25 мая 2016 в 18:52

Британские банки будут отключать клиентов с устаревшими версиями браузеров от онлайн-сервисов новость

Комиссар лондонской полиции советует не возмещать жертвам хакеров убытки



Устаревшее программное обеспечение во многих случаях является причиной взлома компьютеров частных лиц или организаций. В частности, это актуально для браузеров — устаревшие версии такого ПО уязвимы для атак хакеров. Именно поэтому британские банки и правительство предлагают отключать клиентов с устаревшей версией браузера от онлайн-банкинга.

В последнее время в Великобритании участились случаи взлома аккаунта клиентов банков, причем причина взлома — именно устаревшее ПО на клиентском ПК. Глава полиции Лондона даже посоветовал банкам не возмещать (или возмещать только частично) средства пострадавшим по своей вине клиентам. По его словам, возвращать таким клиентам средства — все равно, что «вознаграждать за плохое поведение», поскольку сами жертвы поленились обновить антивирусное ПО и установить надежный пароль.

Правда, сразу внедрить подобное решение банки не смогут, реализация его будет включать несколько этапов.

Изначально ПО клиента банка, подключившегося к онлайн-сервису, будет анализироваться банком. Если программное обеспечение будет признано устаревшим, появится предложение обновиться. На данном этапе анализироваться будет версия браузера и антивирусного ПО. Если же клиент не среагирует, его могут отключить от ряда банковских сервисов. На последнем этапе предлагается вовлечь в проект операторов связи, которые смогут изолировать клиентов, чьи ПК поражены зловредным ПО. Либо же банки просто будут отказывать клиентам, которые потеряли свои средства из-за устаревшего ПО, в компенсации убытков.

Основная идея в этом случае — дать понять пользователям, что они отвечают за собственную безопасность, а не кто-то другой, будь то банки или полиция.
Максим Агаджанов @marks
карма
159,7
рейтинг 489,9
Редактор
Самое читаемое

Комментарии (23)

  • 0
    ПриватБанк уже так делает в Приват24, проверяется строка юзерагент браузера. «Защита» обходится правкой юзерагент.
    • 0
      Юникредит — тоже уже полтора месяца как https://www.unicredit.ua/img/Table_UO_ua.png
      Насчет обхода не знаю, нет желания экспериментировать.
      • 0
        Вы не совсем правильную таблицу разместили.
        Вот более корректная
        image


        Особенно рекомендую обратить внимание, что ограничения присутствуют не только со стороны минимальной поддерживаемой версии, но и с другой стороны (!!!)
        Для примера, у меня актуальная версия Chrome — 50. Но Unicredit поддерживает только до 44-й…
        • 0
          Не знаю, заходу на уникредит с последней версии огнелиса, вс' работает нормально, предупреждений нет. ЧЯДНТ?
          • 0
            Если вы про систему для физических лиц, то там все работает нормально, а вот если для юридических — то мы узнаем, что в новых браузерах отключена Java…
            Пруф

            • 0
              Да ситуация для физлиц и юрлиц разная. С клиент-банком для юрлиц знаком только по приватбанку. Там не так давно отказались от Java, и вместо неё ставят специальную криптопрограмму. Работает намного лучше, быстро и без глюков (десятка, огнелис). Java создаёт просто много проблем, в тех вебсервисах, которые её активно используют дофига глюков и багов.
    • 0
      Тот, кто умеет править юзерагент, не нуждается в подобной опеке со стороны банка.
      • –1
        1. Получаем контроль над устаревшим браузером жертвы
        2. Ставим расширение, позволяющее менять юзерагент
        3. Прикидываемся последней версией
        4. ???
        5. PROFIT
        • 0
          Идея в том, чтобы клиент банка сразу обновил свой браузер, а не ждал, пока хакер его взломает.
          • 0
            Да нет, идея-то верная и хорошая, но клиент же может подцепить зловреда ещё до входа на сайт банка. Я к тому, что одного лишь юзерагента мало, уж больно это просто обходится.
            • 0
              Ну так основная идея в том, чтобы у подавляющего большинства клиентов стоял нормальный браузер, и такой подход сработает. Усложнение проверок не даст существенных бонусов по безопасности и может негативно сказаться на многих пользователях.
      • 0
        Юзер агент обычно через JavaScript проверяется
  • 0
    Правильно, никто же не придет в банк с претензией, что они отдали деньки сотруднику который был одет в их форму (как в случае с фишлинками)
  • 0
    Правда, сразу внедрить подобное решение банки не смогут, реализация его будет включать несколько этапов.

    Изначально ПО клиента банка, подключившегося к онлайн-сервису, будет анализироваться банком. Если программное обеспечение будет признано устаревшим, появится предложение обновиться. На данном этапе анализироваться будет версия браузера и антивирусного ПО.

    Как интересно звучит! Кстати видел статью по jquery на эту тему: https://habrahabr.ru/post/150690/
    А есть ли действительно возможность определять какой антивирус стоит у посетителя сайта? Сейчас гуглил, но решения не нашел и похоже, что этим никто не интересуется.
    • 0
      Антивирус никак не определить, в ентерпрайзе это делают установкой агента, но банкам такое не позволят.
  • 0
    Я конечно плохо знаю банковскую ит-кухню мелкобританцев, но меня заинтересовала новость с другой стороны. Вот например у на запретят подобное. Это что тогда половина банк-клиентов которые с костылями напилены под ие6. Будут не валидны?
    • +2
      И хорошо.
  • +2
    Хорошо бы ещё все организации отключились от банков с устаревшими версиями банк-клиентов, которые в XXI веке до сих пор не запускаются без IE. А то до сих пор есть такие замечательные банки, банк-клиенты которых, например, IE 5 (именно 5!) требуют…
    • 0
      Медсанчасти, казначейства органов исполнения наказаний. Казначейства областных департаментов. далее по списку. Если будет такое у нас.

      В мелкобритании вероятность не ровна нулю если будет отключен хоспис или иное социальное учреждение.
  • 0
    Ну так и не научились читать документацию. Столько лет пользуются вебом, и не знают, что это стандарт, а не платформа. Ходить и обрабатывать сайты могут каким угодно софтом. Хотите вместо веба сделать очередную джаву? Зачем трудиться, одна уже есть — возвращайтесь к ней. А ещё лучше сразу продавайте специализированное устройство для связи с банком, потому что ПК по своей сути не надежён.
  • НЛО прилетело и опубликовало эту надпись здесь
    • 0
      Двухфакторная авторизация используется для подтверждения операций. Чувствительные данные, например, можно снять напрямую с браузера.
  • 0
    Так полноценные браузеры ведь самостоятельно обновляются! А если уж заботиться о безопасности — так все ИЕ вообще запретить надо.

Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.