סקריפט גריסמנקי לתיקון הכניסה לחשבון בבנק דיסקונט

עודכן ד', 14/05/2008 - 13:54 האקינג | אינטרנט ורשתות | מוזילה | תוכנה חליפית

Use Open Standards

היי. כתבתי סקריפט (Greasemonkey ) קטן לצורך עקיפת הבדיקה של הדפדפן באתר בנק דיסקונט, מפני שהזיהוי שלהם, משום מה, זורק אותי תמיד מהאתר.

בעבר ניסיתי לדבר עם הבנק ישירות כדי לתקן את הבעייה, אבל קריאותי לא נשמעו. רק אציין בפוסט קודם סיפרתי שהבנק טוען שהם תומכים רק בפיירפוקס 1.5. הקוד שתיקנתי הראה אחרת.

להלן הסקריפט: http://userscripts.org/scripts/show/26534

» הבלוג של guysoft | כתיבת תגובה | תצוגה להדפסה

אזהרה לגבי סקריפטים לתיקון אתרי בנקים

עודכן ד', 14/05/2008 - 14:39

קודם כל, ברוך הבא לעולם כותבי הסקריפטים.
אבל, וזה אבל די גדול, אני מתנגד לכתיבת סקריפטים שפועלים על אתרי בנקים. אני ואולי 10 אחוז ממתקיני הסקריפט יקראו את הקוד לפני ההתקנה, אבל 90% הנותרים יתקינו "על עיוור". זה אומר שאם מישהו יגלה את הסיסמה שלך ל userscripts.org (שאינה נשלחת ב SSL), הוא יוכל להחליף שם את הקוד בקוד זדוני ששולח את פרטי החשבון לצד שלישי.

היי יהודה, תודה ...

עודכן ד', 14/05/2008 - 15:06

היי יהודה, תודה על קבלת הפנים :-)

אני חושב שיהיה יותר קל לגלות את הסיסמה שלי לבנק מאשר הסיסמא שלי ל-userscripts.org . אבל ברצינות -

לדעתי האחריות בסופו של דבר מוטלת על אתרי הבנקים. אם המשתמשים שלהם מתקינים סקריפטים שגונבים להם את חשבונות. אז אחריותם לתקן זאת. אני רק נתתי פתרון.

בנוסף, הפתרון שאני נתתי הוא פתרון כל כך פשוט שהבנק יכול ליישם אותו בקלות באתר שלהם. ניסיתי לצור איתם קשר כבר מעל לשנה, ותמיד מנפנים אותי. אז וויתרתי.

42

תראה...

עודכן ד', 14/05/2008 - 15:17

אם מישהו יגנוב את הסיסמה שלך לבנק וירוקן את חשבון הבנק שלך, זה אחריות של הבנק (כמובן בתנאי שלא סתם פירסמת אותה באיזה מקום ציבורי).
לעומת זאת, אם מישהו יגנוב את הסיסמה שלך ל userscript וירוקן את חשבונות הבנק של מאות אנשים שיתקינו את הסקריפט המזוייף, זה כבר אחריות שלך.

אבל זה עולם חופשי - כל אחד יכול לעשות מה שהוא רוצה.

אז ככה: לפי מסמך ...

אבירם חניק

עודכן ד', 14/05/2008 - 16:49

אז ככה: לפי מסמך שעליו חתמתם כשקיבלתם הרשאה לבצע פעולות מהאינטרנט, הבנק לא אחראי על כלום (הפתעה...) ובמידה ומרוקנים לכם את חשבון האינטרנט, זאת תאורטית בעיה שלכם.
החדשות הטובות הן, שבכל העולם, בכל המקרים של פריצה לחשבונות באינטרנט ולמיטב ידיעתי בלי יוצא מהכלל, הבנק ספג את הנזק (לפעמים בשקט, בלי לספר אפילו ללקוח) כך שלפחות בינתיים אפשר להעביר את הססמה איך שתרצו.

- אבירם
Beyond Security

>> פעמים בשקט,

אורח עודכן ד', 14/05/2008 - 16:54

>> פעמים בשקט, בלי לספר אפילו ללקוח

די מתבקש, משתלם להם שאנחנו משתמשים באתר במקום להגיע לסניף והם בטח לא רוצים שאנשים יחששו לגלוש לחשבון שלהם.

לפחות בבנק הפועלים יש אחריות מוצהרת

עודכן ו', 23/05/2008 - 10:54

מהדף הראשי לחץ על "אחריות ואבטחת מידע"

זה קיים כבר לפחות שנה.

מדהים. מה שמרשים...

אבירם חניק

עודכן שבת, 24/05/2008 - 11:53

מדהים. מה שמרשים עוד יותר הוא שזה כתוב בלשון פשוטה ובלתי מתפשרת (בלי כוכביות, "כפוף לתקנון" או אותיות קטנות).

זאת אכן המדיניות של כמעט כל הבנקים בעולם, אבל זאת הפעם הראשונה שאני רואה בנק מצהיר על זה בגלוי.

- אבירם
Beyond Security

מה שתיארת זו דר

אורח עודכן ד', 14/05/2008 - 16:11

מה שתיארת זו דרך נהדרת לאסוף כסף מאנשים כדי לתרום לפרוייקטים של קוד פתוח.

אזהרה לגבי סקרי

אורח עודכן ב', 19/05/2008 - 01:42

יהודה, אתה מעלה בעיה אמיתית - הקושי לסמוך על קוד לא מוכר. אבל הבעיה הזו לא מוגבלת לסקריפטים של בנקים. אני לא מומחה לקוףשמנוני, אבל לא נראה לי שקשה - עבור מתכנת מרושע - לקחת סקריפט שנועד לייפות אתר א' ולהוסיף לו יכולת לגנוב ססמאות מאתר ב'. רק להוסיף שורת @include וקצת לוגיקה.

אתה צודק בהבדל אחד

עודכן ב', 19/05/2008 - 14:38

את שמות האתרים הנכללים בשורות include הקוף השמנוני מציג לך לפני שאתה לוחץ על כפתור ההתקנה. זה יחסית מספר קצר של שורות, ואפשר לקרוא אותן בזמן הספירה לאחור (עד שכפתור ההתקנה מאפשר לחיצה). רוב המשתמשים הלא מתוחכמים יודעים לקרוא url-ים. לעומת זאת, קריאה של הסקריפט עצמו דורשת לחיצת כפתור נוספת והבנה טכנית ברמה של תוכניתן ולא משתמש קצה.

בכל מקרה, במאמר שכתבתי על התקנת סקריפטים המלצתי לוודא התאמה בין רשימת הכתובות המופיעה לאתר שאותו מנסים לתקן.

דיווח בבאגזילה

עודכן ד', 14/05/2008 - 16:55

ראה כאן -
https://bugzilla.mozilla.org/show_bug.cgi?id=166261

--
תומר

האם הפדיחה עם ה

אורח עודכן ד', 14/05/2008 - 16:57

האם הפדיחה עם הקידוד של הדפים בהארץ גם מדווח כבאג? יש לו טיקט?

הבאג של הארץ

עודכן ד', 14/05/2008 - 21:35

כמובן.

https://bugzilla.mozilla.org/show_bug.cgi?id=308187

--
תומר

אגב, אין בפיירפ

אורח עודכן ד', 14/05/2008 - 16:55

אגב, אין בפיירפוקס אפשרות לקבוע agent על פי דומיין? אני מעדיף לא להתקין הרחבות לפיירפוקס כי בסוף נשבר לי ממנו ואני חוזר לאופרה.

שינוי useragent בפיירפוקס

עודכן ד', 14/05/2008 - 21:39

ההרחבה User Agent Switcher יכולה להחליף את מחרוזת הזיהוי של הדפדפן בקלות.

אין אפשרות להחליף זיהוי לפי דומיין, אבל זה נמצא ב־to-do של המפתח.

--
תומר

עד לפני שכתבתי א...

עודכן ה', 15/05/2008 - 00:45

עד לפני שכתבתי את התסריט השתמשתי בזה. אבל זה מאוד מעצבן כי אני תמיד שוכח להפעיל את זה לפני הכניסה. ואישית אני מעדיף שהדפדפן שלי יזדהה כמו שהוא.
42

אולי תעזור קצת למתכנת

עודכן ה', 15/05/2008 - 08:03

אולי תעזור קצת למתכנת ותכין עבורו את התמיכה בזיהוי לפי דומיין? זה לא אמור להיות דבר מסובך במיוחד.

--
תומר

זו הצעה יפה, אבל...

עודכן ה', 15/05/2008 - 23:56

זו הצעה יפה,
אבל כרגע אני מפתח משהו אחר ואין לי זמן לזה. השיפוץ כאן היה עניין של דקות.
42

קצת מוזר...

עודכן ד', 14/05/2008 - 20:29

לאור העובדה שאני נכנס לחשבון הבנק שלי בלי בעיה מאז שדיסקונט שידרגו את האתר.

kubuntu עם firefox 2, ועובד לי מצויין...

זיו

כנ"ל

אורח עודכן ה', 15/05/2008 - 15:44

מוזר שאתה מקבל את ההודעה הזו מלכתחילה.
אני נכנס לחשבון דרך האתר של דיסקונט ללא שום בעיה והאתר מתפקד כמו שצריך.

אני משתמש ב-Slackware עם Firefox 2.0.0.14
pikolo

בנק הפועלים או בנק דיסקונט?

רן יניב הרט

עודכן ה', 22/05/2008 - 20:49

כדאי לבדוק

אורח עודכן א', 13/06/2010 - 07:38

כדאי לבדוק היטב לפני שלוקחים