|
@Terceiro, se encontrar uma banco assim, nos avise! Aqui o warsaw
não funcionou em um firefox instalado manualmente. No iceweasel e
chromium funcionou (foram abertos depois do warsaw ser instalado). Att, Tobias GPG key ID: EFFF66F7 On 07-10-2015 10:38, Antonio Terceiro wrote: > On Wed, Oct 07, 2015 at 03:38:50AM +0200, G.Paulo wrote: >> >> Mais uma do Banco Itau: para utilizar o internet banking agora tive >> que instalar um tal de warsaw (dpkg -i warsaw_setup_64.deb), baixado >> do site do banco. Naturalmente, como root. > > Eu também passei por isso esses dias. Eu abri o pacote pra destrinchar, > e notei algumas coisas: > > - tem um bug ridículo no control, usando Pre-Depends: para as > dependências, quando bastaria usar Depends:. Isso faz com que por > exemplo o apt não consegue resolver as dependencias, então você tem > que voltar pra década de 90 e resolver dependências na mão, instalando > tudo que o dpkg diz que falta até funcionar. > > - os script de mantenedor (postinst, etc), que rodam como root, são > shell scripts e podem ser auditados. Numa lida rápida, eles me parecem > OK. > > - depois de instalado, fica um daemon, contido num arquivo binário (i.e. > que não pode ser auditado), rodando como root na sua máquina. Deixei > um tcpdump rodando e notei que de tempos em tempos ele "liga pra > casa", acesso o www.gastecnologia.com.br. Não cheguei a investigar > exatamente o quê ele envia pra lá ou recebe de volta, mas não confio. > Isso pra mim é inaceitável. > > Mesmo quando só precisava do plugin Java, eu mantinha uma VM só para > acessar bancos (primeiro BB, depois mudei pra Itaú): ligo a VM, faço o > que tenho que fazer no banco, e desligo. Agora que tem uma desgraça > binária rodando como root no sistema, talvez até isso seja pouco. > > Estou pensando em cancelar a minha conta no Itaú e procurar um banco > cuja área de tecnologia não seja completamente idiota e entenda que > esses penduricalhos auditados por ningúem não podem adicionar segurança > nenhuma além do que o que o próprios navegadores e o SO dos seus > servidores, que estão sob escrutínio 24x7, já fornecem. > |