Quanto è sicuro l'accesso all'Internet banking tramite una libreria https?

Naviga le tue risposte
2

La mia banca non ha un'API, quindi voglio che il mio server acceda e controlli i pagamenti in entrata per notificarmi se un cliente ha pagato o meno.

Vorrei che il server eseguisse l'accesso e grattasse usando Beautifulsoup e poi disconnettesse automaticamente una volta al giorno.

Se memorizzo il mio nome utente e password sul server e non in un file e permetto solo il login SSH: sarebbe un modo abbastanza sicuro per farlo?

modifica

lasciatemi chiarire, conserverò il nome utente e la password salati e cancellati, ma la chiave di decrittazione verrà archiviata nei server memcache e nessun file è stato archiviato, quindi esporterò manualmente questa chiave in memoria su ciascun riavvio della macchina. anche l'accesso avverrà solo tramite un tasto

    
posta Dr Manhattan 06.08.2015 - 11:22
fonte

2 risposte

0

L'applicazione stessa sarebbe più sicura che puoi costruire per essere. Ci sono alcune insidie come:

  • Non considera correttamente le eccezioni SSL. Se si incontra un certificato non valido, il comportamento ovvio è quello di interrompere la connessione. Alcune librerie potrebbero accettare certificati non validi per impostazione predefinita.
  • Memorizzazione insicuri di dati dal sito web bancario
  • Utilizzo di librerie vulnerabili, come le vecchie versioni di OpenSSL

Un problema potrebbe essere la memorizzazione delle credenziali bancarie nell'app o nel server. Hai detto che li cancellerai, ma questo non può funzionare perché hai bisogno delle credenziali in chiaro per ogni connessione e l'hashing non può essere decodificato. Forse intendevi dire che memorizzi le chiavi simmetricamente criptate e le decifri manualmente ogni volta, ma ciò non è sicuro perché un utente malintenzionato può manomettere il codice di autenticazione della banca e rubare le credenziali quando l'app si autentica sulla banca. Questo non è un problema, questo significa solo che devi proteggere l'intero sistema che esegue l'app. Puoi farlo rafforzando la sicurezza del server e proteggendo le credenziali con cui accedi al server.

    
risposta data 07.08.2015 - 20:57
fonte
0

Attraverso il tuo commento, hai chiesto informazioni sulla sicurezza dell'archiviazione e del recupero delle tue credenziali in questo modo, ma anche se è abbastanza sicuro per utilizzarle dopo aver effettuato l'accesso automatico al tuo conto bancario.

Per la prima parte, devi prima valutare la sicurezza del tuo server e poiché vuoi recuperare le credenziali usando SSH, potrebbe essere necessario dare un'occhiata a come proteggere un server SSH dal sito Web AskUbuntu . Ma l'idea di hashing e salting della tua password è una cosa interessante che hai fatto, e ci sono così tante domande su questo argomento su questo sito come questo: Perché gli hash salati sono più sicuri per l'archiviazione delle password?

Per utilizzare BeautifulSoup per l'accesso automatico, è lo stesso di quando usi Mechanize , selenium o altre librerie simili perché dopo tutto si basano tutti sull'uso della classe link e come puoi leggere da quel link:

Note: HTTPS support is only available if the socket module was compiled with SSL support.

E suppongo che tu sappia come usarlo in Python, ad esempio: 

>>> import httplib
>>> connectme = httplib.HTTPSConnection("mail.yahoo.com")
>>> connectme.request("GET", "/")
>>> response = connectme.getresponse()
>>> print response.status, response.reason
200 OK
    
risposta data 06.08.2015 - 12:42
fonte

Leggi altre domande sui tag

L'hashing ricorsivo indebolisce le proprietà di un algoritmo hash crittografico? Rischi associati al cambio di provider di servizi Internet / provider di servizi di telefonia