web-dev-qa-db-fra.com

Dois-je m'inquiéter du suivi des domaines sur un site Web bancaire?

La plus grande banque de Finlande OP (ancien Osuuspankki) a ajouté des domaines de suivi (tous trois détenus par Adobe) dans la refonte de leur site Web:

uBlock Origin on uusi.op.fi

Ces domaines sont chargés lorsqu'ils sont connectés :

2o7.net
demdex.net
omtrdc.net

Est-ce considéré comme acceptable? Quelles informations les domaines tiers peuvent-ils collecter sur l'activité de mon compte bancaire?

126
user598527

Il semble que le site principal incorpore le script d'Adobe Marketing Cloud directement dans la page. Bien que ces scripts soient chargés à partir du même serveur que le site principal, il semble que ces scripts communiquent avec des serveurs externes à l'aide de XHR et téléchargent également de nouveaux scripts à partir de demdex.net et 2o7.net selon les journaux de uBlock Origin.

Surtout le le chargement et l'exécution de nouveaux scripts à partir d'un tiers hors du contrôle de votre banque est un énorme problème de sécurité. Essentiellement, ces scripts peuvent obtenir un contrôle total sur le site Web, y compris lire ce que vous entrez, modifier le contenu soumis ou affiché etc. Ce sont essentiellement des scripts intersites, seulement qu'ils ne se sont pas produits par accident, mais les développeurs du site bancaire a explicitement invité ces tiers à effectuer des scripts intersites.

Bien qu'une telle utilisation de services tiers puisse être acceptable sur un site où aucune information sensible n'est entrée, elle n'est absolument pas acceptable chaque fois que des informations sensibles sont transférées ou lorsqu'elles changent de manière inattendue au contenu d'un site Web (comme montrer un solde de compte différent) et pourrait provoquer des actions indésirables de la part du visiteur.

158
Steffen Ullrich

Les sites bancaires ne sont guère monolithiques. Une banque s'appuie généralement sur des dizaines voire des centaines de systèmes tiers dans sa solution globale. Vous pouvez avoir un hôte bancaire fourni par un fournisseur, une solution de carte de crédit de deux ou trois autres fournisseurs, une solution de connexion fournie par un autre, des paiements par un autre. Le travail de mise en place de ces sites est énorme.

Il n'est pas du tout rare que les sites bancaires impliquent également des tiers en amont. Cela peut aller des bibliothèques tierces juste pour rendre un contrôle de calendrier aux systèmes qui fournissent des analyses de comportement des utilisateurs et des décisions de risque. Beaucoup de ces fournisseurs proposent des scripts et du contenu via des réseaux de distribution de contenu (CDN), ce qui signifie que les fichiers peuvent provenir d'un domaine tiers.

Est-ce dangereux? Ça peut être. Si les ressources tierces ne sont pas vérifiées via intégrité de la sous-ressource , elles pourraient être modifiées par des pirates (via Man-in-the-middle) ou même par le tiers lui-même (par exemple, un employé malveillant). Ainsi, toute mise en œuvre de services bancaires en ligne hébergera le contenu lui-même (c'est-à-dire copier et coller les fichiers tiers sur son propre serveur Web) ou, dans certains cas, livrer le contenu avec un hachage cryptographique, noté via l'attribut integrity du script node ou link node qui fait référence au fichier externe. Dans d'autres cas encore, ils se lieront au CDN mais fourniront un comportement de secours à un fichier local (voir cette question StackOverflow ) en cas d'échec de la vérification SRI.

Dois-je m'inquiéter du suivi des domaines sur un site Web bancaire?

Il est important de noter que dans l'UE, le coût des transactions frauduleuses est supporté par l'institution . La sécurité bancaire en ligne a donc pour mission principale de protéger la banque, pas vous.

Quelle que soit l'architecture du PO, vous pouvez être certain qu'il a passé plusieurs couches d'évaluation et d'examen des risques et la décision d'utiliser un CDN pour servir du contenu n'a pas été prise à la légère. Il y a de fortes chances qu'ils l'aient correctement implémenté et utilisent certains moyens de SRI. Vous pouvez toujours vous inquiéter, mais l'inquiétude devrait être minime.

16
John Wu

Les chances sont faibles mais cela pourrait être une réelle menace. Récemment (avril 2017), il a été découvert que des scripts de suivi (Gemius) sur l'une des grandes banques polonaises (mBank) envoyaient le solde du compte avec d'autres données de suivi (standard). L'effet recherché était probablement la capture de la navigation (titres de page/section), donc la fuite elle-même pourrait être accidentelle.

4
user158037