Follow

Über den mobilen Browser (Android) konnte ich gerade keine Überweisung vornehmen. Weil: Selbes Gerät und SMS-Tan aktiv. Einfach den User-Agent geändert - dann ging es. Security par excellence... (War ein Test).

@kuketzblog
Das wäre ja bisschen viel verlangt, dass die Bank so einen "Hackerangriff" abwehren können soll :mastozany:

@Mike Kuketz :mastodon: Kann mir jemand das Problem erklären? Wie stark muss eine Bank einen User davon abhalten sich selbst mit aller Kraft und via Tricks bewusst in den Fuß zu schießen: Zum einem überhaupt noch SMS-Tan zu nutzen (was schon lange als unsicher gilt) und zum anderen mittels Tricks den Schutz des Users vor sich selbst auszuhebeln? Anders gefragt: Wenn ich den Alarm für nicht angelegten Gurt dadurch austrickse dass ich irgendwas ins Gurtschloss stecke und mich nicht anschnalle, ist das auch ein Sicherheitsproblem des Autoherstellers?

@kuketzblog Ist aber nix Neues, ging bei VR-Banken schon 2014 mit diversen Browsern.

@kuketzblog Banken, die keine sichere Alternative zu SMS-TAN und PushTAN (App) anbieten, kann ich nicht ernst nehmen.

@technicallypossible Banken tun nur meistens so, dass ihre IT super sicher sei aber das ist es nur teilweise. Server hui, Desktops pfui und für den Kund bäh, ist es häufig.
@kuketzblog

@kubikpixel das habe ich auch schon gemerkt. Die können maximal Compliance, wenn überhaupt. Mit praktischer, effektiver IT-Sicherheit hat das oft nichts zu tun.

@kubikpixel vor einigen Monaten bei der Spaßkasse angerufen, weil der TAN-Generator Probleme gemacht hat. Aussage der Hotline: nehmen Sie doch einfach die App. Habe das Problem dann doch selber beheben können, ganz ohne App. Danke für nichts.

@technicallypossible @kubikpixel Die Aussage stützt sich auf die viele Jahre Erfahrung als technischer Mitarbeiter einer Bank?

@kubikpixel @technicallypossible @kuketzblog

Also ich sag mal Windows Server 2012R2 und die üblichen Microsoft Produkte bei unserer Bank...... Geldautomaten Windows 7 meist, teilweise aber auch Windows 10.

@kubikpixel @technicallypossible @kuketzblog

Vorher wars 2003 Enterprise aber die schaffens nich mal was anderes als Passwörter zu nutzen die gebruteforced werden können.... Kein Plan was fürn Virenschutz die haben wenn überhaupt hoffentlich. Da will ich gar nicht an meine ersten Ausbildungsbetrieb denken, höchstsensible Daten aber weder guter Virenschutz noch ne vernünftige Firewall und ne Beta Version von nem Webfilter der fast null filtert.....Abgesehen von XP bis 8.1 alles dabei.

@kubikpixel

Mit Jahre veraltetem VmWare und Server 2003 fang ich gar nicht erst an.
Bei meinem aktuellen Arbeitgeber läuft wenigstens Server 2016 alles insgesamt nur 2 oder 3 Towerserver wahrscheinlich VMs oder weiss Gott was vllt sogar nur Baremetal mit ner Ladung Nutzerkonten oder sowas...Immer geil wenn der externe Dienstleister für Wartung vorbeikommt und die ganze Firma deswegen jedes mal lahmgelegt wird bis auf die Telefonanlage und die Kunden sich beschweren weil die Emails zurückkommen

@kubikpixel Ich sag nur Linux Server und Livepatching oder Redundanz, besser ebides zusammen aber das kostet ja wieder zuviel Geld aber es wird sich aufgeregt wenn mal n Server für 5 Minuten neu gestartet werden muss wegen irgendwas..... Ist ja nicht so das man für viel weniger Geld was vllt. sogar besseres bekommen könnte. Dovecot, Mailman ect. gibt ja genug Auswahl.

Sign in to participate in the conversation
Mastodon

The social network of the future: No ads, no corporate surveillance, ethical design, and decentralization! Own your data with Mastodon!