Zaba internet bankarstvo dopustilo da im istekne SSL certifikat, budite oprezni!
Jump to skoči na navigaciju Jump to skoči na glavni sadržaj
Web aplikacije

Zaba internet bankarstvo dopustilo da im istekne SSL certifikat, budite oprezni!

Ivan Brezak Brkan 18. 09. 2011.

Zaba.hr

Zagrebačkoj banci danas je istekao SSL certifikat njihove web stranice odnosno internet bankarstva koji garantira da zaista “komunicirate” s njihovom web stranicom, a ne napadačem. Čini se da je SSL certifikat Zagrebačke banke istekao jučer tako da ćemo sad vidjeti koliko će im trebati da svoje internetsko bankarstvo ponovno učine potpuno sigurnim. SSL radi i ako ste sigurni da ste na pravoj stranici nema brige, ali…

SSL certifikati entriptiraju komunikaciju vašeg internetskog preglednika s serverom web stranice, u ovom slučaju ZABA.hr. Time vas štite pri unošenju osjetljivih podataka, primjerice korištenju internetskog bankarstva! Ukoliko internetskom bankarstvu Zagrebačke banke pristupite svojim preglednikom, vidjet ćete da ne prepoznaje SSL certifikat, a Chrome će vas čak upozoriti da nije sigurno! Korisnici će svakako primijetiti.

Hvala Matiji Božićeviću koji je otkrio istek i obavijestio nas putem Twittera! Poslali smo upit Zagrebačkoj banci i upozorenje – iako je nedjelja, nadam se da im neće trebati dugo da obnove SSL certifikat. Najbitnije je da ste, ukoliko ste korisnik Zagrebačke banke, svjesni situacije 🙁

Hvala Igoru Pozgaju i Marčecu na ispravci u članku, kao i našim brojnim komentatorima u nastavku… Što bi mi bez vas? 🙂

Sukladno članku 94. Zakona o elektroničkim medijima, komentiranje članaka na Netokraciji dopušteno je samo korisnicima koji ostave svoje ime i prezime te mail adresu i prihvate pravila ponašanja.

Pravila ponašanja

Na Netokraciji za vas stvaramo kvalitetan, autorski potpisan sadržaj i zaista se veselimo vašim kvalitetnim, kontruktivnim komentarima. Poštujmo stoga jedni druge prilikom komentiranja, kao i Zakon, držeći se sljedećih pravila ponašanja:

  • Ne budite 💩: Nema vrijeđanja, diskriminiranja, ni psovanja (osim ako nije osobni izričaj, ali onda neka psovka bude općenita, a ne usmjerena prema nekome). Također, upoznajte se sa stavkom 2. članka 94. Zakona o elektroničkim medijima prije no što ostavite komentar.
  • Samo kvalitetna rasprava, manje trolanja: Ne morate se ni sa kim slagati, ali budite konstruktivni i doprinesite raspravi! Svako trolanje, flameanje, koliko god "plesalo" na granici, leti van.
  • Imenom i prezimenom, nismo Anonymous 👤: Autor sadržaja stoji iza svog sadržaja, stoga stojite i vi iza svog komentara. Koristimo ime i prezime te pravu email adresu.

Kako koristimo podatke koje ostavljate? Bacite oko na našu izjavu o privatnosti.

Sve ostale komentare ćemo s guštom spaliti, jer ne zaslužuju svoje mjesto na internetu.

Komentari

      • Nikola Plejić

        Nikola Plejić

        18. 09. 2011. u 12:39 pm Odgovori

        Site *definitivno* nije siguran, jer ti ništa ne garantira da je server na kojeg se spajaš upravo server ZABA-e (može biti neki XY server koji se samo predstavlja kao ZABA-in). Ja samo napominjem da neovisno o tome enkripcija radi, samo je nejasno kome šalješ enkriptirane podatke. 🙂

        • Tonči Jukić

          Tonči Jukić

          18. 09. 2011. u 12:41 pm Odgovori

          To nije točno. Ako ti browser ima zaštitu od phisinga (a svaki novi ima), onda je sigurno ono što ti piše u URL-u, a tu valjda ne ideš kroz linkove, nego direktno.
          IE9 je tu najbolji.

    • Matija Božičević

      Matija Božičević

      18. 09. 2011. u 12:40 pm Odgovori

      @GoDaddy: “If you allow a certificate to expire, the certificate becomes invalid, and you will no longer be able to run **secure transactions on your website**. The Certification Authority (CA) will prompt you to renew your SSL certificate prior to the expiration date.”

      Nisam totalni stručnjak, ali mislim da ipak ima sve svoje “zašto”?…

      • Tonči Jukić

        Tonči Jukić

        18. 09. 2011. u 12:43 pm Odgovori

        To je netočno i njihov način da te preplaše u kupnju plaćenog certifikata. SSL funkcionira savršeno i s ručno kreiranim certifikatom koji nije verificiran od baš nikoga. SSL kao tehnologija ne ovisi o tome je li tvoj certifikat potpisao Verisign ili tko već.

        • Sasa Jovanovic

          Sasa Jovanovic

          18. 09. 2011. u 12:48 pm Odgovori

          Tacno, ali SSL koji sam kreiras moze kreirati isto tako i npr neka hakerska grupa, zar ne? Kako ces znati da zaista pripada onome kome tvrdi da pripada ako ga nije izdao neki authority?

        • Nikola Plejić

          Nikola Plejić

          18. 09. 2011. u 12:50 pm Odgovori

          To je svakako, kao što Tonči kaže, netočno. No, to znači da ja mogu napraviti SSL certifikat, samostalno ga potpisati, zakačiti na svoj site i “glumiti” da sam tko-god-želim. Potpisivanje certifikata ima svoju ulogu u cijeloj priči i nije zanemariva komponenta.

          SSL savršeno dobro i sigurno funkcionira i sa samostalno potpisanim certifikatima, samo je poanta da ti u tom slučaju nitko ne garantira da pričaš sa serverom s kojim bi trebao pričati. Stvar *ne* znači da SSL ne radi, ovo *nije* ogromna tragedija, ali ja svejedno volim vidjeti da je za vrlo osjetljive operacije (a netbanking jest jedna od njih) certifikat pravilno potpisan od neke organizacije koja se time bavi.

        • Matija Božičević

          Matija Božičević

          18. 09. 2011. u 12:52 pm Odgovori

          I na to sam pomislio u prvom trenu, ali to znamo ti, ja i ostali ljudi ovdje. Ali u svakom slučaju, veliki FAIL što se tiče samih korisnika!! Korisnik dođe na ezabu i na mjestu gdje obavlja NOVČANE TRANSAKCIJE dočeka ga poruka “Ova veza nije sigurna. Čak i ako vjerujete ovoj stranici, ova greška može značiti da netko zadire u vašu vezu.”!! I šta da ja sad kao OBIČAN korisnik napravim? Kome da vjerujem? Korisnik ne zna šta je HTTP a kamoli HTTPS ili SSL…

          Ne vjerujem da je neki sigurnosni propust, samo nezgodna situacija vezana uz sigurnost! 🙂

        • Tonči Jukić

          Tonči Jukić

          18. 09. 2011. u 12:55 pm Odgovori

          Ali, da, u ovom slučaju činjenica JEST da je ovo veliki promašaj banke. Većina njihovih korisnika ne zna ništa o webu, SSL-u i zaštiti, a svaki će preglednik vrlo agresivno reagirati na nepotpisani SSL certifikat.

          Dakle, nikako ne želim umanjiti katastrofu nesposobnosti banke da na vrijeme obnovi certifikat.

    • Tonči Jukić

      Tonči Jukić

      18. 09. 2011. u 12:53 pm Odgovori

      Gore ti ne mogu odgovoriti (valjda postoji ograničenje na dubinu):
      Nažalost, certifikacijske kompanije su nužne zbog phisinga na koji su ranjivi stariji preglednici i općenito računalno nepismenih korisnika koji klikaju sve što se kliknuti da.
      Realno i tehnički, ako korisnik pretpostavi da nije žrtva phisinga, odnosno očajnog preglednika i vlastite gluposti, sama prisutnost SSL-a je dovoljna jer je to pitanje izvedbe tehnologije.
      Radi se isključivo o URI-u u koji jesmo ili nismo sigurni.

      Ne znam je li uopće postoji moderan preglednik koji je ranjiv na phising URL-a u adresnoj traci.

  7. Valentino Međimorec

    Valentino Međimorec

    18. 09. 2011. u 12:43 pm Odgovori

    još uvijek postoji SSL veza, ali certifikat nije potpisan, e sada treba objasniti ljudima da to još radi što je nemoguće, Zaba će biti zatrpana mailovima i pozivima npr. da im Chrome javlja da je nesigurno

    oko produženja, imao sam sličan slučaj, i kod Thawte procedura je potrajala do 3-4 dana,
    ne vjerujem da Verisign brže radi provjeru, jer nije riječ samo da se plati certifikat pa ga dobiješ odmah

  8. Mihaela Grguric

    Mihaela Grguric

    18. 09. 2011. u 4:25 pm Odgovori

    Nije od jucer, ja sam jos 15.09. imala problema sa spajanjem, Google Chrome me obavijestio o nesigurnoj adresi, nije uopce reagiralo na pokusaj spajanja, i tako satima .. Upitom na broj za pomoc pri internet bankarstvu ljubazno mi je pojasnjeno da nije do mene, jer sam i to vec pomislila, i da oni danas (15.9.) imaju problem. Ne znam sto se dogadjalo, jer sam unesla naloge, i tada opet nije reagiralo na moj zahtjev za placanjem, isteklo mi vrijeme .. i tada iznova .. Oko dva sata posla jer sam na taj dan morala izvrsiti uplatu, pa nisam obracala posebnu paznju na to sto im se jos dogadja.

  9. Domagoj

    Domagoj

    18. 09. 2011. u 5:06 pm Odgovori

    Https ce i dalje raditi uz upozorenje, ali snifanje prometa i dalje nece biti moguce. No zato je trenutno vrlo lakse izvesti DNS spoof uz uporabu vlastitog certa (korisnik nece obracat pozornost na neispravnost certifikata) i spoofane zabe u svrhu presretanja appl1 broja za ulaz u zabu.

Odgovori

Tvoja e-mail adresa neće biti objavljena.

Popularno

Analiza

Diskriminira li PlayStation Store Hrvate? Popusta nemamo, euro se tek uveo, a plaćali smo bonovima…

Domaće obožavatelje PlayStation konzole ova godina nije nimalo mazila. Štoviše cijelu godinu obilježio ih je osjećaj "zadnje rupe na svirali" jer sve do sredine studenog nisu mogli kupovati karticama. Zašto? PlayStation Store 11 mjeseci nije prešao na euro niti je dvojno iskazivao cijene...

Marin Pavelić Marin Pavelić 01. 12. 2023.

Netokracija Podcast

Ovo je email strategija kojom je Burazin privukao investitore poput direktora Stack Overflowa

U novoj epizodi ulazimo u detalje o: (vjerojatno) najvećoj pre-seed rundi u hrvatski startup; tome kako SAD namjerava kontrolirati AI sustave koji bi mogli napraviti atomsku bombu te zašto osnivača Netokracije Ivana Brezaka Brkana izbacuju iz zagrebačkih kavana?

Marin Pavelić Marin Pavelić 13. 11. 2023.

Društvene mreže

Biste li plaćali za korištenje Facebooka i Instagrama? A YouTubea i X-a?

Nova epizoda Netokracijina podcasta kao da se nije odmaknula od Noći vještica jer strava se nastavlja - big tech ekipa uvodi pretplate na sve strane. No, dogodila se jedna stvar koja nam daje nadu... Elon Musk održao je prvi "all hands" sastanak!

Marin Pavelić Marin Pavelić 06. 11. 2023.

Što ste propustili

Analiza

Diskriminira li PlayStation Store Hrvate? Popusta nemamo, euro se tek uveo, a plaćali smo bonovima…

Domaće obožavatelje PlayStation konzole ova godina nije nimalo mazila. Štoviše cijelu godinu obilježio ih je osjećaj "zadnje rupe na svirali" jer sve do sredine studenog nisu mogli kupovati karticama. Zašto? PlayStation Store 11 mjeseci nije prešao na euro niti je dvojno iskazivao cijene...

Marin Pavelić Marin Pavelić 01. 12. 2023.

Tvrtke i poslovanje

Volontiranje zaposlenika donosi dugoročne benefite i njima samima i poslodavcima i zajednici

Kada danas pričamo o volontiranju, unutar kompanije postoji sve više ljudi koji su upoznati s tim pojmom ili su se čak i sami okušali u volontiranju koje je bilo organizirano kroz tvrtku. To pokazuje da napredujemo, ali ima prostora za rast i uključivanje još većeg broja ljudi. 

Dunja Hafner Dunja Hafner 30. 11. 2023.

Tvrtke i poslovanje

Poljski konzultant poručuje: Bez daljnjih odgoda, prilagodite propise i prakse gig ekonomiji

Radite kada želite, koliko želite, s kime želite. Ovo su pogodnosti rada na kojima se gig ekonomija proslavila, ali to ne znači da u praksi uvijek cvate cvijeće...

Marin Pavelić Marin Pavelić 30. 11. 2023.

Istraživanje

50% hrvatskih kupaca primarno kupuje u hrvatskim online trgovinama

Hrvatski online kupci znatno više vjeruju domaćim web trgovinama te iskustvo kupnje na njima ocjenjuju pozitivnim. Među najbitnijim stavkama koje su im iznimno važne navode cijenu dostave, mogućnosti plaćanja, kvalitetne akcije, besplatan povrat - i recenzije!

Marin Pavelić Marin Pavelić 29. 11. 2023.

Intervju

Infobip o privlačenju generacije Z: Ove godine gotovo 2000 prijava na program za mlade talente!

Infobip je već niz godina uključen u akademsku zajednicu, no posebno su uspješni u privlačenju mladih talenata na svoje programe pripravništva. Samo ove godine dobili su nešto manje od 2000 prijava, a otvara se i novi ciklus prijava!

Marin Pavelić Marin Pavelić 28. 11. 2023.

Digitalni proizvodi

Prvo europsko gimnastičko online natjecanje pratite putem hrvatske platforme, Elevien

Natjecanje "European Men’s Artistic Gymnastics Online Test Event!" sprema se ući u povijest kao prvo 100% live online gimnastičko natjecanje.

Marin Pavelić Marin Pavelić 27. 11. 2023.