Názor k článku Postřehy z bezpečnosti: další a další zranitelnosti produktů Ivanti od Filip Jirsák - Záleží na tom, čemu říkáte „token“. Pokud mobilní...

Záleží na tom, čemu říkáte „token“. Pokud mobilní aplikaci, pak zobrazení na tokenu je samozřejmě velmi užitečná funkce. Protože podstrčit někomu do počítače prohlížeč, který bude zobrazovat https://mojebanka.cz klidně zlatě orámované, i když bude někde úplně jinde, to zas takový problém není. Ale podstrčit tomu samému člověku do mobilu i podvrženou autentizační aplikaci, to už problém je.

Ale samozřejmě první věc je, že webová stránka pro zadání autentizačních údajů se má zobrazovat v prohlížeči a přímo na doméně webu, který provádí autentizaci (tj. třeba Google). Otvírání v iframe nebo ve WebView nějaké aplikace neumožňuje zjistit, zda nejde o podvod.