Защита банков?
Случайно нашел интересную вещь – работа с банком по системе Internet-банк.
Зашел на https://ibank.aval.ua/internet-banking_ru.html и увидел, что эта технология реализована Java-аплетом. Неужели это настолько надежно, что банки готовы рискнуть своими капиталами и пользуются этой защитой?
Почему, интересно, они не используют проверенный HTTPS через браузер?
Джава апплет — значительно безопаснее, чем просто HTTPS через браузер (что конечно проверено, но проверку не очень прошло: атаки против таких систем — самое прибыльное сетевое приступление). Просто не у всех RJE установлен и от этого банки теряют клиентов. Это единственная причина того, что они еще не все перешли на апплеты.
Дело в том, что с помощю апплета реализуется любой криптографический протокол, а по HTTPS просто передаются данные. Использование клиентского сертификата значительно улучшил бы безопасность HTTPS, но к сожалению интерфейс для этого не унифицирован: в Netscape/Mozilla он один (красивый, удобный) в IE другой (менее продуманый). А так как большинство браузеров — IE, это вариант тоже не слишком распостранен.