La più grande banca finlandese OP (ex Osuuspankki) ha aggiunto i domini di monitoraggio (tutti e tre di proprietà di Adobe) nella riprogettazione del loro sito Web:
Questi domini vengono caricati dopo l'accesso :
2o7.net
demdex.net
omtrdc.net
Questo è considerato accettabile? Quali informazioni possono raccogliere i domini di terze parti sull'attività del mio conto bancario?
Sembra che il sito principale sia lo script di incorporamento di Adobe Marketing Cloud direttamente nella pagina. Mentre questi script vengono caricati dallo stesso server del sito principale, sembra che questi script comunichino con server esterni utilizzando XHR e scarichino anche nuovi script da demdex.net e 2o7.net in base ai log di uBlock Origin.
Soprattutto il caricamento ed esecuzione di nuovi script da terze parti fuori dal controllo della tua banca è un enorme problema di sicurezza . Essenzialmente questi script possono avere il pieno controllo del sito web, tra cui leggere ciò che si inserisce, modificare i contenuti inviati o visualizzati ecc. Questi sono essenzialmente script cross-site, solo che non accadono per caso ma gli sviluppatori del sito bancario ha invitato esplicitamente queste terze parti a fare lo scripting cross-site.
Sebbene tale uso di servizi di terze parti possa essere accettabile in un sito in cui non sono inserite informazioni sensibili, non è assolutamente accettabile ogni volta che vengono trasferite informazioni sensibili o modifiche inattese al contenuto di un sito web (come mostrare un diverso saldo del conto) e potrebbe causare azioni indesiderate dal visitatore.
I siti bancari sono difficilmente monolitici. Una banca di solito si affida a dozzine o addirittura a centinaia di sistemi di terze parti nella loro soluzione globale. Potresti avere un host bancario fornito da un venditore, una soluzione di carta di credito da due o tre fornitori, una soluzione di registrazione fornita da un'altra, pagamenti da un'altra. Il lavoro per mettere insieme questi siti è enorme.
Non è affatto insolito che i siti bancari coinvolgano terze parti anche sul front-end. Ciò potrebbe variare dalle librerie di terze parti solo per rendere un controllo del calendario ai sistemi che forniscono analisi del comportamento degli utenti e decisioni sui rischi. Molti di questi fornitori offrono script e contenuti tramite reti di distribuzione dei contenuti (CDN), il che significa che i file potrebbero provenire da un dominio di terze parti.
È pericoloso? Può essere. Se le risorse di terze parti non sono verificate tramite integrità del subresource , potrebbero essere modificate dagli hacker (tramite Man-in-the-middle) o anche la terza parte stessa (ad es. dipendente malintenzionato). Quindi qualsiasi implementazione bancaria online ospiterà i contenuti stessi (ad esempio copia e incolla i file di terze parti sul proprio server web) o in alcuni casi consegnerà il contenuto con un hash crittografico, notificato tramite l'attributo integrity di script nodo o link nodo che fa riferimento al file esterno. In altri casi, si collegheranno al CDN ma forniranno un comportamento di fallback ad un file locale (si veda questa domanda StackOverflow ) nel caso in cui il controllo SRI fallisca.
Should I be worried of tracking domains on a banking website?
È importante notare che nell'UE il il costo delle transazioni fraudolente è a carico dell'istituzione . La sicurezza bancaria online, quindi, ha la missione primaria di proteggere la banca, non tu.
Qualunque sia l'OP dell'architettura, si può essere certi che ha superato diversi livelli di valutazione e revisione del rischio e la decisione di utilizzare un CDN per pubblicare alcuni contenuti non è stata presa alla leggera. È probabile che lo abbiano implementato correttamente e stiano usando alcuni metodi di SRI. Puoi ancora preoccuparti, ma la preoccupazione dovrebbe essere minima.
La possibilità è bassa ma potrebbe essere una vera minaccia. Recentemente (aprile 2017) è stato scoperto che gli script di tracciamento (Gemius) su una delle grandi banche polacche (mBank) inviavano il saldo del conto insieme ad altri dati di tracciamento (standard). L'effetto desiderato probabilmente stava catturando la navigazione (titoli di pagina / sezione), quindi la perdita stessa potrebbe essere accidentale.