Smart OTP của Vietcombank lỗi từ những thứ rất sơ đẳng, vi phạm
nghiêm trọng quy trình triển khai Application OTP. Hay nói cách khác
chính Vietcombank làm Smart OTP của họ của họ trở nên KHÔNG CÓ BẢO MẬT
GÌ HẾT
hình chụp tình trạng trang https://smartotp.vietcombank.com.vn/ mà theo mình biết là điểm gửi nhận dữ liệu của app Smart OTP . Bạn có thể kiểm chứng bằng việc sniff traffic và vô thử trang trên bằng trình duyệt.
Nó chạy bằng Chứng chỉ số bảo mật (HTTPS/SSL/TLS) TỰ KÝ !!! một ngân hàng thương mại lớn nhất Việt Nam mà dùng chứng chỉ số tự ký thậm chí còn đã hết hạn những 9 tháng cho Application OTP ???
Bảo mật quá kém
Nói thêm chút:
Vài bạn bảo Self-signed vẫn an toàn. Ok Self-signed certificate sẽ an toàn nếu nó được implement cực kỳ đúng cách từ: quản lý an toàn CA, làm đúng quy trình triển khai CA, bảo vệ được Private key an toàn tuyệt đối, rồi còn client side phải strictly validate certificate hoàn hảo, SSL Certificate Spinning các kiểu. Ngó thấy cái certificate này đã exprired 9 tháng rồi thì mình không tin được là các thứ ở trên họ làm đúng chuẩn mực.
Cá nhân mình cho rằng nên dùng Certificate cấp bởi các CA uy tín, vì ở đây không phải chỉ có những người làm app tin nhau hay đám sysass tin nhau mà là niềm tin của khách hàng. Bạn nào mua Certificate có bảo hiểm các loại từ bọn CA uy tín sẽ thấy tụi nó yêu cầu mình ra sao, rồi hết hạn sẽ bị hủy ngay chứ ở đó mà mặc kệ những 9 tháng
Okie an toàn là một sự lựa chọn và tôi thấy cái này không an toàn và an tâm chút nào, bạn nào cho rằng chấp nhận sự bất trắc kiểu này thì cứ mạo hiểm!!
hình chụp tình trạng trang https://smartotp.vietcombank.com.vn/ mà theo mình biết là điểm gửi nhận dữ liệu của app Smart OTP . Bạn có thể kiểm chứng bằng việc sniff traffic và vô thử trang trên bằng trình duyệt.
Nó chạy bằng Chứng chỉ số bảo mật (HTTPS/SSL/TLS) TỰ KÝ !!! một ngân hàng thương mại lớn nhất Việt Nam mà dùng chứng chỉ số tự ký thậm chí còn đã hết hạn những 9 tháng cho Application OTP ???
Bảo mật quá kém
Nói thêm chút:
Vài bạn bảo Self-signed vẫn an toàn. Ok Self-signed certificate sẽ an toàn nếu nó được implement cực kỳ đúng cách từ: quản lý an toàn CA, làm đúng quy trình triển khai CA, bảo vệ được Private key an toàn tuyệt đối, rồi còn client side phải strictly validate certificate hoàn hảo, SSL Certificate Spinning các kiểu. Ngó thấy cái certificate này đã exprired 9 tháng rồi thì mình không tin được là các thứ ở trên họ làm đúng chuẩn mực.
Cá nhân mình cho rằng nên dùng Certificate cấp bởi các CA uy tín, vì ở đây không phải chỉ có những người làm app tin nhau hay đám sysass tin nhau mà là niềm tin của khách hàng. Bạn nào mua Certificate có bảo hiểm các loại từ bọn CA uy tín sẽ thấy tụi nó yêu cầu mình ra sao, rồi hết hạn sẽ bị hủy ngay chứ ở đó mà mặc kệ những 9 tháng
Okie an toàn là một sự lựa chọn và tôi thấy cái này không an toàn và an tâm chút nào, bạn nào cho rằng chấp nhận sự bất trắc kiểu này thì cứ mạo hiểm!!
0 nhận xét:
Post a Comment