Suomen Handelsbankenin kuluttajaverkkopankki ja kolmannet osapuolet
Julkaistu
Vastikään kiinnitettiin huomiota tapaan, jolla S-pankki käyttää Google Analytics -palvelua. Kakkaa meni tosin pahasti tuulettimeen vasta kun S-pankki julkisesti kielsi tehdyt kiistattomat havainnot. Ajattelin kurkistaa miten oma asiointipankkini, Handelsbanken, suoriutuu tässä suhteessa.
Tämä pikainen katsaus koskee siis vain Handelsbankenin suomessa kuluttaja-asiakkailleen tarjoamaa verkkopankkipalvelua. Kirjauduin verkkopankkiin käyttäen Chromium 39.0.2171.71 -selainta (joten foliohattu päässä oletan Googlen alla kirjoittamastani huolimatta tietävän verkkopankin käytöstäni kaikenlaista) ja tutkin kunkin näkymän latautumisen ja käytön aikana eri palvelimille lähetetyt pyynnöt käyttäen selaimen sisäänrakennettuja kehittäjän työkaluja. Latasin näkymän, odotin reilut viisi minuuttia nähdäkseni lähetetäänkö pyyntöjä viivästettynä ja kävin sitten läpi pyyntölokin.
Kirjautumisnäkymä lataa resursseja verkkonimillä www1.handelsbanken.fi
ja secure.handelsbanken.com
. Kaikki muut testaamani näkymät (Etusivu, Tilit ja kortit, tilitiedot, kortin tiedot, Maksut, uusi maksu, Säästä ja sijoita, Lainat, lainan tiedot, Postilaatikko, viestiketju) verkkonimillä www1.handelsbanken.fi
, www4.handelsbanken.fi
ja hoiva.kauppalehti.fi
(Säästä ja sijoita -näkymän lataama kaaviokuva OMX Helsinki -indeksin kurssikehityksestä).
Verkkonimialueiden tiedot
Domain Name: handelsbanken.com
Registry Domain ID: 4496941_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.corporatedomains.com
Registrar URL: www.cscprotectsbrands.com
Updated Date: 2014-05-04T05:21:33Z
Creation Date: 1996-05-07T04:00:00Z
Registrar Registration Expiration Date: 2015-05-08T04:00:00Z
Registrar: CSC CORPORATE DOMAINS, INC.
Sponsoring Registrar IANA ID: 299
Registrar Abuse Contact Email: admin@internationaladmin.com
Registrar Abuse Contact Phone: +1.8887802723
Domain Status: clientTransferProhibited http://www.icann.org/epp#clientTransferProhibited
Registry Registrant ID:
Registrant Name: Domain Admin
Registrant Organization: Svenska Handelsbanken AB (publ)
Registrant Street: CAE
Registrant City: Stockholm
Registrant State/Province:
Registrant Postal Code: 10670
Registrant Country: SE
Registrant Phone: +46.34952817550
Registrant Phone Ext:
Registrant Fax: +46.34952817567
Registrant Fax Ext:
Registrant Email: hostmaster@HANDELSBANKEN.SE
domain: handelsbanken.fi
descr: Svenska Handelsbanken
descr: 08615974
address: ATK osasto / Juha Hyytiäinen
address: Aleksanterinkatu 11
address: 00100
address: Helsinki
phone: 010 444 11
status: Granted
created: 1.1.1991
modified: 29.8.2012
expires: 31.8.2017
domain: kauppalehti.fi
descr: Alma Media Oyj
descr: 14495809
address: Alma Media Hostmaster
address: PL 140
address: 00101
address: Helsinki
phone: +358 10 665 000
status: Granted
created: 7.7.2009
modified: 20.6.2012
expires: 7.7.2017
Kolmansiksi osapuoliksi laskettavilta tahoilta ladataan siis kuva, https://hoiva.kauppalehti.fi/handelsbanken/index.gif?height=120&width=500
Evästeitä asetetaan verkkoaluenimillä www4.handelsbanken.fi
, .www4.handelsbanken.fi
, www1.handelsbanken.fi
ja .handelsbanken.fi
.
Vastaan tuli yksi suorituksenaikainen virheilmoitus
Uncaught SecurityError: Failed to read the ‘contentDocument’ property from ‘HTMLIFrameElement’: Blocked a frame with origin “https://www4.handelsbanken.fi” from accessing a frame with origin “https://www1.handelsbanken.fi”. Protocols, domains, and ports must match.
Virheilmoitus johtuu noin karkeasti ottaen siitä, että verkkopankin resursseja ladataan kahdesta eri lähteestä (www1
ja www4
) ja yhdestä lähteestä peräisin oleva ohjelma yrittää päästä käsiksi toisesta lähteestä ladattuihin asioihin, mikä rikkoisi yhtä selainten tietoturvan perusperiaatteista: saman alkuperän periaatetta (Same-origin policy).
Alma Media saa siis asiakkaiden IP-osoitteet ja yleistä profilointitietoa asiakkaiden käyttämistä selaimista ja käyttöjärjestelmistä, mikäli asiakkaat avaavat verkkopankkia käyttäessään sijoitusnäkymän. Silloin lähtee seuraavan kaltainen pyyntö
GET /handelsbanken/index.gif?height=120&width=500 HTTP/1.1
Host: hoiva.kauppalehti.fi
Connection: keep-alive
Accept: image/webp,* / *;q=0.8
User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/39.0.2171.71 Safari/537.36
Referer: https://www1.handelsbanken.fi/Havepa/
Accept-Encoding: gzip, deflate, sdch
Accept-Language: fi,en-US;q=0.8,en;q=0.6
Kolmansilta osapuolilta ei ladata eikä suoriteta ohjelmia.