芬兰最大的银行OP(前Osuuspankki)在其网站重新设计中添加了跟踪域(Adobe拥有这三个域):



登录时会加载以下域:

2o7.net
demdex.net
omtrdc.net


是否可以接受?第三方域可以在我的银行帐户活动中收集哪些信息?

评论

这些域是嵌入到实际的在线银行业务中还是仅嵌入银行的网站中,即在您输入敏感信息的页面上还是在这些页面上没有?
@SteffenUllrich:检查我的帐户活动时,会加载demdex.net,omtrdc.net以及偶尔的2o7.net。我的银行帐户余额显示在首页上。
鉴于史蒂芬的回答,希望您向银行发送(警告)警告消息吗?感谢您的询问,我会将这张支票放入待办事项清单。
几年前,另一家芬兰银行S-Pankki发生了这种情况。芬兰文,抱歉。 tivi.fi/Kaikki_uutiset/2015-02-25/…
OP代表已回应,声称没有威胁(芬兰语):tivi.fi/Kaikki_uutiset / ...

#1 楼

看起来主站点正在将来自Adobe Marketing Cloud的脚本直接嵌入到页面中。这些脚本是从与主站点相同的服务器上加载的,看起来这些脚本使用XHR与外部服务器进行通信,并根据uBlock Origin的日志从demdex.net和2o7.net下载新脚本。

尤其是在银行无法控制的情况下,从第三方加载和执行新脚本是一个巨大的安全问题。从本质上讲,这些脚本可以完全控制该网站,包括阅读您输入的内容,更改提交的内容或显示的内容等。这些实质上是跨站点脚本,只是确保它们不是偶然发生的,而银行站点的开发人员明确邀请了这些脚本。第三方进行跨站点脚本编写。

虽然在没有输入敏感信息的站点上接受第三方服务的使用是可以接受的,但无论何时传输敏感信息或意外地使用敏感信息,绝对不能接受网站内容的更改(例如显示不同的帐户余额),并可能导致访问者进行不必要的操作。

评论

@CC .:是的,Adobe可以交付将当前页面的任意内容(包括帐户详细信息)提交给想要的任何人的脚本。

–大卫·福斯特(David Foerster)
17年7月30日在21:13


有一些机制可以对第三方脚本进行完整性检查,以确保它们是主站点开发人员所期望的。 (w3.org/TR/SRI)因此,可以安全地完成此操作。

–加里
17年7月31日在0:34
@哈珀。来自站点的请求第三方脚本的代码具有针对所得脚本的校验和。浏览器本身会在运行文件之前验证返回的文件是否具有银行开发人员期望的校验和。

–加里
17年7月31日在4:18
是否也不要信任Adobe等第三方供应商的业务决策?也许银行认为在页面上包含Adobe脚本不会损害其安全性和合规性?

– gn
17年7月31日在9:05
@BaileyS:问题在于银行无法控制第三方。即使它相信第三方不打算造成伤害,它也无法控制第三方的安全性,因此,如果第三方被黑客入侵并提供不同的内容,它将受到影响。因此,业务决策不仅取决于它是否信任Adobe的意图,还取决于是否信任Adobe来完全保护其基础架构。这可能不是一个好主意。

– Steffen Ullrich
17年7月31日在9:19


#2 楼

银行场所几乎是单块的。银行在整体解决方案中通常依赖于数十甚至数百个第三方系统。您可能有一个供应商提供的银行托管服务商,另外两个或三个供应商提供的信用卡解决方案,另一个供应商提供的登录解决方案,另一个供应商提供的付款解决方案。将这些站点组合在一起的工作非常艰巨。

银行站点在前端也需要第三方的参与也并不罕见。范围可能从仅用于呈现日历控件的第三方库到提供用户行为分析和风险决策的系统。这些供应商中有许多通过内容分发网络(CDN)提供脚本和内容,这意味着文件可能来自第三方域。

这危险吗?有可能。如果第三方资源未通过子资源完整性进行验证,则黑客(通过中间人)甚至第三方本身(例如恶意员工)都可能对其进行修改。因此,任何在线银行实施都将自己托管内容(即,将第三方文件复制并粘贴到其自己的Web服务器上),或者在某些情况下,通过integrity节点或script节点的link属性来表示带有加密哈希的内容引用外部文件。在其他情况下,它们将链接到CDN,但会在SRI检查失败的情况下向本地文件提供回退行为(请参阅此StackOverflow问题)。


我应该担心跟踪吗银行网站上的域名?


请务必注意,在欧盟,欺诈性交易的费用由该机构承担。因此,在线银行安全的主要任务是保护银行,而不是您自己。

无论采用哪种架构OP,都可以肯定它通过了几层风险评估和审查,并且决定使用CDN来提供某些内容并不是一件容易的事。他们可能已经正确实施了该协议,并使用了一些SRI手段。您仍然可以担心,但担心应该最小化。

评论

诚然,欺诈责任应由机构承担,但在他们接受自己的错之前,要处理仍然有些麻烦。在我的书中,绝对值得避免。我不会在银行的网站上启用脚本,当然也不会在第三方网站上启用脚本!

– Toby Speight
17年8月1日在15:31
欺诈的成本确实由银行承担(除非您严重疏忽大意)。但好运说服银行,不是您在登录时通过计算机进行了正确身份验证的交易。

– David Richerby
17年8月1日在21:13
提及(SRI)子资源完整性为+1。对于那些不知道SRI验证第三方代码的哈希与期望值匹配的人。只要他们使用它,那么在没有导致SRI检查失败的情况下,第三方确实不会做任何恶意的事情。但是SRI是相对较新的,IE或Edge不支持SRI,因此他们可能没有使用它。您还必须使用Firefox的Chrome才能获得此额外的安全保护。

– wp-overwatch.com
17年8月3日在6:37
即使第三方不进行恶意交易,他们也可能有权访问数据。

– JKAbrams
17年8月14日在16:51

#3 楼

机会很小,但这可能是真正的威胁。最近(2017年4月),发现大型波兰银行之一(mBank)上的跟踪脚本(Gemius)与其他(标准)跟踪数据一起发送账户余额。预期的效果可能是捕获了导航(页面标题/部分),因此泄漏本身可能是偶然的。

评论

需要引用

– A. Hersean
17年8月1日在11:33
我不知道任何英语来源。最初的发现发布在:zaufanatrzeciastrona.pl/post/…。其中包含对第3方服务器的示例请求,以及声称这是偶然的银行响应。这样的请求不再发生。

–user158037
17年8月1日在13:42