Web security

Question

Cześć.

Przy robieniu przelewu z ciekawości zobaczyłem co jest w consoli w banku. I tak z ciekawości sprawdziłem kilka banków i kilka wykorzystuje TLS1.2 a czemu nie TLS1.3 ? Przecież TLS1.2 to przeżytek i w sumie to jest zawsze jakaś podatność. Z góry dziękuje za objaśnienie tej zawiłości.

Comments

Szczerze to nie mam pojęcia, ale nie zdziwiłbym się, gdyby banki używały wielu starych technologii. Powód jest bardzo prosty, każda zmiana niesie ze sobą pewne ryzyko, szczególnie w tak wrażliwej branży jak bankowość, dlatego póki coś działa i spełnia swoją rolę bezpieczniej, aby nie było zmieniane.

Answer 1

Pracowałem przy wytwarzaniu oprogramowania dla sektora bankowego i tam na prawdę nie ma parcia na nowe rzeczy tylko na stare ale stabilne. 

Answer 2

TLS 1.3 według wiki został zdefiniowany (zdefiniowany, co nie znaczy zaimplementowany bez żadnych usterek) w 2018 roku i to w sierpniu - nie minęło nawet 2 lata. To nie jest takie hip hop żeby zmienić coś tak kluczowego. Zmiana tego po stronie backendu wymaga za pewne sporo czasu (testy, naprawy, retesty i tak dalej, być może sam proces podejmowania decyzji o takiej zmianie może trwać bardzo długo (czytaj miesiące), im większe korpo tym dłużej). Potem na pewno coś przestanie działać po stronie frontend-u i znowu naprawa, testy, retesty itd. Dochodzą jeszcze aplikacje mobilne.