Fórum Root.cz
Ostatní => Odkladiště => Téma založeno: arrange 08. 02. 2015, 20:23:00
-
Zdravím všechny,
chtěl jsem si objednat předplatné časopisu echo24 a zaplatit převodem z účtu na účet. Naklikal jsem si to na stránkách toho časáku a pak následovalo toto:
- přišel mail z mail-wg0-x234.google.com (2a00:1450:400c:c00::234) s "MAIL FROM:<support @ echo24.cz>" - neměl by mít ten časák vlastní doménu?
- přišel mail z smtp.thosting.cz (185.18.28.13) s "MAIL FROM:<gopay @ gopay.cz>" - opět - neměl by mít platební portál aspoň vlastní doménu?
- tento mail z gopay nebyl samozřejmě nijak zašifrovaný a obsahoval účet, na který se má platba poslat: 670100-2208238594/6210; když ale zadám toto číslo účtu do Googlu, vyjedou mi různá upozornění na aktivity podvodníků svázané s tímto účtem, žádná spojitost s echo24
Je to takto normální? Mám peníze poslat? Vím, že můžu kontaktovat přímo ty firmy, ale předpokládám, že mi řeknou, že je vše naprosto bezpečné a v pořádku, tak, jak to píšou na svých stránkách. Napadá vás nějaký důvod, proč si ty peníze nenechávají posílat přímo na svůj účet, ale přes GoPay?
Díky!
-
tento mail z gopay nebyl samozřejmě nijak zašifrovaný a obsahoval účet, na který se má platba poslat: 670100-2208238594/6210;
jestli poslali e-mail s bank. účtem, tak to bych peníze na ten účet, určitě neposílal. To nemá z bezpečnou platbou nic společného :),
zvlášť, když to vypadá že ten účet (po zadání do google) patří nějakému "Live webchat show."
-
když ale zadám toto číslo účtu do Googlu, vyjedou mi různá upozornění na aktivity podvodníků svázané s tímto účtem, žádná spojitost s echo24
No, tak to rozhodně zaplať. Pro ověření ještě doporučuju do zprávy pro příjemce napsat čislo kreditky a CVV kód ;D ;D ;D
-
Píšete že jste si to naklikal na jejich webu: kde přesně? Můžete sem dát odkaz?
-
Když se na to dívám tak papírovou formu jim dělá Send - což je bezpečné a vypadá to jinak; elektronickou je možno zaplatit převodem podle tohoto návodu http://echo24.cz/p/platba-bankou-navod
-
elektronickou je možno zaplatit převodem podle tohoto návodu http://echo24.cz/p/platba-bankou-navod
Hmmm, jako variabilní symbol rodné číslo? Tam to asi vážně nemají v hlavách v pořádku.
-
Píšete že jste si to naklikal na jejich webu: kde přesně? Můžete sem dát odkaz?
http://echo24.cz/s/predplatne, pak klik "čtvrtletní", "Souhlasím s podmínkami", jsem přesměrovaný na gopay, pak klik na záložku "Bankovní převod", "mbank"
Když se na to dívám tak papírovou formu jim dělá Send - což je bezpečné a vypadá to jinak; elektronickou je možno zaplatit převodem podle tohoto návodu http://echo24.cz/p/platba-bankou-navod
Jo, to by šlo, tahle možnost mi unikla - je to trochu krkolomné (rodné číslo, digitální foto dokladu o zaplacení,...), ale asi nejbezpečnější.
Zůstává mi jedna otázka - jak může takto (můj první příspěvek) GoPay vůbec nabízet platby přes internet?! ("Bezpečnost je pro nás na prvním, druhém i třetím místě." - citace z jejich stránky)
-
- přišel mail z mail-wg0-x234.google.com (2a00:1450:400c:c00::234) s "MAIL FROM:<support @ echo24.cz>" - neměl by mít ten časák vlastní doménu?
- přišel mail z smtp.thosting.cz (185.18.28.13) s "MAIL FROM:<gopay @ gopay.cz>" - opět - neměl by mít platební portál aspoň vlastní doménu?
Tak časopis i platební portál vlastní doménu mají. Co nemají, to je vlastní server. To že si nechávají někde hostovat mi u časopisu nepřijde ani trochu zvláštní a u českého platebního portálu mi to přijde zvláštní jenom málo.
- tento mail z gopay nebyl samozřejmě nijak zašifrovaný a obsahoval účet, na který se má platba poslat:
A proč by měl být zašifrovaný? Max bys mohl chtít, aby byl nějak podepsaný, ale to bys chtěl v současném stavu IT moc.
670100-2208238594/6210; když ale zadám toto číslo účtu do Googlu, vyjedou mi různá upozornění na aktivity podvodníků svázané s tímto účtem, žádná spojitost s echo24[/li]
[/list]
Je to takto normální? Mám peníze poslat? Vím, že můžu kontaktovat přímo ty firmy, ale předpokládám, že mi řeknou, že je vše naprosto bezpečné a v pořádku, tak, jak to píšou na svých stránkách. Napadá vás nějaký důvod, proč si ty peníze nenechávají posílat přímo na svůj účet, ale přes GoPay?
Díky!
Já osobně gopay vůbec neznám. Ale pořád můžeš čelit zcela legitimní situaci, že časopis z nějakého důvodu používá tenhle kanál (při pokusu objednat předplatné se na jejich webu logo gopay objeví. A gopay používá nějaký sběrný účet a občas si na gopay založí účet i nějaký podvodník.
Pokud se ti cokoliv nezdá, tak napiš do časopisu - cokoliv @echo24.cz by měli mít pod kontrolou oni. A nic neplať, dokud tě nepřesvědčí, je to v pořádku. Já echo24 občas čtu (teda bez předplatného) a je na první pohled vidět, že to technicky není žádný zázrak, takže mě osobně přijde normální, že mají maily u googlu (já je tam mám na některých doménách taky), že platební údaje přijdou nešifrovaným mail je naprosto normální. A že používají nějaký český platební portál mi přijde zrovna tak normální.
-
Tak časopis i platební portál vlastní doménu mají. Co nemají, to je vlastní server. To že si nechávají někde hostovat mi u časopisu nepřijde ani trochu zvláštní a u českého platebního portálu mi to přijde zvláštní jenom málo.
Ono se stačí podívat na DNS záznamy, že...
$ host echo24.cz
echo24.cz has address 217.11.230.128
echo24.cz has address 217.11.230.129
echo24.cz mail is handled by 1 aspmx.l.google.com.
echo24.cz mail is handled by 10 aspmx2.googlemail.com.
echo24.cz mail is handled by 10 aspmx3.googlemail.com.
echo24.cz mail is handled by 5 alt1.aspmx.l.google.com.
echo24.cz mail is handled by 5 alt2.aspmx.l.google.com.
Google poskytuje i služby pro firmy, na takovém mailu není vůbec nic divného.
$ host gopay.cz
gopay.cz has address 185.18.30.20
gopay.cz mail is handled by 10 mx1.thosting.cz.
gopay.cz mail is handled by 10 mx.thosting.cz.
To, co tazatel nazývá "vlastní server" není absolutně žádná garance ničeho. Kdyby obě ty firmy měly nějaký virtuál za tři stovky měsíčně a postfix by jim tam nainstaloval Franta-co-tomu-rozumí, tak by to na jejich důvěryhodnosti něco přidalo?
Dneska se externí služby používají na kdeco a jsou k tomu docela rozumné důvody. Že firma X používá k rozesílání obchodních mailů jánevím třeba Mailchimp, nesvědčí absolutně o ničem.
Nehledej "bezpečnost" ve věcech, které s ní nemají nic společného.
-
zvlášť, když to vypadá že ten účet (po zadání do google) patří nějakému "Live webchat show."
Ne. Bude to nejspíš nějaký sběrný účet GoPay. Logicky GoPay nebude mít pro každého svého uživatele zvláštní účet, že :)
-
GMail a treba takovy Mailchimp(pro ilustraci) mi na duveryhodnosti firmy naopak pridavaji.
Pokud maji Google Apps tak bud zadarmo(tj maji ho jiz nekolik let) nebo plati castky ktere nejsou mensi nez ceska reseni k hostingu za to aby meli kvalitne fungujici mail.
Vzhledem k tomu, ze vidim jak funguje a co umi Mailchimp tak jeho ovladnuti neni otazka pro nejaky bastleni a uz vubec ne na rozesilani "zakoupene databaze milionu CZ kontaktu" :-)
BTW http://www.thosting.cz/sluzby/web - a hele co to je dole za logo :-) a shodou okolnosti ma ten hosting stejneho provozovatele z jihu cech jako goPay....
Inu a proc ten ucet u gopay ma tak spatne google hodnoceni? Jiz bylo napsano komu patri a tim padem je jasne, ze se na to chyta i ruzna spina ktera si mysli, ze tim znesnadni vystopovani.
-
Tak časopis i platební portál vlastní doménu mají. Co nemají, to je vlastní server. To že si nechávají někde hostovat mi u časopisu nepřijde ani trochu zvláštní a u českého platebního portálu mi to přijde zvláštní jenom málo.
Přesně tak. Je to dost smutné, že u tak zjevné věci je teprve sedmý komentář správná odpověď.
Ale že ten český platební portál nejen automaticky nepřesměrovává svůj web na HTTPS, ale dokonce vůbec HTTPS nemá, to je teda síla i na poměry českého platebního portálu.
A proč by měl být zašifrovaný? Max bys mohl chtít, aby byl nějak podepsaný, ale to bys chtěl v současném stavu IT moc.
Podepsané by mělo být především PDF s fakturou – to by bylo pro příjemce užitečnější, než podepsaný e-mail (ověřit podpis PDF je pro většinu uživatelů snazší). Podle mne je dnes nejlepší, když v tom e-mailu je odkaz na HTTPS, kde si lze tu fakturu stáhnout. Přeci jen pokud dnes nějaký uživatel náhodou umí aspoň trochu pracovat s kryptografií, umí to právě s HTTPS – tj. alespoň is překontroluje, že mu v prohlížeči certifikát svítí zeleně a že doména odpovídá tomu, kde chtěl něco platit.
A gopay používá nějaký sběrný účet a občas si na gopay založí účet i nějaký podvodník.
Naopak je velmi pravděpodobné, že budou používat sběrný účet – pokud by se peníze posílaly přímo na účet časopisu, ten mezičlánek v podobě platební brány tam úplně ztrácí smysl.
Pokud se ti cokoliv nezdá, tak napiš do časopisu - cokoliv @echo24.cz by měli mít pod kontrolou oni. A nic neplať, dokud tě nepřesvědčí, je to v pořádku.
To jsem zvědav, jak dopadne. Já jsem to samé absolvoval s Economií – e-mailem přišla faktura na prodloužení předplatného, samozřejmě bez jediného věrohodného podpisu. A když jsem jim poslal e-mail, že by bylo vhodné, když už nic nepodepisují, kdyby dali alespoň na web čísla účtů, kam se platí předplatné, aby si to plátce mohl ověřit. Nedočkal jsem se ani toho. Tady je to ještě komplikovanější, že jsou v tom zřejmě dva subjekty.
-
Přesně tak. Je to dost smutné, že u tak zjevné věci je teprve sedmý komentář správná odpověď.
Ale že ten český platební portál nejen automaticky nepřesměrovává svůj web na HTTPS, ale dokonce vůbec HTTPS nemá, to je teda síla i na poměry českého platebního portálu.
O com tocis?
Tak ako to maju je standart. Prezentacny web bezi na http a klientske veci na https.
Skus si kliknut na prihlasit alebo registrovat.
-
Tak ako to maju je standart. Prezentacny web bezi na http a klientske veci na https.
Skus si kliknut na prihlasit alebo registrovat.
Ve které banánové republice je to standard? Zkuste se podívat třeba na PayPal, Google Wallet, iTunes… K čemu jsou nějaké sliby o bezpečnosti na stránce, která není dostupná přes HTTPS? Co když tam ve skutečnosti píšou, že je to celé nebezpečné a posílat tam jakékoli peníze je hloupost? Odkazy na smluvní podmínky z registrace opět vedou na HTTP a navíc ty stránky neexistují. Jestli si vymysleli, že to budou mít rozdrobené na x domén třetího řádu, a pak nechtějí zaplatit ani hvězdičkový certifikát, vypovídá to hodně o tom, jak asi investovali do bezpečnosti.
-
...
Pokud platí to, co píšete, pak opravdu nevím, jak můžu věřit jakékoli zprávě, která mi přijde mailem.
Můj příklad: wedos mi pošle mail "výzva k platbě": ověřím cestu v SMTP hlavičkách, vidím, že začíná na il8-f130.wedos.com (2a02:2b88:1:1::13), a pak jde přímo na můj poštovní server. Číslo účtu 313787/2010 zadám do Googlu, vidím, že je uvedeno na stránkách wedosu. Platím.
Pokud v mailu nesedí ani odesílací server, ani číslo bank. účtu, tak se už nemám čeho chytnout (předpokládám mail bez el. podpisu). Musel bych u každé platby vyhledat kontakt, zavolat, sehnat odpovědného pracovníka, a u něho platbu ověřit. Jak to ověřujete vy?
...
... Tak časopis i platební portál vlastní doménu mají. Co nemají, to je vlastní server. ...
Tak nějak jsem ten svůj první příspěvek chtěl původně napsat, ale nějak mi to nevyšlo :)
Jinak smolím tedy mail na echo24.cz, snažím se tam dovolat, ale neúspěšně.
-
Pokud platí to, co píšete, pak opravdu nevím, jak můžu věřit jakékoli zprávě, která mi přijde mailem.
To je naprosto jednoduché - jakékoli zprávě, která přijde mailem a není podepsaná nemůžeš věřit vůbec. Zkoumání SMTP hlaviček je naprosto k ničemu, protože kdokoli, kdo bude sedět na drátu těsně před tebou, si tam může doplnit klidně topsecret.nsa.gow a tvůj server to nemá šanci poznat, protože útočník si klidně podvrhne i IP adresu.
Zkoumání SMTP hlaviček je spíš pro falešný pocit bezpečí. Pokud si chceš být jistý, tak do té firmy prostě zavolej.
Jinak FYI: bankovní transakce se dají vzít zpět, takže máš celkem zbytečnou péči.
-
Pokud platí to, co píšete, pak opravdu nevím, jak můžu věřit jakékoli zprávě, která mi přijde mailem.
Můžete jí věřit jedině tehdy, pokud je elektronicky podepsaná. Z hlaviček můžete věřit jenom těm, které jsou podepsané DKIM – a i pak jim můžete věřit jen do té míry, do jaké věříte odesílajícímu serveru a jak bezpečně dokážete získat jeho certifikát (nebo-li zda používáte DNSSEC).
Posílání fakturačních údajů tak, že je není možné snadno ověřit, je docela problém. Ještě se to dá pochopit u jednorázových nákupů v e-shopu, kde by se útočník musel trefit do doby, kdy jste něco skutečně objednal. U opakovaných plateb je to ale vážný problém. Nedávno v ČR proběhl přesně na tomhle postavený phishingový útok na majitele domén, a nezdá se, že by se z toho čeští prodejci (mimo pár prodejců domén) nějak moc poučili.
-
Tak ako to maju je standart. Prezentacny web bezi na http a klientske veci na https.
Skus si kliknut na prihlasit alebo registrovat.
Ve které banánové republice je to standard? Zkuste se podívat třeba na PayPal, Google Wallet, iTunes… K čemu jsou nějaké sliby o bezpečnosti na stránce, která není dostupná přes HTTPS? Co když tam ve skutečnosti píšou, že je to celé nebezpečné a posílat tam jakékoli peníze je hloupost? Odkazy na smluvní podmínky z registrace opět vedou na HTTP a navíc ty stránky neexistují. Jestli si vymysleli, že to budou mít rozdrobené na x domén třetího řádu, a pak nechtějí zaplatit ani hvězdičkový certifikát, vypovídá to hodně o tom, jak asi investovali do bezpečnosti.
Tak sorry, ze nezijem v tak vyspelej krajine ako si myslis ty, ze je ta tvoja v ktorej zijes.
Skus sa pozriet na lubovolnu vasu banku a uvidis ze vacsina bezi v prezentacnej casti ako http, podaktore https presmerovavaju na http, a v https im bezi len cast pre klientov.
To ze maju nedostupne podmienky pri registracii je uz o inom.
-
Skus sa pozriet na lubovolnu vasu banku a uvidis ze vacsina bezi v prezentacnej casti ako http
Samozřejmě. Namátkou: http://www.rb.cz/ http://www.fio.cz/ http://www.kb.cz/ http://www.mbank.cz/ http://www.tatrabanka.sk/
- všechny tyhle, který mě tak ze startu napadly, běží přes http... Možná Filip žije v nějakém paralelním vesmíru, kde to tak není :)
-
Myslíte namátkou https://www.rb.cz/ a https://www.kb.cz/ ? Ano, nepřesměrovávají automaticky, ale aspoň mají HTTPS variantu dostupnou. Další dvě adresy https://www.fio.cz/ a https://www.tatrabanka.sk/ také fungují, i když nepochopitelně z HTTPS přesměrovávají na HTTP.
Navíc banka je přeci jen trochu jiná instituce, ta dává smysl i bez internetu (i když u Fio nebo mBank by toho člověk bez internetu asi moc neudělal). Ale internetová platební brána bez internetu žádný smysl nemá a drtivá většina případů užití vyžaduje zabezpečený přístup. Nezabezpečený přístup snad stačí v případě, kdy si bude obchodník vybírat platební bránu a pročítat marketingové materiály, no a nevím, jestli web bez HTTPS je zrovna tím lákadlem, který ho přesvědčí.
Ony už ty samotné odkazy na přihlášení na nezabezpečené stránce jsou velkým bezpečnostním rizikem, protože pokud si uživatel kontroluje, zda je na zabezpečeném webu, udělá to v okamžiku, kdy na ten web vstoupí. Počet případů, kdy by si někdo kontroloval, kdy bude konečně přesměrován na zabezpečenou stránku, se limitně blíží nule.
A vůbec – existuje alespoň jeden jediný důvod, proč by internetová platební brána měla mít webovou prezentaci na HTTP, dokonce jen na HTTP?
-
Myslíte namátkou https://www.rb.cz/ a https://www.kb.cz/ ? Ano, nepřesměrovávají automaticky, ale aspoň mají HTTPS variantu dostupnou. Další dvě adresy https://www.fio.cz/ a https://www.tatrabanka.sk/ také fungují, i když nepochopitelně z HTTPS přesměrovávají na HTTP.
Spíš jde o to, že mají http verzi, která nepřesměrovává na https.
Navíc banka je přeci jen trochu jiná instituce, ta dává smysl i bez internetu
Bavíme se o tom, jestli je normální mít *prezentační* web na http. Jak s tím souvisí, co dává nebo nedává smysl bez internetu, tomu úplně nerozumím.
Ony už ty samotné odkazy na přihlášení na nezabezpečené stránce jsou velkým bezpečnostním rizikem, protože pokud si uživatel kontroluje, zda je na zabezpečeném webu, udělá to v okamžiku, kdy na ten web vstoupí. Počet případů, kdy by si někdo kontroloval, kdy bude konečně přesměrován na zabezpečenou stránku, se limitně blíží nule.
Ne. Běžný uživatel není schopen posoudit nic víc, než že daná stránka, na které se právě nachází "je zelená". Takže by si měl především ověřit, jestli "je zelená" stránka, na které zadává svoje heslo.
Nicméně v době, kdy snad každá banka má dvoufaktorovou autentizaci (nejčastěji smskou) i tohle není jediný prvek, na kterém by se doslova lámalo "bezpečné" a "nebezpečné".
A vůbec – existuje alespoň jeden jediný důvod, proč by internetová platební brána měla mít webovou prezentaci na HTTP, dokonce jen na HTTP?
Ano, HTTPS má vyšší režii. Čili si to můžeš přeložit jako: pomalejší odezva / vyšší cena / větší dopad na životní prostředí ;)
-
Bavíme se o tom, jestli je normální mít *prezentační* web na http. Jak s tím souvisí, co dává nebo nedává smysl bez internetu, tomu úplně nerozumím.
Souvisí to tak, že banka klidně může mít na internetu prezentační web, kde se dozvím aktuální kurzovní lístek, mapu poboček a tiskové zprávy, a nemusí mít vůbec internetové bankovnictví. Takže prezentační web banky má smysl.
V případě internetové platební brány prakticky nic jako prezentační web neexistuje. Kdy na ten web poleze někdo, kdo to nechce využít jako internetovou platební bránu?
Nicméně v době, kdy snad každá banka má dvoufaktorovou autentizaci (nejčastěji smskou) i tohle není jediný prvek, na kterém by se doslova lámalo "bezpečné" a "nebezpečné".
GoPay snad má dvoufaktorovou autentizaci?
Ano, HTTPS má vyšší režii. Čili si to můžeš přeložit jako: pomalejší odezva / vyšší cena / větší dopad na životní prostředí ;)
V tom případě by měli HTTPS vypnout i u přihlašování, tam je přece také „zbytečné“ a dá se to udělat bezpečně i bez HTTPS. Ano, tohle by někde mohl být důvod, ale u internetové platební brány mi to opravdu nepřipadá jako dobrý nápad. Navíc se nezdá, že by tahle optimalizace byla zrovna případ GoPay. Každopádně na mně teda ušetří, a to nejen rozdíl mezi HTTPS a HTTP, ale i rozdíl mezi HTTP a ničím.
Myslím, že přístup toho webu k bezpečnosti nejlépe ilustruje stránka http://www.platebnibrana.cz/bezpecnost/nase-priority, kde odkaz „Více o bezpečnosti“ vede zase jen zpět na tu samou stránku. Je to bezpečné, protože je to bezpečné.
-
V tom případě by měli HTTPS vypnout i u přihlašování, tam je přece také „zbytečné“ a dá se to udělat bezpečně i bez HTTPS.
Nedá.
-
V případě internetové platební brány prakticky nic jako prezentační web neexistuje. Kdy na ten web poleze někdo, kdo to nechce využít jako internetovou platební bránu?
No neviem, velmi som nepochopil co si tym chcel povedat.
Na prezentacnej casti predstavuju svoje sluzby ktore mozes u nich vyuzit a podobne sracky okolo.
-
V tom případě by měli HTTPS vypnout i u přihlašování, tam je přece také „zbytečné“ a dá se to udělat bezpečně i bez HTTPS.
Nedá.
HTTPS není žádná magie. Principy asymetrické kryptografie se dají použít i bez HTTPS. Ale v tomto případě je to jedno, protože útočník změní odkaz na přihlašovací formulář, a kde běží skutečné přihlašování, to už je jedno.
-
... Zkoumání SMTP hlaviček je naprosto k ničemu, protože kdokoli, kdo bude sedět na drátu těsně před tebou, si tam může doplnit klidně topsecret.nsa.gow a tvůj server to nemá šanci poznat, protože útočník si klidně podvrhne i IP adresu. ...Zkoumání SMTP hlaviček je spíš pro falešný pocit bezpečí....
Toto je z hlavičky mailu, který jsem dostal od gopay. Mohu se zeptat, jak se dá podvrhnout ta IP adresa 185.18.28.13 (první řádek), kterou si zaznamenal můj SMTP server při komunikaci s odesílacím serverem?
Received: from smtp.thosting.cz ([185.18.28.13])
by ***muj_smtp_server***
Received: from localhost ([127.0.0.1])
by smtp.thosting.cz with esmtp (Exim 4.72 #1 (Debian))
id 1YIkUg-0000xZ-D5; Tue, 03 Feb 2015 21:54:46 +0100
[...]
Received: TERMS ladici info
odeslano z ip adresy185.18.30.11_; Tue, 03 Feb 2015 21:54:45 +0100
Date: ...
-
HTTPS není žádná magie. Principy asymetrické kryptografie se dají použít i bez HTTPS. Ale v tomto případě je to jedno, protože útočník změní odkaz na přihlašovací formulář, a kde běží skutečné přihlašování, to už je jedno.
Zapomínáš, že jsme se bavili o tom, jak to udělat bezpečně a bezpečně znamená mj. "tak, aby tomu uživatel rozuměl". HTTPS normální uživatel rozumí na úrovni "je to zelené = je to OK".
Mohu se zeptat, jak se dá podvrhnout ta IP adresa 185.18.28.13 (první řádek), kterou si zaznamenal můj SMTP server při komunikaci s odesílacím serverem?
Říkal jsem, že podmínkou je, aby byl útočník někde po cestě, ideálně hned za tvým počítačem (např. tvůj ISP nebo kdokoli, kdo mu naboural infrastrukturu). Jakmile můžu pozměňovat pakety, můžu jim bez problémů změnit zdrojovou adresu. Podmínkou je, abych mohl odchytnout i tvoje odpovědi, které budou na tuhle adresu směrované.
-
Zapomínáš, že jsme se bavili o tom, jak to udělat bezpečně a bezpečně znamená mj. "tak, aby tomu uživatel rozuměl". HTTPS normální uživatel rozumí na úrovni "je to zelené = je to OK".
Jenže tady to zelené není. A "normální uživatel" nebude zkoumat, kde to vadí hodně a kde jenom trochu. Nanejvýš si všimne, že to na úvodní stránce zelené není, tak usoudí, že to na tomhle webu asi není potřeba - protože bezpečnost je pro ně přeci na první, druhém i třetím místě, oni tomu určitě rozumí, takže kdyby bylo potřeba, aby to bylo zelené, tak by to zelené měli.
-
tak usoudí, že to na tomhle webu asi není potřeba - protože bezpečnost je pro ně přeci na první, druhém i třetím místě, oni tomu určitě rozumí, takže kdyby bylo potřeba, aby to bylo zelené, tak by to zelené měli.
Opakuju: rozumně poučený uživatel VÍ, že "pokud to není zelené, nemám tam zadávat heslo".
-
Nechcete zas někde Jirsákovi založit další vlákno o prodeji OEM licencí M$ Woknous? ;D
-
...
Pokud platí to, co píšete, pak opravdu nevím, jak můžu věřit jakékoli zprávě, která mi přijde mailem.
Můj příklad: wedos mi pošle mail "výzva k platbě": ověřím cestu v SMTP hlavičkách, vidím, že začíná na il8-f130.wedos.com (2a02:2b88:1:1::13), a pak jde přímo na můj poštovní server.
to je teda originalni logika. vzhledem k tomu, ze drtiva vetsina firem je na nejakym zpusobu hostingu tak v hlavickach obvykle najdes ruzny forpsi, wedosy apod. ale krom platby za hosting samotny to temer nikdy nebude stejne jako je ta firma.
-
Opakuju: rozumně poučený uživatel VÍ, že "pokud to není zelené, nemám tam zadávat heslo".
To není rozumně poučený uživatel, ale uživatel poučený velmi hloupě. Navíc je nesmyslné chtít po uživateli, aby kontroloval každou stránku zvlášť. Pokud už si uživatel něco bude kontrolovat, přirozeně to udělá na začátku, když na web vstoupí. Pak už se zabývá tím, proč na web přišel, a nebude myslet ještě na to, že si má později ještě něco kontrolovat. To, aby se uživatel pohyboval po webu celou dobu bezpečně, je starost autora webu - a pouhý přihlašovací formulář přes HTTPS to nezachrání.
-
To není rozumně poučený uživatel, ale uživatel poučený velmi hloupě.
A jak by měl být poučen líp?
Navíc je nesmyslné chtít po uživateli, aby kontroloval každou stránku zvlášť.
Ne každou, ale jenom tu, kam zadává heslo.
To, aby se uživatel pohyboval po webu celou dobu bezpečně, je starost autora webu
To je samozřejmě nesmysl, protože autor webu nemůže např. nijak kontrolovat MITM útoky. Proto si uživatel sám musí nějak ověřit, že k MITM útoku nedošlo. Maximum, čeho je BFU schopný, je podívat se, že je web zelený.
-
A jak by měl být poučen líp?
Tak, že pokud pracuje na webu s citlivými informacemi (osobní údaje jiných osob, informace o penězích nebo dokonce příkazy k úhradě, e-maily), má si na začátku zkontrolovat, zda je na zabezpečeném webu, a může by si průběžně kontrolovat, že na něm stále zůstává (ale to už je starost autora aplikace, aby uživatele udržel na HTTPS).
Ne každou, ale jenom tu, kam zadává heslo.
Takže když z té stránky, kam zadává heslo, se formulář odešle přes HTTP, je to v pořádku? Když se přihlásí přes HTTPS, ale dál pracuje přes HTTP a session ID se přenáší nešifrovaně, je to v pořádku? Pokud se nejprve v HTTP vytvoří session ID a následně se k této session uživatel přihlásí přes HTTPS, je to v pořádku? Podle mne jsou to všechno vážné bezpečnostní problémy. A uživatel nemá šanci kontrolovat, zda se vše potřebné správně posílá přes HTTPS a přes HTTP se posílají jen nezajímavé věci – uživatel má jedinou možnost, a to sledovat, že je od začátku až do konce na HTTPS. Ve skutečnosti si to zkontroluje jen na začátku a pak už jen spoléhá na to, že je ta aplikace udělaná správně a že ho to z HTTPS někde nevyhodí.
To je samozřejmě nesmysl, protože autor webu nemůže např. nijak kontrolovat MITM útoky. Proto si uživatel sám musí nějak ověřit, že k MITM útoku nedošlo.
Kontrola certifikátu je to jediné, co doopravdy může (a musí) udělat uživatel. Vše ostatní je už na autorovi.
Maximum, čeho je BFU schopný, je podívat se, že je web zelený.
To tvrdím celou dobu. Jenže když se na ten web podíváte, tak „zelený“ není. A to, že někdy v budoucnosti možná „zezelená“, to je nepodstatné. Uživatel neumí rozpoznat, zda web ve správnou chvíli „zezelená“, uživatel rozpozná –jak sám píšete – jenom to, zda web je „zelený“.
-
Jako, že adresní řádek zezelené, že je použit EV certifikát? Vždyť do nedávna nešel zídkst, vyjma velkých korporací a podobných etablovaných subjetů, dneska se dá sehnat ale firmu, ale hodně webu nesplní požadavky na formální kontroly (a cenově se jim také nebudou líbit).
A ohledně toho, že s epřihlásím na HTTPS a následně mám bránit útěku na HTTP, to se dá dneska zařídit pomocí Strict-Transport-Security: (vyjma IE to snad už umí všechny prohlížeče). Takž pokud proběne úspěšné spávné prvotní přihlášení na HTTPS, která si musí uživatel ověřit, tak pomocí toho HSTS už může web server prohlížeč donutit, aby pro daný server na HTTP nešlo přejít.
-
Jako, že adresní řádek zezelené, že je použit EV certifikát? Vždyť do nedávna nešel zídkst, vyjma velkých korporací a podobných etablovaných subjetů, dneska se dá sehnat ale firmu, ale hodně webu nesplní požadavky na formální kontroly (a cenově se jim také nebudou líbit).
Pokud si dobře pamatuji, tak v minulé firmě (žádná korporace) jsme EV certifikát získali poměrně snadno. Tuším, že bylo jen nutné potvrdit identitu odpovědí na zavolání nebo fax. Rozhodně to nebylo nic extremního a super-zabezpečeného. Ani cena nebyla nějak moc ustřelená. Jediný problém s EV nastal proto, že ta CA nebyla tenkrát zahrnuta ve všech běžných prohlížečích a semtam vyskočila varovná hláška.
-
Ano, dneska je to už jednodušší, potřebují vydělávat, takže pokud jsem někde registrovaný podnikatelský subjekt (v Česku obvykle ty papíry ověřují v ARES a dle Zlatých stránk kontaktní telefon kam volají, osoba na kteoru je to psáno musí být veřejně dohledatelná a spojená s tou firmou v registrech) a také to stojí tak 3 kKč/ročně, když nepočítám promo akce.
-
Jako, že adresní řádek zezelené, že je použit EV certifikát?
Ne jen EV certifikát, stačí i DV certifikát – sice je to méně zelené, ale pořád zelené :-)
A ohledně toho, že s epřihlásím na HTTPS a následně mám bránit útěku na HTTP, to se dá dneska zařídit pomocí Strict-Transport-Security: (vyjma IE to snad už umí všechny prohlížeče). Takž pokud proběne úspěšné spávné prvotní přihlášení na HTTPS, která si musí uživatel ověřit, tak pomocí toho HSTS už může web server prohlížeč donutit, aby pro daný server na HTTP nešlo přejít.
Jenže to platí jen pro jednu doménu. A když GoPay na subdoméně www HTTPS ani nemá zprovozněné, nemůže tam použít HSTS. Takže uživatel se může přihlásit přes HTTPS na subdoméně account, ale pak si nemusí ani všimnout, vypadne zpět na www a bude bez šifrování.
Jinak GoPay na subdoméně account samozřejmě HSTS nepoužívá a cookie nenastavuje secure atribut. Takže ta subdoména www, bez HTTPS opravdu není nevýznamné opomenutí nebo dokonce optimalizace rychlosti, ale pouze jeden z mnoha příznaků toho, že na IT bezpečnost z vysoka kašlou.
-
Takže když z té stránky, kam zadává heslo, se formulář odešle přes HTTP, je to v pořádku?
Sorry, ale nemám čas ani náladu se hádat jak děcka na písku :)
-
Jinak FYI: bankovní transakce se dají vzít zpět, takže máš celkem zbytečnou péči.
Nedají.
Zpět se dá vzít pouze platba kartou. Převod na účet, o kterém se tu bavíme, lze vrátit pouze soudně. Tj. pouze teoreticky, kdyby se stal nějaký omyl; podvodník typicky založí účet na nějakého bílého koně a peníze okamžitě vybere v hotovosti/převede do zahraničí/utratí anonymně a tam by odesílatel nevymohl nic.
-
Zpět se dá vzít pouze platba kartou.
No jo, to máš asi pravdu, sorry :)
-
My jsme si zvolili GoPay na základě toho, že jsme si zvolili po dlouhém hledání řešení pro eshop eshop-rychle.cz .. máme ER za profesionály a GoPay tam bylo v případě brány jako nabídka, takže si myslím, že jeden z největších poskytovatelů eshopu by nespolupracoval jen tak s nějakou firmou. Takže by to mělo být ok...
-
Myslíte namátkou https://www.rb.cz/ a https://www.kb.cz/ ? Ano, nepřesměrovávají automaticky, ale aspoň mají HTTPS variantu dostupnou. Další dvě adresy https://www.fio.cz/ a https://www.tatrabanka.sk/ také fungují, i když nepochopitelně z HTTPS přesměrovávají na HTTP.
Asi dělám něco blbě, ale všechny banky včetně těchto se načítají jako https, i když je do prohlížeče natvrdo zadán http... ???
-
Asi dělám něco blbě
Ano. Odpovídáte na tři roky starý komentář.
-
Asi dělám něco blbě
Ano. Odpovídáte na tři roky starý komentář.
No jo. Měsíce sedí, ale rok je blbě ;D