¿Por qué no vemos mucho AJAX en aplicaciones de seguridad como la banca por Internet?

Question

lista alguien puede con referencias / evidencias si es posible, por lo que no se ve mucho AJAX en aplicaciones web seguras, como la banca por Internet?

Por ejemplo - la banca por Internet tiene una lista de las pestañas para Cuentas, Pagos, herramientas, Informes . Lo normal sería ver estos implementado como enlaces a diferentes páginas. ¿Por qué no sólo hay una página y el uso de AJAX para cargar el contenido de las diferentes pestañas? (Por ejemplo. Un JSF RichFaces control de ficha)

Estoy asumiendo que los marcadores y la manipulación del botón de retroceso (o su desactivación como es común para la banca por Internet) para las diferentes direcciones URL serán tratados de cualquiera de los escenarios. Así que me gustaría escuchar otras cosas, como la forma en que podría afectar a la seguridad, rendimiento, etc?

Mi equipo está a punto de comenzar la construcción de un sistema de gestión de pagos basados ??en la web (pensar en la creación de pagos, la gestión de los saldos de la cuenta del cliente, la reconciliación, etc.). No va a estar haciendo los pagos reales, pero será en algún momento de integrar con el sistema de banca por Internet de un banco líder.

Estamos dividida sobre el uso de una página y el uso de AJAX para todo lo demás

o

AJAX utilizando únicamente cuando es realmente ayudar a la experiencia del usuario.

Answer 1

Ajax puede mejorar la usabilidad, pero añade complejidad.

• http://www.useit.com/alertbox/web-2.html

Los bancos necesitan seguridad.

• http://www.which.co.uk/money/bank-accounts/reviews-ns/online-banking-security/compare-online-banking-security/

La complejidad es el enemigo de la seguridad.

• https://www.schneier.com/blog/archives /2018/06/thomas_dullien_.html
• http://www.educause.edu/Resources/SecurityStandardsComplexityIst/162968
• http://portal.acm.org/citation.cfm?id=1218063.1217951

Por lo tanto Ajax es el enemigo de Bancos ;)

Answer 2

Tengo un contraejemplo para usted. Yo diría mint.com encaja en la misma categoría que los sitios de banca por Internet, y hacen un uso intensivo de Ajax . También me gustaría aventurar una respuesta que su seguridad es mejor que la mayoría de los bancos, pero no tengo ninguna prueba de ello. Los bancos sólo "sentir" como si estuvieran improvisado por los asesores pagados, en lugar de los desarrolladores que saben lo que están haciendo. La menta es un inicio bastante reciente, y su diseño del sitio sigue mostrando el control de los desarrolladores tienen / tenían.

Answer 3

Yo diría que la razón más importante es que los bancos tienden a ser tecnológicamente muy conservadora / retrógrada. No es raro encontrar un sitio bancario que recomienda o incluso exige el uso de IE6.

Answer 4

Hay varias razones posibles y varias explicaciones posibles (algunos buenos, algunos malos). Se diferencia de un banco a otro y de programador para el programador por qué utilizan los sistemas que utilizan. Mi banco tiene en realidad un sistema de banca en línea basado en flash como de hace un año, lo que con todas las vulnerabilidades de seguridad que aparecen a flash me ha tenido muy nervioso.

Algunas cosas a tener en cuenta:

• La mayoría de los bancos son muy antiguos. Han existido desde la década de 1900, y algunos incluso antes. Es raro encontrar un banco que acaba de comenzar hasta hace 5 años. Estos bancos comenzaron con sistemas de lápiz y papel y por lo que están aumentando poco a poco a la era digital. Esto está en marcado contraste con las empresas que tiene su inicio en Internet, como Facebook.

• Cuando se trabaja en un banco, desea contratar a los "mejores y más brillantes" programadores para mantener su sistema eficiente y seguro. El problema es-las personas que los bancos propios por lo general no saben la diferencia entre MS Word y WordPad. Por esta razón, las posiciones como programadores de software bancario se ofrecen en general al candidato con el "más experiencia en los negocios". O, en términos del mundo real, el más antiguo. Enfrentar el hechos- a medida que envejece deja de mantener el ingenio tendencias modernas como AJAX. No me sorprendería si la mitad de back-end del banco fue codificado en Java

• Los bancos quieren mantener las cosas simples para que "simplemente funciona". ¿Por qué cree va la luz durante las tormentas, pero el agua en el fregadero funciona siempre? Los sistemas más simples son menos propensos a fallar. Si aumenta la complejidad, se aumenta el número de cosas que pueden salir mal. Incluso si es un sistema probado que nunca ha fallado antes, es detalles adicionales y que es la preocupación adicional.

• A pesar de mi banco en realidad no se puede decir nada aquí (ya que algunos equipos no tienen Flash y ciertos iDevices ni siquiera lo permiten), muchos bancos puede decir no a javascript requerida simplemente porque el apoyo no todos los navegadores o es posible desactivarlo. Si la señora Piggsworth los 80 años de edad, bibliotecario por la calle quiere acceder a su cuenta bancaria de su 1992 Pentium I, que sin duda no se hacía a nada más nuevo que Internet Explorer 3

Además, no estoy seguro de mano izquierda si AJAX y SSL jugar muy bien. Me gustaría ver en eso.

En cuanto a la velocidad / eficiencia va, que realmente va a encontrar si usted comenzó a usarlo que AJAX es más rápido. Sólo se cargan los datos necesarios en lugar de páginas web enteras y se puede cambiar entre bastidores sin tener que realizar peticiones HTTP. También se puede hacer más de una interfaz más intuitiva cuando se incorporan clic / funcionalidad de arrastrar y listas pueden ordenar. Las mentiras de problemas, principalmente con el aumento de la complejidad y el miedo que eso debería llevar a cualquier sistema. Cuantas más piezas que tienen, los más piezas que pueden salir mal.

Answer 5

Hay algunas entidades que están siempre cerca de 10 años atrás en tecnología: bancos, compañías de seguros y los gobiernos. Como prueba de ello, echa un vistazo a la lista de clientes para las empresas que no hacen más que "modernización" (es decir, la conversión de las empresas de los sistemas COBOL viejos a Java / .NET, etc.), como éste .

Hay buenas razones:

1. El cambio es más difícil en estas instituciones, sobre todo por el diseño (cambio rápido => errores => grandes problemas)
2. El control de calidad es a menudo mucho más complicado, ya que atornillar incluso un error de redondeo puede causar grandes problemas.
3. A menos que haya un obvia incentivo monetario, la situación actual es por lo general suficiente "aceptable" a no garantiza metiendo.

... y hay malas razones:

1. Estos son típicamente grandes instituciones con grandes capas de la aprobación y la burocracia
2. Menos personas realmente se preocupan

Answer 6

Debido a que el único problema con javascript es que no tiene seguridad.

Imagen de esto, me ha cargado el formulario de transferencia de fondos en mi navegador. Le doy algunas entradas y el Javascript es tan grande que calcula el total para mí antes de que lo envía de nuevo.

Debido a Javascript ser un lenguaje de script, y puede ser editado y devuelto al servidor con / sin el conocimiento del usuario (o problemas del sitio cruzadas), entonces no es cero confianza de la regresando información.

Cuando se desea que los widgets de lujo y 'cosas', ahora está potencialmente seria objetos y el uso de eval () para hacer nada (yo estoy mirando GWT).

Javascript tiene un contexto de seguridad agradable y de contención para el navegador, pero las hojas de los datos y el servidor potencialmente muy vulnerables.