczek atrybut Secure? Jeżeli nie to pomyśl: z jakiej sieci łączysz się do bankowości? czy to 34-zakładka w Twojej przeglądarce? czy możesz ufać środowisku w jakim pracujesz? czy na pewno po zakończeniu pracy udało się poprawnie wylogować zanim otworzysz dowolny link z Internetu/Intranetu?

To tylko jeden prosty przykład do badań :) Nie wspomnę o braku autocomplete=off dla pola login w formularzu logowania...

A żeby wzniecić zainteresowanie i sprowokować do głebszych przemyśleń to może ktoś zna banki, które aktywnie walczą/walczyły z trojanami próbując np. losować nazwy parametrów, które są przesyłane podczas zlecania np. przelewu - w ten sposób wypadając z szablonów nazw zmiennych, które dany trojan podmienia?