|
S-Pankki kertoo Googlelle verkkopankkikäynnistäsi, kiistää tietoturvaongelman
|
|
Viestiketjuun kuuluvat käyttäjäkommentit liittyvät tähän uutiseen:
uutinen julkaistu: 24 helmikuuta, 2015
Googlella on yksi verkon suosituimmista verkkosivustojen analytiikkasovelluksista, joka ei varmasti yllätä. Yksinkertaisen koodin avulla verkkosivustot luovuttavat datan Googlen käsiteltäväksi, mutta onko S-Pankki mennyt liian pitkälle verkkopankkinsa kanssa?
Verkkosivustot käyttävät Google Analytics -nimistä työkalua tallentamaan tietoa käyttäjistään ja niiden käyttäytymisestä. Tiedon ... [ lue koko uutinen ]
Lue uutisartikkeli kokonaisuudessaan ennen kuin kommentoit aihetta.
|
Member
12 tuotearviota
|
24. helmikuuta 2015 @ 22:38 |
Linkki tähän viestiin
|
|
Käytän Chromea, niin... kai google tietää musta enemmän ku minä itse :D
|
AfterDawn Addict
23 tuotearviota
|
24. helmikuuta 2015 @ 23:12 |
Linkki tähän viestiin
|
|
Enpä luottaisi muutenkaan "pankkiin", joka on syntynyt duopoliasemassa olevan kauppaketjun bonusjärjestelmästä. Käytännössä kaikki asiakkaan tiedot ovat kauppaketjun saatavilla ostokäyttäytymisestä ja palkkatiedoista lähtien.
|
Member
3 tuotearviota
|
25. helmikuuta 2015 @ 00:07 |
Linkki tähän viestiin
|
Lainaus, alkuperäisen viestin kirjoitti arcanix:
Enpä luottaisi muutenkaan "pankkiin", joka on syntynyt duopoliasemassa olevan kauppaketjun bonusjärjestelmästä. Käytännössä kaikki asiakkaan tiedot ovat kauppaketjun saatavilla ostokäyttäytymisestä ja palkkatiedoista lähtien.
Niin, siis mikä ongelma tässä on takana? Nykyisellään S-Pankki tarjoaa kyllä pankeista parhaat palvelut, kun muut supistavat toimipisteverkostoaan niin S-Pankin palvelupisteissä on joka Prismassa, lähes joka Sokoksessa ja joissakin S-marketeissa. Lisäksi käteisnostot ja -panot onnistuvat kaikissa S-ryhmän kaupoissa.
|
|
Lumikki
Senior Member
|
25. helmikuuta 2015 @ 00:32 |
Linkki tähän viestiin
|
Lainaus:
Niin, siis mikä ongelma tässä on takana?
Kyse ei ole palvelun hyvyydestä tai palvelupisteistä, vaan yksityisyydestä ja luotettavuudesta. Nämä on kaksi täysin eri asiaa.
Kyse on siis siitä että luottaako pankkiin kun asioi sen kanssa eli että se yksityinen asia jää yksityiseksi. Ilmeisesti web-palvelujen ostalta tätä luottamusta ei ole. Koska pankki katsoo että heidän markkinoinnin kehittämistarpeensa on tärkeämpää heille kuin heidän asiakkaiden luottamuksen säilyttäminen pankin toimintaan. Todella tyypillinen nykypäivän yritys, eli laittaa omat tarpeensa asiakkaiden tarpeiden edelle.
Tämä ongelma alkaa olla paljon suurempi kuin joku pankki, ainakin minulla henkilökohtaisesti alkaa karista luottamus moneen muuhunkin yhteiskunnassa tärkeään palveluun jossa on yksityistä tietoa. Kun tietää kuinka huonosti on asiat niin luottamus häviää. Vain tietämätön voi olla luottavainen, omaa tietämättömyyttään.
Sinänsä minusta koko uutinen on lähinnä huvittava kun lähes joka paikassa tapahtuu samaa, tälläkin Afterdawn sivustolla käytetään ihan samoja Googlen seuranta palveluita. Onneksi ne Googlen seuranta palvelut on erittäin helppo blockata kokonaan pois.
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 25. helmikuuta 2015 @ 10:39
|
Admin
9 tuotearviota
|
25. helmikuuta 2015 @ 09:28 |
Linkki tähän viestiin
|
Lainaus, alkuperäisen viestin kirjoitti Lumikki:
Sinänsä minusta koko uutinen on lähinnä huvittava kun lähes joka paikassa tapahtuu samaa, tälläkin Afterdwan sivustolla käytetään ihan samoja Googlen seuranta palveluita. Onneksi ne Googlen seuranta palvelut on erittäin helppo blockata kokonaan pois.
Tärkein ero tässä on siinä, että esimerkiksi AfterDawn on mainosrahoitteinen palvelu, jossa kävijäluvut ovat yksi "tuote". Verkkopankissa ainakaan kolmannen osapuolen suorittamaan kävijäseurantaan ei ole perusteita.
Googlen palvelimelta ladattavalla Javascriptillä on pääsy kaikkeen verkkopankin sivuilla näkyvään tietoon. Halutessaan Google (tai joku, jolla on pääsy Googlen analytics.js -scriptiin) voisi muuttaa seurantaa siten, että selaimen perustietojen lisäksi sivuilta poimittaisi esim. asiakkaan nimi ja tilin saldo. Mutta jo nykyinen seuranta kertoo Googlen suuntaan esimerkiksi tapahtumatunnuksia.
|
Admin
9 tuotearviota
|
25. helmikuuta 2015 @ 10:45 |
Linkki tähän viestiin
|
Lainaus, alkuperäisen viestin kirjoitti user@org:
Kuinka yleisesti selaimet nykyään päästää esim tuossa S-pankin toteutuksessa ? Oletan että puhutaan salatusta yhteydestä S-pankkiin ja ainakin joskus oli selaimia jotka eri palvelimilta ladattua koodia eivät päästäneet käpisteleen silloin toisiaan.
Salatulle sivulle ei voi ladata scriptejä ei-salatusta lähteestä (ainakaan ilman varoituksia), mutta scripteillä on kyllä pääsy koko DOM:iin. Ainakin näin on ollut.
Lainaus, alkuperäisen viestin kirjoitti user@org:
Missä osassa niitä Googlen palvelimien scriptejä oli, nyt ei taida olla kirjautumisen jälkeen kuin S-pankin omilta palvelimilta tulevaa, itse kirjautumis sivulla kyllä kamaa monelta palvelimelta.
Analytics.js ladattiin ihan verkkopankin sisällä olevilla sivuilla, eli https://online.s-pankki.fi/ebank/ alkuisilla sivuilla.
|
|
Lumikki
Senior Member
|
25. helmikuuta 2015 @ 11:00 |
Linkki tähän viestiin
|
Lainaus:
No missään tapauksessa turvallisuus ei saa nojautua selaimeen.
Samaa mieltä ja sen lisäksi web-sivut eivät saisi sisältää 3-osapuolelta ladattavia aktiivisia osia. Koska tällöin ne eivät ole missään mielessä turvallisia, koska 3-osapuoli voi muuttaa turvallisuutteen liittyvän tilanteen täysin palvelun tietämättä.
On täysin käsittämätöntä kuinka välinpitämättömiä web-palveluiden tekijät ovat tietoturva asioissa. Helppous ja halpuus menee usein ohi turvallisuuden. Samat asiat voisi toteuttaa turvallisesti myös itse.
|
Admin
9 tuotearviota
|
25. helmikuuta 2015 @ 11:39 |
Linkki tähän viestiin
|
Lainaus, alkuperäisen viestin kirjoitti user_org:
Kiitos lisätiedosta. S-pankin sivuilla näyttää olevan tiedote (25.2) että ovat poistaneet ns verkkopankinpuolelta.
Reagoivat tosiaan palautteeseen, ja kirjoittelinkin tuosta uutista noin tunti sitten http://fin.afterdawn.com/uutiset/artikk...oogle-seurannan
Lainaus, alkuperäisen viestin kirjoitti Lumikki:
Lainaus:
No missään tapauksessa turvallisuus ei saa nojautua selaimeen.
Samaa mieltä ja sen lisäksi web-sivut eivät saisi sisältää 3-osapuolelta ladattavia aktiivisia osia. Koska tällöin ne eivät ole missään mielessä turvallisia, koska 3-osapuoli voi muuttaa turvallisuutteen liittyvän tilanteen täysin palvelun tietämättä.
On täysin käsittämätöntä kuinka välinpitämättömiä web-palveluiden tekijät ovat tietoturva asioissa. Helppous ja halpuus menee usein ohi turvallisuuden. Samat asiat voisi toteuttaa turvallisesti myös itse.
En voi muiden puolesta puhua, mutta ainakaan AfterDawnin tapauksessa kyse ei ole välinpitämättömyydestä sekä käytännön pakosta että optimoinnista. Rahoitamme toimintaamme mainosmyynnillä, joten mainosten näyttäminen kolmansien osapuolien palveluiden kautta on välttämätöntä. Mikäli olisimme riittävän iso toimija, voisimme toki rakentaa oman mainonnanhallintajärjestelmän ja tarjota mainokset sitä kautta, mutta en äkkiseltään keksi (edes maailmalta) yhtään esimerkkiä tällaisesta toiminnasta.
Mainosten lisäksi myös joitain Javascript-kirjastoja ja käyttölaskentaa ladataan ulkopuolisilta palvelimilta.
Lainaus, alkuperäisen viestin kirjoitti user@org:
Oma lukunsa sitten ne sivut joissa annetaan ulkopuolisen suht vapaasti upottaa sisältöä. esim. Afterdawn uutissivuille on voinut ulkopuolinen lisätä omaa vieraan palvelimen sisältöä, yksinkertaisesti vain upottamalla kommentiin haluamansa. (en tiedä voiko enään)
XSS-aukkoja on korjattu aktiivisesti (ja pro-aktiivisesti), eikä niitä pitäisi sivuilta löytyä. Jos löytyy, korjaamme ne välittömästi. Mahdollisista ongelmista tai epäilyistä voi aina ilmoittaa meille palautteella tai vaikka pingaamalla suoraan minua tai Petteriä Twitterissä (@ketola, @pyyny).
|
Admin
9 tuotearviota
|
25. helmikuuta 2015 @ 13:22 |
Linkki tähän viestiin
|
Lainaus, alkuperäisen viestin kirjoitti user_org:
Ei tuosta pääse irti ilman lainsäätäjän apua, mutta voisi edes julkisenpuolen palvelut siivota sivunsa ulkopuolisesta. Joissain maissa taitaa olla osittain kielletty esim FBn omat tykkää napit.
Tykkää-napeilla (kuten myös Twitterin ja muiden vastaavien palveluiden napeilla) FB ja muut palvelut saavat todellakin kerättyä varsin kattavasti tietoa siitä, mitä käyttäjät (etenkin Facebookiin kirjautuneet käyttäjät) netissä lueskelevat.
Lainaus, alkuperäisen viestin kirjoitti Ketola:
XSS-aukkoja on korjattu aktiivisesti (ja pro-aktiivisesti), eikä niitä pitäisi sivuilta löytyä. Jos löytyy, korjaamme ne välittömästi.
En tarkoittanut aukkoja, vaan sitä että kommenteihin on voinut upottaa vierastasisältöä, jonka sitten lukijan selain oletuksena latasi.
Kuvia pystyy kommentteihin lisäämään, joten sitä kautta seurantaa voisi tosiaankin tehdä. Vaihtoehtoisesti kuvien lisäämisen voisi toteuttaa siten, että kaikki kuvat lähetetään erikseen meille näytettäväksi. Pidän nykyistä toteutustapaa kuitenkin ihan toimivana, vaikka sitä harvoin käytetäänkin. Tuskin kovin moni jäisi kuvien upottamista kaipaamaan vaikka toiminto poistettaisiinkin.
|
|
Lumikki
Senior Member
|
25. helmikuuta 2015 @ 13:49 |
Linkki tähän viestiin
|
|
Ilmeisesti kommenttini Afterdawnista johti asian pikkuisen raiteiltaan. Täällä Afterdawnissa nyt ei ole pahemmin mitään yksityistä asiaa tai ainakaan itse en sellaista keksi. Koska suurin osa asioista on julkisia ja yksityiseksi taitaa jäädä vain ainoat pakolliset asiat asia eli sähköpostiosoite ja salasana. Eikä se nyt ole mikään iso riski. Mitä tulee perusteluihin ja prioriteettihin niin mielipiteitä on monia, kyse on ihan siitä miten haluaa katsoa asioita.
Tarkoitukseni on sanoa että yleinen huolimattomuus näissä web-palvelu asioissa alkaa vaarantaa jo yksityisyyden ja luottamuksen osalta tärkeitäkin palveluja. Esimerkiksi, pankit, terveyspalvelut, kela, työvoimapalvelut, västörekisterit, verotoimistot, postit jne... Kun yritykset, kunnat ja valtiot siirtää palveluitaan halvempiin internet pohjaisiin sähköisiin ratkaisuihin niin samalla vaarannetaan kansalaisten yksityisyyden turvallisuus todella pahasti. Se kiva internet pohjainen web-käyttöliittymä siihen asioiden hoitoon on ihan helvetin iso riski tietoturvan osalta. Kun vertaa suljettuun asiaan, jonka asioimiseen vaaditaan fyysinen käynti palvelussa. Koska kyse on myös pääsystä yrittämään murtautumista ei pelkästään siitä kuinka suojaus on tehty.
En tarkoita että edistystä asioiden hoitoon ei saisi tapahtua niille jotka sitä haluavat ja ovat valmiita ottamaan riskin, mutta...
Yksi todella iso ongelma vielä näissä asioissa on että se tehdään ilman sen asiakkaan (kansalaisen) lupaa eli hänen tietonsa vaarannetaan pelkästään sen yrityksen, kunnan tai valtion omista haluista johtuen. Kansalainen joka ei edes käytä noita web-palveluita ei voi sanoa asialle ei, koska ne tiedot on siellä internet yhteydellisessä järjestelmässä joka tapauksessa. Aina siis ei riitä pelkästään se että ei käytä web-palvelua takaamaan yksityisyysturvaa. Tai jos pystyy suojaamaan itseään kuten tässä pankki tapauksessa olematta käyttämättä palvelua niin näistä tietoturvan rikkovista asioista ei aina edes kerrota sille asiakkaalle, koska se palvelun tarjoajat ei edes miellä asiaa asiakkaan luottamuksen rikkomiseksi. Usein kaikki tietoturvan vaarantavat asiat paljastuu myöhemmin sille asiakkaalle, kun se vahinko on jo tapahtunut. Puhumattakaan että tietoturvan rikkeen kohteeksi joutunut taho ei edes tahdo julkistaa asiaa asiakkailleen vaan yrittää usein pitää sen salassa.
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 25. helmikuuta 2015 @ 14:08
|
|
Lumikki
Senior Member
|
25. helmikuuta 2015 @ 14:52 |
Linkki tähän viestiin
|
Lainaus:
Kirjautuessa esim. henkilötietoja ?
Ei tälläisiin palveluihin tarvitse laittaa oikeita tietoja.
|
Admin
9 tuotearviota
|
25. helmikuuta 2015 @ 14:57 |
Linkki tähän viestiin
|
Lainaus, alkuperäisen viestin kirjoitti Lumikki:
Ilmeisesti kommenttini Afterdawnista johti asian pikkuisen raiteiltaan.
Ei suinkaan. Ihan hyvä on käydä keskustelua myös aD:ta tarkastellen, vaikkei se uutisen aiheena ollutkaan.
Lainaus, alkuperäisen viestin kirjoitti Lumikki:
Tarkoitukseni on sanoa että yleinen huolimattomuus näissä web-palvelu asioissa alkaa vaarantaa jo yksityisyyden ja luottamuksen osalta tärkeitäkin palveluja. Esimerkiksi, pankit, terveyspalvelut, kela, työvoimapalvelut, västörekisterit, verotoimistot jne... Kun yritykset, kunnat ja valtiot siirtää palveluitaan halvempiin internet pohjaisiin ratkaisuihin niin samalla vaarannetaan kansalaisten yksityisyyden turvallisuus todella pahasti.
Tämä on hyvin totta. Pinnan alla oleviin ongelmiin on lähes mahdotonta yksilön puuttua, joten on mielestäni tärkeää, että epäkohtiin, myös pieniin, puututaan kun sellaisia havaitaan. Vain näin saadaan asioista päättävien ja niistä vastaavien tietoon se, että tietoturvasta ollaan aidosti kiinnostuneita ja huolestuneita.
|
|
Mainos
|
|
|
|
mareta
Newbie
|
25. helmikuuta 2015 @ 20:17 |
Linkki tähän viestiin
|
tapiola pankin sivuilla on kanssa Google Analytics työkalu kun olet kirjautunut pankkiin.olen ollut yhteydessä pankkiin tässä vastaus.
"LähiTapiola käyttää Google Analyticsia anonyymiin kävijäseurantaan. Kävijäseurannalla pyrimme parantamaan palvelumme käytettävyyttä. Emme vie yksittäisen kuluttajan tunnistettavia tietoja kävijäseurantaan, vaan pidämme sen täysin anonyymina selaintietona. Käyttäjää ei voida tunnistaa pelkkien evästeiden tai muiden tekniikoiden avulla.
Google Analytics seuranta on kirjautuneiden palvelun etusivulla. Seuranta on siellä palvelujen kehittämisen takia. Palvelun ensimmäinen sivu on erillinen sovellus, ei pankin sivu tai sovellus. Millään muulla kirjautuneiden palvelun sivulla ei ole seurantaa, ei pankin puolella eikä vakuutuspuolella.
Voit estää seurannan muokkaamalla selaimestanne evästeiden käyttöä. Palvelumme käyttö onnistuu kuitenkin parhaiten, jos evästeet ovat sallittuja, joten emme voi suositella tätä. Jos haluat estää kävijäseurannan sekä verkkomainonnan kohdentamisen, niin voit tehdä sen täällä: http://www.youronlinechoices.com/fi/omat-mainokset valitsemalla kohdasta Google kohdan ?Kielletty.? Sivustolla tarjotaan paljon tietoa myös liittyen mainontaan sekä evästeiden käyttöön."
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 25. helmikuuta 2015 @ 20:27
|
