Java-korjaus pitää Balancionin kiinni viikonlopun
Kuva: Matias Mäki
5.2.2010 14:57 Kuluseurannan verkkopalvelu Balancion on kiinni maanantaihin asti. Yhtiössä paikataan Java-sovelluksesta löytynyttä tietoturva-aukkoa.
Yksityishenkilöiden kuluseurannan palvelu Balancion on sulkenut palvelunsa maanantaihin saakka Java-sovelluksesta löytyneen tietoturvauhan vuoksi. Yhtiö rakentaa viikonlopun aikana suojauksen käyttämäänsä Java-sovellukseen.
Java-sovellus hakee Balancionin asiakkaiden tilitietoja verkkopankeista.
– On kysymys Javaan liittyvästä sisäänrakennetusta ongelmasta. Haavoittuvuus on äärimmäisen harvojen tiedossa koko maailmassa, kertoo Balancionin toimitusjohtaja Jussi Muurikainen.
Muurikaisen mukaan sovelluksesta ei ollut vaaraa, jos sitä käytettiin Balancionin palvelun kautta, mutta ulkopuolinen koneelle hyökkäävä saattaisi pystyä hyödyntämään sitä.
Yhtiö rakentaa Java-komponenttiin lisäsuojauksen, joka asentuu Balancionin palvelun käyttäjien tietokoneille automaattisesti seuraavan kerran, kun he käyttävät palvelua.
Muurikaisen mukaan vastaavaa Java-sovellusta käytetään myös kymmenien muiden yritysten palveluissa, eikä Balancionin lisäsuojaus paikkaa niitä. Kaikenkattavan suojauksen Javaan sisäänrakennettuun haavoittuvuuteen voivat tehdä vain Java-koodin kehittäjät.
Perttu Pitkänen
perttu.pitkanen@sanoma.fi
Teksti on lisensoitu Creative Commons Nimeä-Ei muutoksia-Epäkaupallinen -lisenssillä.
- Digitodayn tuoreimmat uutiset.
- 10:20 Åbo Akademi: IPhone on ensikäyttäjälle Lumiaa helpompi
- 10:00 Nokia: Laittomia mineraaleja on vaikea valvoa
- 09:20 Googlen virhe pudotti Chrome-selaimen suosiota
- 3.2. Micronin pääjohtaja menehtyi yllättäen
- 3.2. Reaktor poisti itsensä parhaiden työpaikkojen listalta
- 3.2. Kim Dotcomin pelätään karkaavan
- 3.2. Seuraava Test Drive on Ferrareita pullollaan
- 3.2. Facebook tekee graffitimaalarista multimiljonäärin
- 3.2. Elisan tulos parani yllättäen
- 3.2. Nettiadressi vaatii Applea suojelemaan työntekijöitä
- 3.2. Lehden Facebook-ennustus meni täysin pieleen
- 3.2. Stubb hehkuttaa Lumiaa, kiroaa valtion it:n
- 3.2. Hakkerit veivät tietoa VeriSignin palvelimilta
- 3.2. Google palkkasi portsarin Android Markettiin
- 3.2. Pirate Bay suojautui FBI:n iskulta
- 3.2. Nokia Lumia 900:n voi jo varata Yhdysvalloissa
- 3.2. Apple leikkasi iPhone 4S:llä yhä suuremman siivun
- 3.2. Windows Phone Apollon salat vuotivat
- 2.2. Ideakilpailun voittaja vähentää Soneran asiakkaiden ärtymystä
- 2.2. IDC: Nokia myi eniten, Samsung on jo lähellä
- Uusimmat
- 48h luetuimmat kaikista uutisista.
- 2.2. Ideakilpailun voittaja vähentää Soneran asiakkaiden ärtymystä
- 1.2. Nokian Ahtisaarta verrataan Applen pääsuunnittelijaan
- 1.2. Microsoft tarjoaa Nokia Lumia 710:n ilmaiseksi USAssa
- 3.2. Stubb hehkuttaa Lumiaa, kiroaa valtion it:n
- 3.2. Reaktor poisti itsensä parhaiden työpaikkojen listalta
- 2.2. Nasa ei löytänyt natseja kuusta
- 2.2. Applelta odotetaan "outoa" tiedotustilaisuutta
- 1.2. Nokian Lumia 800 -puhelimelle povataan menestystä
- 3.2. Windows Phone Apollon salat vuotivat
- 1.2. Uusi hcg-dieettihuijaus leviää Facebookissa
- Luetuimmat
- 48h suositelluimmat kaikista uutisista.
- 1.2. Android on yleisin vessapuhelin
- 3.2. Kim Dotcomin pelätään karkaavan
- 1.2. Painettu lämpömittari todistaa kylmäketjun toiminnan
- 3.2. Windows Phone Apollon salat vuotivat
- Suositelluimmat
- 48h kommentoiduimmat kaikista uutisista.
- 1.2. Nokian Lumia 800 -puhelimelle povataan menestystä
- 3.2. Stubb hehkuttaa Lumiaa, kiroaa valtion it:n
- 1.2. Nokian Ahtisaarta verrataan Applen pääsuunnittelijaan
- 1.2. Microsoft tarjoaa Nokia Lumia 710:n ilmaiseksi USAssa
- 1.2. Apple etsii television osia
- 2.2. Yle: Ollila uskoo kolmeen käyttöjärjestelmään
- 2.2. Applelta odotetaan "outoa" tiedotustilaisuutta
- 3.2. Windows Phone Apollon salat vuotivat
- 3.2. Apple leikkasi iPhone 4S:llä yhä suuremman siivun
- 3.2. Nokia Lumia 900:n voi jo varata Yhdysvalloissa
- Kommentoiduimmat
Uutisviikko
Mitä viikolla on tapahtunut, mikä puhuttanut eniten? Koko viikon uutiset.
Kevyt ja nopea
Oletko jo tutustunut m.digitoday.fi-mobiilisivustoon?
Uusimmat uutiset
- Hakkerit veivät tietoa VeriSignin palvelimilta 10:08
- Google palkkasi portsarin Android Markettiin 09:09
- Yhdysvaltain lääkevirastoa syytetään Gmail-vakoilusta 13:36
- Poliisi sulki suositun tiedostonjakopalvelun Ukrainassa 12:59
- Apple paikkaa Maceista yli 50 tietoturva-aukkoa 12:46
- Suomen verkkopankkeja urkitaan jatkuvasti 12:10
- Kuuluisa krakkeri jäi nalkkiin Romaniassa 00:06
- Tynkä linkki arveluttaa? Pidennä se 16:50
- Lisää
Digiyesterday
Viisi vuotta sitten
Apple irvailee mainoksissaan Microsoftin Vistalle
04.02.2007 Microsoftin kilpailija Apple hyökkää jättikampanjalla lanseerattua Vista-käyttöjärjestelmää vastaan omilla pilkkamainoksillaan.
Kolme vuotta sitten
Mersun kojelauta suoltaa Destian liikennetietoa
04.02.2009 Destia ja Mercedes-Benz lupaavat suomalaisille autoilijoille tarkkaa, ajantasaista tietoa liikenteestä ja keliolosuhteista.
Taloussanomat
- Tässä on paras lahja, jonka voit antaa lapsellesi 06:01
- Asukkaat ja hallitus vaihtuvat – talon henki pysyy 06:08
- Näin nopeasti sähkö-Nissan hyytyy pakkasessa 06:18
- Berlusconi vetäytyy politiikasta, ei aio enää pääministeriksi 10:39
- HS: Suomella ei olekaan sopimusta Kreikka-vakuudesta 09:44
- Facebookin listautumisesta Zuckerbergille jopa 1,5 miljardin verot 10:59
- Näin paljon henkivartijan palkkaaminen maksaa 15:45
- Helsingin pörssi nousi korkeimmilleen puoleen vuoteen 19:50
- Jättipankkeja epäillään salaliitosta 16:06
- Kieltoja ja rangaistuksia – näin kokouksia tehostetaan 21:08
- » Taloussanomat.fi
-
748 e
Fujitsu Lifebook P770 3G (Core i7-660UM, 4 GB, 12,1", Win 7 Professional), kannettava tietokone
-
327 e
Sony Vaio VPCSA2Z9E (Core i7-2620M, 8 GB, 13,3", Win 7 Professional), kannettava tietokone
-
184 e
HP Elitebook 8440P (Core i5-520M, 2 GB, 14", Win 7 Professional), kannettava tietokone
-
154 e
Fujitsu Celsius H910 (Core i7-2820QM, 8 GB, 17.3", Win 7 Professional), kannettava tietokone
-
121 e
Kommentit (9)
Istunnon kaappaus millä tahansa menetelmällä on huono idea, ellei kyseessä ole nimenomaan ns. crack-projekti.
Java on kuitenkin omaa luokkaansa siinä miten helppoa on reverse-engineerata jonkun toisen tekemä javakikkare ja katsoa onko siellä reiät tukittu.
Muutenkin on vaikea ymmärtää miksi Balancionin on pitänyt tehdä homma noin riskialttiilla tavalla. Osuuspankin verkkopankista voi ladata tilitiedot CSV -tiedostona jonka parsiminen onnistuu keneltä vain.
Jos tämäkin palvelu olisi toteutettu perinteisenä desktop-softana ja tallennettu tilihistoria paikallisesti mitään ongelmaa ei olisi. Softaan voisi vaikka tehdä WebKitistä oman selaimen jonka kautta pankkiyhteys hoituu ja CSV:n voisi tuolloin ladata suoraan muistiin parsittavaksi.
Jostain syystä nykyisin on äänessä arkkitehtipolvi joiden mielestä ratkaisu kaikkiin ongelmiin on pilvi. Sen jälkeen kun tämä "itsestäänselvä" valinta on tehty voidaankin polttaa sijoittajien rahoja muutama miljoona siihen että tilkitään palvelusta ehjä.
http://vierityspalkki.fi/2010/02/02/tietoyhteiskunta-odottaa-pankkeja/