Příspěvky

4891

Odkladiště / Re:Je platba přes GoPay bezpečná?

« kdy: 09. 02. 2015, 20:37:07 »

V tom případě by měli HTTPS vypnout i u přihlašování, tam je přece také „zbytečné“ a dá se to udělat bezpečně i bez HTTPS.

Nedá.

HTTPS není žádná magie. Principy asymetrické kryptografie se dají použít i bez HTTPS. Ale v tomto případě je to jedno, protože útočník změní odkaz na přihlašovací formulář, a kde běží skutečné přihlašování, to už je jedno.

4892

Odkladiště / Re:Je platba přes GoPay bezpečná?

« kdy: 09. 02. 2015, 18:31:44 »

Bavíme se o tom, jestli je normální mít *prezentační* web na http. Jak s tím souvisí, co dává nebo nedává smysl bez internetu, tomu úplně nerozumím.

Souvisí to tak, že banka klidně může mít na internetu prezentační web, kde se dozvím aktuální kurzovní lístek, mapu poboček a tiskové zprávy, a nemusí mít vůbec internetové bankovnictví. Takže prezentační web banky má smysl.

V případě internetové platební brány prakticky nic jako prezentační web neexistuje. Kdy na ten web poleze někdo, kdo to nechce využít jako internetovou platební bránu?

Nicméně v době, kdy snad každá banka má dvoufaktorovou autentizaci (nejčastěji smskou) i tohle není jediný prvek, na kterém by se doslova lámalo "bezpečné" a "nebezpečné".

GoPay snad má dvoufaktorovou autentizaci?

Ano, HTTPS má vyšší režii. Čili si to můžeš přeložit jako: pomalejší odezva / vyšší cena / větší dopad na životní prostředí

V tom případě by měli HTTPS vypnout i u přihlašování, tam je přece také „zbytečné“ a dá se to udělat bezpečně i bez HTTPS. Ano, tohle by někde mohl být důvod, ale u internetové platební brány mi to opravdu nepřipadá jako dobrý nápad. Navíc se nezdá, že by tahle optimalizace byla zrovna případ GoPay. Každopádně na mně teda ušetří, a to nejen rozdíl mezi HTTPS a HTTP, ale i rozdíl mezi HTTP a ničím.

Myslím, že přístup toho webu k bezpečnosti nejlépe ilustruje stránka http://www.platebnibrana.cz/bezpecnost/nase-priority, kde odkaz „Více o bezpečnosti“ vede zase jen zpět na tu samou stránku. Je to bezpečné, protože je to bezpečné.

4893

Odkladiště / Re:Je platba přes GoPay bezpečná?

« kdy: 09. 02. 2015, 17:47:45 »

Myslíte namátkou  https://www.rb.cz/ a https://www.kb.cz/ ? Ano, nepřesměrovávají automaticky, ale aspoň mají HTTPS variantu dostupnou. Další dvě adresy https://www.fio.cz/ a https://www.tatrabanka.sk/ také fungují, i když nepochopitelně z HTTPS přesměrovávají na HTTP.

Navíc banka je přeci jen trochu jiná instituce, ta dává smysl i bez internetu (i když u Fio nebo mBank by toho člověk bez internetu asi moc neudělal). Ale internetová platební brána bez internetu žádný smysl nemá a drtivá většina případů užití vyžaduje zabezpečený přístup. Nezabezpečený přístup snad stačí v případě, kdy si bude obchodník vybírat platební bránu a pročítat marketingové materiály, no a nevím, jestli web bez HTTPS je zrovna tím lákadlem, který ho přesvědčí.

Ony už ty samotné odkazy na přihlášení na nezabezpečené stránce jsou velkým bezpečnostním rizikem, protože pokud si uživatel kontroluje, zda je na zabezpečeném webu, udělá to v okamžiku, kdy na ten web vstoupí. Počet případů, kdy by si někdo kontroloval, kdy bude konečně přesměrován na zabezpečenou stránku, se limitně blíží nule.

A vůbec – existuje alespoň jeden jediný důvod, proč by internetová platební brána měla mít webovou prezentaci na HTTP, dokonce jen na HTTP?

4894

Odkladiště / Re:Je platba přes GoPay bezpečná?

« kdy: 09. 02. 2015, 14:15:08 »

Pokud platí to, co píšete, pak opravdu nevím, jak můžu věřit jakékoli zprávě, která mi přijde mailem.

Můžete jí věřit jedině tehdy, pokud je elektronicky podepsaná. Z hlaviček můžete věřit jenom těm, které jsou podepsané DKIM – a i pak jim můžete věřit jen do té míry, do jaké věříte odesílajícímu serveru a jak bezpečně dokážete získat jeho certifikát (nebo-li zda používáte DNSSEC).

Posílání fakturačních údajů tak, že je není možné snadno ověřit, je docela problém. Ještě se to dá pochopit u jednorázových nákupů v e-shopu, kde by se útočník musel trefit do doby, kdy jste něco skutečně objednal. U opakovaných plateb je to ale vážný problém. Nedávno v ČR proběhl přesně na tomhle postavený phishingový útok na majitele domén, a nezdá se, že by se z toho čeští prodejci (mimo pár prodejců domén) nějak moc poučili.

4895

Odkladiště / Re:nakolik je platba přes GoPay bezpečná?

« kdy: 09. 02. 2015, 10:58:29 »

Tak ako to maju je standart. Prezentacny web bezi na http a klientske veci na https.
Skus si kliknut na prihlasit alebo registrovat.

Ve které banánové republice je to standard? Zkuste se podívat třeba na PayPal, Google Wallet, iTunes… K čemu jsou nějaké sliby o bezpečnosti na stránce, která není dostupná přes HTTPS? Co když tam ve skutečnosti píšou, že je to celé nebezpečné a posílat tam jakékoli peníze je hloupost? Odkazy na smluvní podmínky z registrace opět vedou na HTTP a navíc ty stránky neexistují. Jestli si vymysleli, že to budou mít rozdrobené na x domén třetího řádu, a pak nechtějí zaplatit ani hvězdičkový certifikát, vypovídá to hodně o tom, jak asi investovali do bezpečnosti.

4896

Odkladiště / Re:nakolik je platba přes GoPay bezpečná?

« kdy: 09. 02. 2015, 09:34:13 »

Tak časopis i platební portál vlastní doménu mají. Co nemají, to je vlastní server. To že si nechávají někde hostovat mi u časopisu nepřijde ani trochu zvláštní a u českého platebního portálu mi to přijde zvláštní jenom málo.

Přesně tak. Je to dost smutné, že u tak zjevné věci je teprve sedmý komentář správná odpověď.

Ale že ten český platební portál nejen automaticky nepřesměrovává svůj web na HTTPS, ale dokonce vůbec HTTPS nemá, to je teda síla i na poměry českého platebního portálu.

A proč by měl být zašifrovaný? Max bys mohl chtít, aby byl nějak podepsaný, ale to bys chtěl v současném stavu IT moc.

Podepsané by mělo být především PDF s fakturou – to by bylo pro příjemce užitečnější, než podepsaný e-mail (ověřit podpis PDF je pro většinu uživatelů snazší). Podle mne je dnes nejlepší, když v tom e-mailu je odkaz na HTTPS, kde si lze tu fakturu stáhnout. Přeci jen pokud dnes nějaký uživatel náhodou umí aspoň trochu pracovat s kryptografií, umí to právě s HTTPS – tj. alespoň is překontroluje, že mu v prohlížeči certifikát svítí zeleně a že doména odpovídá tomu, kde chtěl něco platit.

A gopay používá nějaký sběrný účet a občas si na gopay založí účet i nějaký podvodník.

Naopak je velmi pravděpodobné, že budou používat sběrný účet – pokud by se peníze posílaly přímo na účet časopisu, ten mezičlánek v podobě platební brány tam úplně ztrácí smysl.

Pokud se ti cokoliv nezdá, tak napiš do časopisu - cokoliv @echo24.cz by měli mít pod kontrolou oni. A nic neplať, dokud tě nepřesvědčí, je to v pořádku.

To jsem zvědav, jak dopadne. Já jsem to samé absolvoval s Economií – e-mailem přišla faktura na prodloužení předplatného, samozřejmě bez jediného věrohodného podpisu. A když jsem jim poslal e-mail, že by bylo vhodné, když už nic nepodepisují, kdyby dali alespoň na web čísla účtů, kam se platí předplatné, aby si to plátce mohl ověřit. Nedočkal jsem se ani toho. Tady je to ještě komplikovanější, že jsou v tom zřejmě dva subjekty.

4897

Server / Re:SSH - logování IP

« kdy: 07. 02. 2015, 08:10:59 »

Máte nakonfigurovaný NAT (konkrétně asi maškarádu) na routeru tak, že nemění jen zdrojovou IP adresu odchozího provozu (což je správně), ale také zdrojovou IP adresu příchozího provozu (což je zbytečné a kontraproduktivní).

4898

Desktop / Re:[AltGr]+NUM kompatibilní s Win

« kdy: 03. 02. 2015, 12:39:28 »

Můžete jim nakonfigurovat ComposeKey, ale to by znamenalo takhle namapovat všechny kombinace, které používají. Jinak také záleží na tom, kde se to používá – v terminálu myslím ta kombinace Alt+NumPad funguje.

Nejjednodušší řešení mi připadá naučit ty uživatele ve Windows psát to pořádně, a pak už je můžete snadno zkonvertovat na Linux. A nejsnáz se to asi naučí tak, že budou mít klávesnici, na které jsou ty speciální znaky namalované. Pokud to nebude nějaký zarytý odpůrce jakékoli změny, za týden bude umět správné klávesové zkratky a bude se divit, jak mohl s počítačem pracovat bez toho.

4899

Vývoj / Re:Podivný konstrukt v javascriptu

« kdy: 31. 01. 2015, 07:58:52 »

Bylo to opravdu takhle? Nebylo to spíš

Kód: [Vybrat]

some_method
({
  another_method: function() { }
})

Tedy volání funkce s objektem jako parametrem? Tedy zkratka tohohle?

Kód: [Vybrat]

var obj = {
  another_method: function() { }
};

some_method(obj);

4900

Sítě / Re:Chci postavit router s RouterOS

« kdy: 30. 01. 2015, 12:10:31 »

Nejprve musíte zjistit, kde je doopravdy problém, a pak vyřešit ten problém. Náhodným vyměňováním kusů hardware, které s problémem nejspíš nijak nesouvisí, nic nevyřešíte.

Takže si nejdříve ujasněte, zda chcete postavit vlastní router s RouterOS, na kterém budete mít přenosovou rychlost 8 MB/sec, nebo jestli chcete docílit větší přenosové rychlosti v síti. Pokud to druhé, bylo by dobré uvést, jak vaše síť vypadá a kde a jak jste změřil jaké přenosové rychlosti.

Mimochodem, RB951 má jen 100 Mb/s LAN porty (GLAN má až RB951G), takže pokud na něm dosahujete přenosovou rychlost 28 MB/s, tedy nějakých 224 Mb/s, nepovažoval bych to vůbec za špatný výkon, naopak by to byl zázrak.

4901

Studium a uplatnění / Re:Co musí umět špičkový Java programátor

« kdy: 26. 01. 2015, 20:50:47 »

Špičkový Java programátor, ale i trochu zkušenější junior, bude vědět, že technologií kolem Javy je taková spousta, že nikdo nemůže umět vše podstatné a hlásit se na libovolnou Java pozici. Vždyť může programovat nějaká embeded zařízení, hry, Android aplikace, webové aplikace, bankovní systém... Pokud se nebude hlásit na pozici, kde hledají experta na konkrétní technologii, je důležité znát spíš obecné principy - konkrétní knihovnu (nebo i jazyk), se vždycky může naučit. Navíc i ta samá knihovna se v různých projektech používá různě, v kombinaci s různými jinými knihovnami - takže umět přesně to, co firma potřebuje, je nereálné. A firmy to vědí, takže nebudou hledat někoho, kdo umí přesně to, co potřebuje, ale spíš někoho, koho to potřebné snadno naučí.

4902

Vývoj / Re:výjimka vs assert

« kdy: 24. 01. 2015, 22:42:46 »

Chybí tu popis jedné zásadní vlastnosti assert v Javě: pokud podmínka selže, je vyhozena výjimka java.lang.AssertionError což je potomek java.lang.Error a stejně jako všichni ostatní potomci java.lang.Error nemá být tato výjimka nikdy chytána a jakkoliv zpracovávána - znamená totiž že došlo k situaci která je neopravitelná (podobně jako například java.lang.OutOfMemoryError). Toto je zásadní rozdíl proti tomu kdy si výjimku hážu sám, to si totiž můžu vybrat potomka java.lang.Exception kde se počítá s tím že je aplikace může chytat a pokoušet se zpracovat.

To je správně, výjimka z assertu se nemá zachytávat - pokud selže assert, je to stav aplikace, se kterým se nepočítá. Pokud s danou situací počítám, musím upravit aplikaci tak, aby assert neselhával.

4903

Vývoj / Re:výjimka vs assert

« kdy: 24. 01. 2015, 19:03:05 »

Assert v Javě označuje předpoklady, které musí být splněné, aby kód fungoval správně. Když nejsou splněné, neznamená to nutně, že kód bude fungovat špatně - proto je kontrola assercí při vývoji zapnutá (aby se odhalila místa, kde se něco používá špatně), ale při provozu zapnuté být nemusí. Výjimka naproti tomu znamená, že tohle určitě nemůže dopadnout dobře.

Třeba píšu funkci, u které vím, že teď ji nikdy nebudu volat s null jako parametrem. V funkci je na to assert a při psaní neřeším případ, že by parametr byl null. Pokud ji ale s null někdo zavolá a má vypnuté asserty, může se stát, že ta funkce proběhne bez chyby. A nebo někde spadne na NullPointerException (v Javě). Pokud ale vím, že by ta funkce s null parametrem fungovala špatně, dám tam if a vyhození NPE.

4904

Software / Re:Cookies sledovaní a jak se tomu vyhnout

« kdy: 24. 01. 2015, 09:15:46 »

Vycházíte z mylných předpokladů. Například cookies jednoho webu nemůže číst jiný web. Dále s tím nijak nesouvisí IP adresy ani okna prohlížeče - cookies jsou určené právě k tomu, aby vás server poznal, i když se připojíte z jiné IP adresy, z jiné sítě, když pracujete ve více oknech prohlížeče. Míchat do toho MAC adresy je úplný nesmysl, ty se nedostanou dál, než na první router.

4905

Server / Re:Hosting zdarma na serveru

« kdy: 21. 01. 2015, 07:04:04 »

Nenapsal jste vůbec, co od toho serveru potřebujete. Jsou to jen statické HTML stránky? Nebo potřebujete PHP, Javu, Python, Perl, Node.js? Pokud něco z toho, máte nějaké požadavky na verze, rozšíření, konfiguraci?

Jinak existuje dost hostingů, které nějaký webhosting zdarma nabízejí. Případně bývá základní webhosting k dispozici, pokud si u některých společností zaregistrujete doménu.