Yhdessä kohti turvallisempaa S-Pankkia

Updated at by

Strict-Transport-Security - vaikeuta HTTPS-downgrade/SSL-Stripping hyökkäystä.

Nginx : add_header "Strict-Transport-Security: max-age=31536000; includeSubDomains"

Apache : Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"

Apache Struts : response.AddHeader("Strict-Transport-Security", "max-age=31536000; includeSubDomains");

X-Frame-Options - estä sivuston näyttö <iframe><frame> ja <object> elementeissä

add_header "X-Frame-Options: DENY"

Modernit FS (forward secrecy) cipherit.

Ciphereiksi vaikka seuraavat

EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256

tai

ECDH:-ADH:-MD5:-NULL:-SHA

tai jotain vaikka

HIGH:-ADH

OCSP nitoja

ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate /hurr/durr/Symantec_Class3_EV_SSL_CA-G3.crt

Koeta:

echo 'HEAD / HTTP/1.1'|openssl s_client -tls1 -tlsextdebug -status -connect online.s-pankki.fi:443|grep -A20 'OCSP response'

Puutteellinen CSRF suojaus

Muita vinkkejä

Tietoturvajohtajaa askarrutti mm. "...millaisilla päätelaitteilla nettipankkia käytetään.". Pieni kikkare kertoo:

<script>document.write([navigator.appCodeName,navigator.appVersion,navigator.userAgent,navigator.platform,window.innerHeight,window.innerWidth].join('<br>'));</script>

Seuraavaa :

Tai miten sivustolla siirrytään "...esimerkiksi seurata, miten sivustolla siirrytään sivulta toiselle."


Leave a comment