Skip to main content

Posts

Showing posts from July, 2016

Vọc thử các ứng dụng ngân hàng trực tuyến

Nhân dịp vấn đề an toàn giao dịch ngân hàng trực tuyến đang nóng, mình làm một vài bài thử nghiệm với các dịch vụ của 5 ngân hàng lớn trong nước: BIDV, Vietcombank, ACB, Techcombank và Sacombank. Các bài thử nghiệm sẽ là (hoặc tua xuống cuối bài để xem nhanh nên xài ngân hàng nào thì an toàn :P):
Trang webTLS: phải bậtSSL Server Test: phải từ A trở lênHPKP: phải sử dụnghoặc phải mã hóa tên và mật khẩu bằng Javascript trước khi đăng nhậpỨng dụng di động: lúc đầu mình tính kiểm tra riêng Android và iOS nhưng thực tế thấy ứng dụng mỗi ngân hàng ở hai nền tảng khá giống nhau nên gom lại chung cho gọnTLS: phải sử dụngCertificate/Public Key Pinning: phải sử dụnghoặc phải mã hóa tên và mật khẩu đăng nhập
Giới thiệu TLS trước đây còn có rào cản về chi phí tuy nhiên gần đây đã có chứng chỉ miễn phí từ Let's Encrypt nên không còn lý do gì nữa để không làm việc này. TLS là bước cơ bản nhất để bảo mật thông tin giữa ngân hàng và người sử dụng.
SSL Server Test là bài kiểm tra máy chủ web bao gồ…