Diskuze: Reakce na článek o bezpečnosti internetbankingu

Chyba je jednoznacne na strane autora clanku, ktery si vetu "bankovnictvi vyuziva SSL" vylozil jako "bankovnictvi vyuziva HTTPS" (HTTP protokol tunelovany SSL spojenim). A kdyz zadne HTTPS nenasel, tak prohlasil, ze SSL se nepouziva.

Jasne, ted uz chapu. Diky za vysvetleni.

Pardon, omlouvám se - "anonymita/neanonymita z pohledu serveru" - lustruje si klienta - neohrabaně jsem se vyjádřil... Přeji hezký den.

Neanonymní HTTPS znamená, že server vyžaduje autentizaci klienta klientským certifikátem - je myšlena anonymita/neanonymita z pohledu klienta. Je pravda že to není tak rozšířené jako anonymní HTTPS, ale docela se mi líbí "průhlednost" a "standardnost" takového řešení (nějak nemusím "security by obscurity" a různá proprietální řešení - princip by měl být IMHO veřejný a na první pohled zřejmý), i když nevýhodou je že klient je nucen vyřizovat si certifikát. Jinak samozřejmě s nutností autentizace serveru máte naprostou pravdu.

"kdy je klient autentizován po neanonymní HTTPS komunikaci se serverem"
zcela bez navaznosti: co to znamena neanonymni HTTPS? Sifrovany prenos nemuze byt nikdy anonymni, protoze pokud presne nevite, ze na druhe strane kanalu je ten pravy bankovni server, je sifrovani celkem zbytecne ...

Neznám problematiku natolik, abych hodnotil jednu nebo druhou stranu sporu. Dle mého názoru však vyznívá poněkud nepřesně tvrzení pana Macháče, z něhož vyplývá že SSL protokol lze výhodně použít pouze pro autentizaci jedné strany (serveru), a autentizaci klienta je nutné řešit proprietálně / SSL je vhodné pouze pro tunelling. V praxi se (celkem běžně) používá řešení, kdy je klient autentizován po neanonymní HTTPS komunikaci se serverem na základě rozparsování klientského certifikátu. Tímto svým tvrzením nijak nehodnotím použité řešení.

Bláboly autora původního článku o bezpečnosti jsou na hraně pomluvy. Být jím, obával bych se, zda nebudu nějakou bankou zažalován za poškozování obch.jména.