it-swarm.com.de

Sollte ich mir Sorgen machen, Domains auf einer Bank-Website zu verfolgen?

Finnlands größte Bank OP (ehemaliger Osuuspankki) hat Tracking-Domains (alle drei im Besitz von Adobe) in ihre Website-Neugestaltung aufgenommen:

(uBlock Origin on uusi.op.fi

Diese Domains werden geladen , wenn sie angemeldet sind :

2o7.net
demdex.net
omtrdc.net

Wird dies als akzeptabel angesehen? Welche Informationen können Domains von Drittanbietern über meine Bankkontotätigkeit sammeln?

126
user598527

Es sieht so aus, als würde die Hauptseite ein Skript aus der Adobe Marketing Cloud direkt in die Seite einbetten. Während diese Skripte vom selben Server wie die Hauptsite geladen werden, sieht es so aus, als würden diese Skripte über XHR mit externen Servern kommunizieren und gemäß den Protokollen von uBlock Origin auch neue Skripte von demdex.net und 2o7.net herunterladen.

Insbesondere das Laden und Ausführen neuer Skripte von Dritten außerhalb der Kontrolle Ihrer Bank ist ein großes Sicherheitsproblem. Im Wesentlichen können diese Skripte die volle Kontrolle über die Website erlangen, einschließlich Lesen Ihrer Eingabe, Ändern des übermittelten oder angezeigten Inhalts usw. Hierbei handelt es sich im Wesentlichen um Cross-Site-Skripte, nur dass sie nicht zufällig, sondern von den Entwicklern erstellt wurden der Bankseite hat diese Dritten ausdrücklich aufgefordert, Cross-Site-Scripting durchzuführen.

Während eine solche Nutzung von Diensten Dritter auf einer Website akzeptabel sein kann, auf der keine vertraulichen Informationen eingegeben werden, ist sie absolut nicht akzeptabel, wenn vertrauliche Informationen übertragen werden oder wenn sie sich unerwartet in den Inhalt einer Website ändern (z. B. wenn ein anderer Kontostand angezeigt wird). und kann unerwünschte Handlungen des Besuchers verursachen.

158
Steffen Ullrich

Bankstandorte sind kaum monolithisch. Eine Bank verlässt sich in ihrer Gesamtlösung normalerweise auf Dutzende oder sogar Hunderte von Systemen von Drittanbietern. Möglicherweise haben Sie einen Bankhost von einem Anbieter, eine Kreditkartenlösung von zwei oder drei weiteren Anbietern, eine Anmeldelösung von einem anderen Anbieter und Zahlungen von einem anderen Anbieter. Der Aufwand für die Zusammenstellung dieser Websites ist enorm.

Es ist keineswegs ungewöhnlich, dass an Bankstandorten auch Dritte am Frontend beteiligt sind. Dies kann von Bibliotheken von Drittanbietern zum Rendern eines Kalendersteuerelements bis zu Systemen reichen, die Benutzerverhaltensanalysen und Risikoentscheidungen bereitstellen. Viele dieser Anbieter bieten Skripte und Inhalte über Content Delivery Networks (CDNs) an. Dies bedeutet, dass die Dateien möglicherweise von einer Drittanbieter-Domain stammen.

Ist das gefährlich? Es kann sein. Wenn die Ressourcen von Drittanbietern nicht über Integrität der Subressourcen überprüft werden, können sie von Hackern (über Man-in-the-Middle) oder sogar vom Drittanbieter selbst (z. B. böswilliger Mitarbeiter) geändert werden. Daher wird jede Online-Banking-Implementierung entweder den Inhalt selbst hosten (dh die Dateien von Drittanbietern kopieren und auf ihren eigenen Webserver einfügen) oder in einigen Fällen den Inhalt mit einem kryptografischen Hash bereitstellen, der über das Attribut integrity des. Notiert wird script Knoten oder link Knoten, der auf die externe Datei verweist. In weiteren Fällen werden sie mit dem CDN verknüpft, bieten jedoch ein Fallback-Verhalten für eine lokale Datei (siehe diese StackOverflow-Frage ), falls die SRI-Prüfung fehlschlägt.

Sollte ich mir Sorgen machen, Domains auf einer Bank-Website zu verfolgen?

Es ist wichtig zu beachten, dass in der EU die Kosten für betrügerische Transaktionen von der Institution getragen werden . Die Sicherheit des Online-Bankings hat daher die Hauptaufgabe, die Bank zu schützen, nicht Sie.

Unabhängig von der Architektur, die OP entwickelt hat, können Sie sicher sein, dass mehrere Ebenen der Risikobewertung und -prüfung bestanden wurden und die Entscheidung, ein CDN für die Bereitstellung einiger Inhalte zu verwenden, nicht leichtfertig getroffen wurde. Möglicherweise haben sie es ordnungsgemäß implementiert und verwenden SRI-Mittel. Sie können sich immer noch Sorgen machen, aber die Sorgen sollten minimal sein.

16
John Wu

Die Chance ist gering, aber es könnte eine echte Bedrohung sein. Kürzlich (April 2017) wurde festgestellt, dass Tracking-Skripte (Gemius) bei einer der großen polnischen Banken (mBank) den Kontostand zusammen mit anderen (Standard-) Tracking-Daten senden. Der beabsichtigte Effekt war wahrscheinlich die Erfassung der Navigation (Seitentitel/Abschnitt), sodass das Leck selbst versehentlich auftreten kann.

4
user158037