Nhân dịp vấn đề an toàn giao dịch ngân hàng trực tuyến đang nóng, mình làm một vài bài thử nghiệm với các dịch vụ của 5 ngân hàng lớn trong nước: BIDV, Vietcombank, ACB, Techcombank và Sacombank. Các bài thử nghiệm sẽ là ( hoặc tua xuống cuối bài để xem nhanh nên xài ngân hàng nào thì an toàn :P ): Trang web TLS: phải bật SSL Server Test : phải từ A trở lên HPKP : phải sử dụng hoặc phải mã hóa tên và mật khẩu bằng Javascript trước khi đăng nhập Ứng dụng di động: lúc đầu mình tính kiểm tra riêng Android và iOS nhưng thực tế thấy ứng dụng mỗi ngân hàng ở hai nền tảng khá giống nhau nên gom lại chung cho gọn TLS: phải sử dụng Certificate/Public Key Pinning : phải sử dụng hoặc phải mã hóa tên và mật khẩu đăng nhập Giới thiệu TLS trước đây còn có rào cản về chi phí tuy nhiên gần đây đã có chứng chỉ miễn phí từ Let's Encrypt nên không còn lý do gì nữa để không làm việc này. TLS là bước cơ bản nhất để bảo mật thông tin giữa ngân hàng và người sử dụng. SSL Server T...
Geek related stuff