Το web banking δεν είναι κάτι καινούριο. Δεν είναι σίγουρα κάτι δύσκολο, μιας και οι 99 από τις 100 συναλλαγές μιας τράπεζας γίνονται ηλεκτρονικά όσον αφορά τους λογαριασμούς της. Και είναι πολύ πιο πρακτικό και οικονομικό, σε χρόνο και χρήμα, τόσο για την τράπεζα όσο και για τον πελάτη. Πρέπει όμως να είναι ασφαλές. Αλλιώς απλά κάναμε μια τρύπα στο νερό.
Το συγκεκριμένο post είναι ένα μικρό χρονικό τρόμου για την ασφάλεια των πελατών της Εθνικής και του συστήματος i-bank. Αν και έχω χρόνια λογαριασμό μόλις πρόσφατα είπα να πάρω ηλεκτρονική πρόσβαση, μιας και σπάνια χρειαζόμουν κάτι που δεν μπορούσε να μου προσφέρει το ATM της γειτονιάς μου. Και η μόνη εμπειρία μου με web banking ήταν μέχρι στιγμής με τράπεζα του εξωτερικού (ABN-AMRO). Έλα όμως που χρειάζεται, και συνηθισμένος από την πρότερη εμπειρία μου δεν το σκέφτηκα και πολύ…
Η όλη διαδικασία (αίτηση και παραλαβή κωδικού με συστημένο γράμμα) πήρε μόλις μια εβδομάδα. Το ίδιο και η ενεργοποίηση, η οποία πήρε 5 λεπτά και ένα απλό τηλέφωνο. Ο τρόμος ξεκίνησε μετά.
Οπλισμένος με κωδικούς, πήγα να μπω στο “πλήρως ασφαλές” σύστημα της Εθνικής, αντί όμως για κάποια σελίδα αντίκρισα το εξής:
OK, σκέφτηκα, μάλλον φταίει ο Firefox 4, που είναι και beta, και άνοιξα τον πιο σταθερό Chrome, με τα ίδια και χειρότερα αποτελέσματα:
Μετά από λίγο ψάξιμο στο Google, βρήκα ότι “ένοχος” είναι ο server της ίδιας της Εθνικής, και όχι οι browser – σε ένα από τα bug reports μάλιστα, οι developers απάντησαν στον άμοιρο χρήστη χαρακτηρίζοντας απλά το bug σαν “Won’t fix – works as intended”… Και αυτό γιατί σαν χαρακτηριστικό ασφαλείας, πλέον δεν επιτρέπεται η σύνδεση, όταν το SSL έχει κάτω από μια ορισμένη κρυπτογραφική δυνατότητα (για τον απλούστατο λόγο ότι ένας τρίτος μπορεί άνετα να κρυφακούει τη συνομιλία). Περιμένοντας την Εθνική όμως να λύσει το πρόβλημα, ένας τρόπος να κάνετε γρήγορα τη δουλειά σας σήμερα (με το ίδιο επίπεδο καταπληκτικής ασφάλειας…) είναι να ανοίξετε ένα καινούριο tab στον Firefox, να πληκτρολογήσετε about:config και dhe στο filter box, και έπειτα να κάνετε διπλό κλικ σε όλες τις επιλογές που είναι true για να τις θέσετε false, όπως παρακάτω:
Κάνετε τη δουλειά σας (ασφαλώς, βεβαίως βεβαίως…) και τα ξαναθέτετε σε true (μιας και υπάρχουν και ασφαλή sites εκεί έξω…). Για όσους ενδιαφέρονται, τα bug reports είναι εδώ και εδώ.
Ενημέρωσα και την Εθνική με e-mail αλλά μάλλον θα ψάχνουν να καταλάβουν τι είναι αυτό το “PGP signed” που γράφει… 🙂
Υ.Γ. Για οτιδήποτε νεώτερο, θα υπάρξει update.
Update 1: Τελικά τα καταφέρανε να ανανεώσουν τα πιστοποιητικά τους και να τα ανεβάσουν σε ανεκτά επίπεδα για το 2011, οπότε η παραπάνω διαδικασία δεν χρειάζεται πλέον. Βέβαια, το καινούριο site τους και πάλι δεν παίζει με οτιδήποτε πέραν του ΙΕ, οπότε όταν θα κόψουν το παλιό σύστημα (homebank.nbg.gr) μάλλον θα κόψω κι εγώ το i-bank αυτεπάγγελτα… 🙂 Υπάρχουν άνθρωποι που πληρώθηκαν για να το φτιάξουν αυτό; (ρητορική ερώτηση…)