Sberbankにはオンラインの脆弱性はありません

昨日、 GeekTimesに記事が掲載されました。この記事では、Sberbank Online Webバージョンの既存の脆弱性がビデオで紹介されています。 データが安全である理由と、このビデオに実際に示されているものについて説明します。



GeekTimesの読者は、Yandex.MetricaおよびGoogle Analyticsの訪問カウンターがロシアおよび世界の大手金融機関などで使用されていることを知る必要はないと確信しています。 Sberbank Onlineでそれらを使用して、オンラインサービスの品質を最適化および改善するために、ページ間の顧客クリックに関する統計を収集します。 収集された情報の匿名性は、YandexおよびGoogleのセキュリティおよびプライバシーポリシーによって保証されています。 それらの詳細： Yandex.Metrica ユーザー契約、Google Analyticsユーザー契約 。 パートナーの評判に依存するだけでなく、送信された情報の構成も確認します 。



サービスを保護するために、Sberbank Onlineは、TLS、2要素認証、操作のリスクスコアリング、クライアントコンピューター上のウイルスアクティビティを監視するツールなど、最新のツールセットを使用します。 最も機密性の高いクライアント情報（姓、カード、アカウント番号など）はクライアントコンピューターにもまったく送信されません。これらのデータはマスクされます。つまり、アスタリスクで隠されます。 サービスのセキュリティをさらに確保するために、すべての既知のタイプの攻撃を含むすべての更新で広範囲な侵入テストを実施しています。



Sberbank Onlineページに入力された情報がリモートコンピューターに転送されるという著者の主張を信じます。 これは、Sberbank Onlineページが変更された場合にのみ可能です。



実際、最新のブラウザーは、データ転送フェーズ中にコンテンツのなりすましからページを保護します。 中間サーバーでのコンテンツ置換の場合、ブラウザーは変更をMITM攻撃として分類し、コンテンツをページにアップロードすることを許可しません。 したがって、コンテンツスプーフィングは、コンピューターへのローカルアクセスがある場合、またはコンピューターがウイルスに感染している場合にのみ可能です。



olegon-ruビデオは何を証明していますか？ コンピューターをプログラムしてデータを外部に転送できるということだけです。 しかし、これは他の顧客にサービスを提供する安全性には影響しません。