Mozem potvrdit. Komercne firmy su na tom z mojich skusenosti lepsie, bud na poziadanie aspon poslu fingerprint certifikatu, alebo maju napisane, kde sa da ziskat korenovy certifikat CA.
Nerobim si ale iluzie, ze napr. viac nez 5% klientov CSOB by si bolo schopnych ziskat korenovy certifikat I.CA, nainstalovat si ho do browsera a overit nim certifikat internetbankingu (to plati aj u inych bank, ale nemyslim ze je to chyba bank, aspon nie z vacsej casti).
Pokud mám správné informace tak IE do verze 6 je defaultne nastaveno, že tomu věřím a tak kliknu, že jsem si vědom, že je to šifrovane spojeni s certifikátem od Verisignu na certifikát , ale kdo ověřuje takovou věc jako fingerprint? A v tu chvíli si s tím uživatelem dělam co chci.
Další možnnost je udělat nějaký DNS spoofing a na svém vebu rozjet aplikaci (nebo její úvodní okno) nějaké banky, kde uvodni prihlaseni je na hrrp clovek vloží svuj login a na mobil mu přijde SMS s nejakym autentizacnim kodem. Ale nijak v te SMS neoverim s kým komunikuji.
Dalsi možnosti je podstrcit uživateli certifikat jako od Verisignu se stejnými napisy a bude se lišit pouze fingerprint a uživatel klikne Yes :)
Takovýchto možností je celá řada
Jen za všechny jeden konkrítní příklad. Známej je danový poradce a na webu MFCR. Tento člověk podava danove priznání desitkam firem. MFCR má certifikát, ale když jsem se snažil sehnat fingerprint jejich certifikátu, tak mi bylo řečeno jejich hotline, at se nestarám a věřím jejich certifikátu.
ČLÁNKY DO MAILU