Hoe het in http://seclists.org/fulldisclosure/2015/Feb/0 gepubliceerde 0Day Same Origin Policy lek (dat gisteren nog wel werkte maar nu niet meer - wellicht door aanpassingen van Javascript bij Cloudmark en/of dailymail.co.uk), precies werkt, weet ik niet.

Maar tot er meer over bekend is lijkt het mij verstandig om niet met MSIE te internetbankieren (als ik me niet vergis staan er nog wat meer lekken in open).

NoScript

Addon for Mozilla browsers
https://en.wikipedia.org/wiki/NoScript

https://noscript.net/faq#qa4_1

Internetbankieren is zelfs mogelijk met hoog ingestelde NoScript bescherm-settings, sommige scripts van het bankdomein zal je soms moeten toestaan, wat niet betekent dat alle beschermende maatregelen van NoScript niet meer werken.
Die bescherming blijft recht overeind, afhankelijk van wat je hebt geactiveerd.

Probeer het zelf maar eens met Firefox of een andere mozilla based browser.

Zeggen ze hier nu "we hebben zulke types aanval nog nooit gezien dus het kan geen probleem zijn"? Impliceert dat dan ook dat de testen die de banken uitvoeren niet op zulke aanvallen testen "want nog nooit gezien"?

Vijftig smaken sufheid, denk ik dan.

Daarvoor huur je toch pentesters in o.0 beetje goedkoop van die banken.
Gelukkig zijn er bijna geen sql injections meer mogenlijk zijn.

Onderzoeken naar applicatiebeveiliging staan compleet los van fraudebestrijding. Bij het eerste huurt een bank een marktpartij in om de webapplicatie/apps etc onafhankelijk te testen. Dat zijn meestal geen amateuristische onderzoeken.
Onderzoek naar fraude omvat oa dat de banken zo goed mogelijk op de hoogte proberen te blijven van aanvallen op hun systemen en hun klanten.

Als je graag wil geloven dat iets impliceert, zorg er dan op zijn minst voor dat je een goede onderbouwing hebt. Of zoek je graag overal wat achter waar je aluminium hoedje naar staat?

Tsja, de klant betaalt de schade toch? Neem het ze eens kwalijk dan...

Ah, dat beantwoordt vrij aardig de vraag: De aangenomen veiligheid ligt in de zienswijze van de bank. Zo te zien.

Waarom zijn dat "meestal" geen amateuristische onderzoeken, hoe zie je dat en wanneer dus wel? In het bijzonder, is het criterium wat de bank hanteert voor het onderscheid anders dan hoeveel zo'n onderzoek kost?

Kennis die dus kennelijk, afgaande op wat jij hier zegt, niet teruggekoppeld wordt met het beveiligen van de apps zelf. Want beide zaken "staan kompleet los van" elkaar.

Als je geloofwaardig wil overkomen met dit soort kritieken, (hier: tegenover een vraag of die geziene mogelijke implicatie klopt) helpt het wellicht als jouw vehikel niet van slechts door jou aangenomen implicaties aanelkaar hangt.

Daarnaast is de gecontroleerde toepassing van spreekwoordelijke aluhoedjes* een noodzakelijk gereedschap van de beveiliger, ook wel genoemd "professionele paranoia".

Maargoed, die ontkoppeling bestaat dus wel maar komt voort uit partieele aanbesteding waardoor de afstand tussen de verschillende stukjes kennis en kunde groter is dan ik dacht te zien.

* Echte aluhoedjes trekken juist overheids-gedachtencontrole-stralen aan, zoals een MIT-onderzoek een tijdje terug aantoonde. Zie "On the Effectiveness of Aluminium Foil Helmets: An Empirical Study".