I siti bancari sono difficilmente monolitici. Una banca di solito si affida a dozzine o addirittura a centinaia di sistemi di terze parti nella loro soluzione globale. Potresti avere un host bancario fornito da un venditore, una soluzione di carta di credito da due o tre fornitori, una soluzione di registrazione fornita da un'altra, pagamenti da un'altra. Il lavoro per mettere insieme questi siti è enorme.
Non è affatto insolito che i siti bancari coinvolgano terze parti anche sul front-end. Ciò potrebbe variare dalle librerie di terze parti solo per rendere un controllo del calendario ai sistemi che forniscono analisi del comportamento degli utenti e decisioni sui rischi. Molti di questi fornitori offrono script e contenuti tramite reti di distribuzione dei contenuti (CDN), il che significa che i file potrebbero provenire da un dominio di terze parti.
È pericoloso? Può essere. Se le risorse di terze parti non sono verificate tramite integrità del subresource , potrebbero essere modificate dagli hacker (tramite Man-in-the-middle) o anche la terza parte stessa (ad es. dipendente malintenzionato). Quindi qualsiasi implementazione bancaria online ospiterà i contenuti stessi (ad esempio copia e incolla i file di terze parti sul proprio server web) o in alcuni casi consegnerà il contenuto con un hash crittografico, notificato tramite l'attributo integrity
di script
nodo o link
nodo che fa riferimento al file esterno. In altri casi, si collegheranno al CDN ma forniranno un comportamento di fallback ad un file locale (si veda questa domanda StackOverflow ) nel caso in cui il controllo SRI fallisca.
Should I be worried of tracking domains on a banking website?
È importante notare che nell'UE il il costo delle transazioni fraudolente è a carico dell'istituzione . La sicurezza bancaria online, quindi, ha la missione primaria di proteggere la banca, non tu.
Qualunque sia l'OP dell'architettura, si può essere certi che ha superato diversi livelli di valutazione e revisione del rischio e la decisione di utilizzare un CDN per pubblicare alcuni contenuti non è stata presa alla leggera. È probabile che lo abbiano implementato correttamente e stiano usando alcuni metodi di SRI. Puoi ancora preoccuparti, ma la preoccupazione dovrebbe essere minima.