Dao Hoang Son

Nhân dịp vấn đề an toàn giao dịch ngân hàng trực tuyến đang nóng, mình làm một vài bài thử nghiệm với các dịch vụ của 5 ngân hàng lớn trong nước: BIDV, Vietcombank, ACB, Techcombank và Sacombank. Các bài thử nghiệm sẽ là ( hoặc tua xuống cuối bài để xem nhanh nên xài ngân hàng nào thì an toàn :P ): Trang web TLS: phải bật SSL Server Test : phải từ A trở lên HPKP : phải sử dụng hoặc phải mã hóa tên và mật khẩu bằng Javascript trước khi đăng nhập Ứng dụng di động: lúc đầu mình tính kiểm tra riêng Android và iOS nhưng thực tế thấy ứng dụng mỗi ngân hàng ở hai nền tảng khá giống nhau nên gom lại chung cho gọn TLS: phải sử dụng Certificate/Public Key Pinning : phải sử dụng hoặc phải mã hóa tên và mật khẩu đăng nhập Giới thiệu TLS trước đây còn có rào cản về chi phí tuy nhiên gần đây đã có chứng chỉ miễn phí từ Let's Encrypt nên không còn lý do gì nữa để không làm việc này. TLS là bước cơ bản nhất để bảo mật thông tin giữa ngân hàng và người sử dụng. SSL Server T

It's Friday night and the wife TM wanted to watch Games of Thrones on the TV (via Chromecast). Should be easy right? We have lots of apps installed for exactly this purpose: Netflix, HBO Now, Flix , etc. None of them worked though... Netflix just doesn't have HBO contents like GoT. HBO Now works but it requires a US proxy to watch and there is no way to tell the Chromecast to go through a proxy. Flix, a promising local app, good with TV streaming but not series. So we had to settle to use HBO Now and Google Chrome's cast tab feature to have it on the big screen. A complicated setup, and slow. The casting was broken a few times during the episode, probably because of wifi interferences. This problem needs some engineering! Proxy Those Apps First order of business would be proxy their apps to catch all network requests. I used Charles  with their iOS app. At first I thought it would be tricky if they use https or certificate pinning but it turned out everything