Bezpečnost a sukromí v e-shopu

Bezpečnost a sukromí v e-shopu
« kdy: 21. 12. 2018, 13:02:25 »
Dnes som kupoval v nemenovanom eshope tovar a obchod mi poslal (okrem ineho) aj link na objednavku (html stranku). Ked som na ten link v tvare
Kód: [Vybrat]
/detail-objednavky-cislo_objednavky?6_miestne_hex_cisloklikol, tak som sa dostal na objednavku, kde boli vsetky moje osobne data, vratane adresy, telefonu, mailu atd ...
Nie som v eshope registrovany, takze udaje som vyplnoval pri nakupe rucne.
Nie je to trocha nebezpecne ?
Moze to tak v eshopoch fungovat ?
Ten link sice nie je nikde na verejnom mieste (prisiel mi do mailu) ale rozny boti ho mozu  objavit a to by sa asi nepacilo nikomu
« Poslední změna: 22. 12. 2018, 01:18:09 od Petr Krčmář »


karel

Re:bezpecnost sukromia v eshope
« Odpověď #1 kdy: 21. 12. 2018, 13:23:01 »
Pořád je to lepší, něž jak to mělo GME před rokem nebo kdy to bylo, že migrovali na nový systém a kdokoliv si mohl vytáhnout cizí osobní údaje na základě e-mailové adresy.

Každopádně i tak by to mělo být chráněno minimálně heslem.

Re:bezpecnost sukromia v eshope
« Odpověď #2 kdy: 21. 12. 2018, 13:24:03 »
Nie je to trocha nebezpecne ?
Moze to tak v eshopoch fungovat ?
Ten link sice nie je nikde na verejnom mieste (prisiel mi do mailu) ale rozny boti ho mozu  objavit a to by sa asi nepacilo nikomu
Pokud to číslo není sekvence (takže byste odečtením jedničky získal předchozí objednávku někoho jiného), nebezpečné to není, může to tak fungovat a běžně se to tak dělá. Roboti to objevit nemůžou, pokud ten odkaz někde nezveřejníte.

karel

Re:bezpecnost sukromia v eshope
« Odpověď #3 kdy: 21. 12. 2018, 13:26:29 »
Ale stačí, když omylem v adresním řádku při zadávání odkazu doplní mezeru a něco dalšího a google už o tom ví, ne?

Re:bezpecnost sukromia v eshope
« Odpověď #4 kdy: 21. 12. 2018, 13:38:18 »
Ale stačí, když omylem v adresním řádku při zadávání odkazu doplní mezeru a něco dalšího a google už o tom ví, ne?
Možná ten odkaz ani nemusí nijak měnit, záleží na prohlížeči a jeho konfiguraci. I tak se ten odkaz ale dozví jenom „antivir“, který varuje uživatele před podvodnými a nebezpečnými stránkami, když se na ně uživatel snaží dostat. Nedozví se to ale robot vyhledávače nebo nějaký jiný, který by mohl ten odkaz zveřejnit.


Re:bezpecnost sukromia v eshope
« Odpověď #5 kdy: 21. 12. 2018, 14:17:41 »
Cislo objednavky je jasne, ze system pocita zaradom cize  1,2,3,4 atd .... a za "?" vygeneruje 6 miestne hex cislo (mozno, ze to nie je hex, ale videl som tam len pismena do "f", preto som usudil, ze je to hex (ale to je jedno)).
Kód: [Vybrat]
/detail-objednavky-cislo_objednavky?6_miestne_hex_cisloTakze bezny clovek by sa asi netrafil k objednavke priradit spravne cislo (za "?").
Tak hadam to bude bezpecne :)

BTW minule som sa potreboval dostat k zaheslovanemu pdf a siahol som po pdfcrack. Viem ze na pdf heslo davam 8 znakov (male pismena a cisla) ale zrejme som si neulozil to heslo, tak som sa ho snazil vygenerovat pdfcrackom, ale po vypocitani dlzky generovania mi to vyslo na 2 roky :)
Neviem preco, ale pdfcrack vyuzival iba 1 jadro zo 4, ak by vyuzival  4 tak by sa to skratilo na pol roka.
pdfcracku som zadal [a-z0-9] a pocet znakov 8

Chuck

Re:bezpecnost sukromia v eshope
« Odpověď #6 kdy: 21. 12. 2018, 14:23:53 »
Koľko bitov má "detail-objednavky-cislo_objednavky?" ? Ono sa to môže zdať nebezpečné, ale ak je to dostatočne dlhé a náhodné (to čo tu spomínal tie sekvencie), tak je to rovnako ťažké uhádnuť ako heslo do emailu. Keď chceš zistiť, či existuje nejaká emailová adresa, tak to nie je problém (už len tak, že sa skúsiš s ňou zaregistrovať), ale ostáva ešte uhádnuť heslo. To je o počte bitov. Každopádne by som sa ich na tvojom mieste opýtal (a mali by to tam zverejňovať), ako dlho ten link bude existovať. Lebo to je druhý faktor. Prvý je, koľko to má bitov a druhý, koľko máš času, aby si to rozkódoval. Vo vyhľadávači to snáď nebude. Každá webstránka sa dá nastaviť tak, aby ju vyhľadávače neindexovali, tak snáď to v tomto prípade je nastavené. Aj keď nič nie je dokonalé. Z nejakého dôvodu Google dáva 8 výsledkov na site:dl.dropboxusercontent.com. A dokonca, ešte asi pred rokom ich tam boli tisíce. Normálne si si tam mohol čítať, aké posielajú ľudia download linky. site:yadi.sk mi dnes vyhadzuje jeden výsledok. Lenže Yandex mal na to pôvodne inú adresu, asi pred 2 rokmi sa mi tam objavilo yadi.sk , keď tvorím linky. Takú adresu zjavne dáva len Slovákom. A už si nepamätám, aká bola tá pôvodná, ale tiež tam boli tisíce výsledkov tak ako na Dropboxe. Heslovanie download linkov ponúkajú všetci len k platenému účtu.

No tak už si odpovedal, nejdem to teraz celé prepisovať.

kamil

Re:bezpecnost sukromia v eshope
« Odpověď #7 kdy: 21. 12. 2018, 14:45:58 »
K tomu tvrzení, že je to bezpečné, pokud to není sekvence čísel (nižší číslo-předchozí objednávka)
:pouze, je li to náhodné číslo. Ale teoreticky by to nějaký matlák naprogramovat, že to nedá jako sekvenci čísel, ale například jako  hash(číslo_číslo sekvence +možná sůl) nebo base64encode(číslo_sekvence)


Pokud používáte šmírovací prohlížeč, vaše chyba, stejně tak jako šmírovir

Chuck

Re:bezpecnost sukromia v eshope
« Odpověď #8 kdy: 21. 12. 2018, 14:52:06 »
@karel  Zadaním adresy do vyhľadávača sa tá adresa neindexuje. Na to je "submit url", čo majú vyhľadávače (okrem Duckduckgo). Pred pol rokom som si takto dal indexovať jednu stránku do Bing a nie je tam. Tí, čo majú webstránky, toto poznajú, že nie je ľahké sa dostať do vyhľadávača. A dobre, že som si teraz na to spomenul. Chcel som ti nájsť tú adresu, kde sa to zadáva a našlo mi tento článok https://blogs.bing.com/webmaster/september-2018/Anonymous-URL-Submission-Tool-Being-Retired  Takže už sa to nedá vložiť bez registrácie. Mne to vtedy ešte išlo vložiť, ale akurát vtedy s tým už asi končili, tak ju neindexovali.

e3k

Re:bezpecnost sukromia v eshope
« Odpověď #9 kdy: 21. 12. 2018, 15:00:02 »
Dnes som kupoval v nemenovanom eshope tovar a obchod mi poslal (okrem ineho) aj link na objednavku (html stranku). Ked som na ten link v tvare
Kód: [Vybrat]
/detail-objednavky-cislo_objednavky?6_miestne_hex_cisloklikol, tak som sa dostal na objednavku, kde boli vsetky moje osobne data, vratane adresy, telefonu, mailu atd ...
Nie som v eshope registrovany, takze udaje som vyplnoval pri nakupe rucne.
Nie je to trocha nebezpecne ?
Moze to tak v eshopoch fungovat ?
Ten link sice nie je nikde na verejnom mieste (prisiel mi do mailu) ale rozny boti ho mozu  objavit a to by sa asi nepacilo nikomu
internet je nebezpecne miesto. najlepsie zverejnovat co najmenej dat.
mne dnes napriklad prisiel spam email. ze som si vraj honil vtaka pred webkamerou a ze ked im nezaplatim nejake penaze tak to zverejnia. aby to vyzeralo vierohodne dali tam este jedno moje heslo ktore casto pouzivam na nete na low_security veci. To heslo bolo naozaj moje.

Re:bezpecnost sukromia v eshope
« Odpověď #10 kdy: 21. 12. 2018, 15:03:45 »
K tomu tvrzení, že je to bezpečné, pokud to není sekvence čísel (nižší číslo-předchozí objednávka)
:pouze, je li to náhodné číslo. Ale teoreticky by to nějaký matlák naprogramovat, že to nedá jako sekvenci čísel, ale například jako  hash(číslo_číslo sekvence +možná sůl) nebo base64encode(číslo_sekvence)
Nemusí to být náhodné číslo, stačí, aby to bylo nepředvídatelné číslo (nebo obecně data). Zkrátka abyste ze znalosti jednoho identifikátoru nemohl odvodit další. Např. hash(číslo sekvence + sůl) je dobrý způsob, jak se tyhle věci dělají – nemusíte si na serveru pamatovat žádný údaj a jenom na základě toho URL dokážete určit, že je to platné URL. Často se to používá právě pro URL zasílaná e-mailem, např. pro ověření e-mailu nebo reset hesla. Akorát se tedy používají delší kódy, tři bajty jsou dost málo, pokud tam není nějaké omezení platnosti v čase.

FrantaAA

Re:bezpecnost sukromia v eshope
« Odpověď #11 kdy: 21. 12. 2018, 15:13:52 »
Dnes som kupoval v nemenovanom eshope tovar a obchod mi poslal (okrem ineho) aj link na objednavku (html stranku). Ked som na ten link v tvare
Kód: [Vybrat]
/detail-objednavky-cislo_objednavky?6_miestne_hex_cisloklikol, tak som sa dostal na objednavku, kde boli vsetky moje osobne data, vratane adresy, telefonu, mailu atd ...
Nie som v eshope registrovany, takze udaje som vyplnoval pri nakupe rucne.
Nie je to trocha nebezpecne ?
Moze to tak v eshopoch fungovat ?
Ten link sice nie je nikde na verejnom mieste (prisiel mi do mailu) ale rozny boti ho mozu  objavit a to by sa asi nepacilo nikomu
internet je nebezpecne miesto. najlepsie zverejnovat co najmenej dat.
mne dnes napriklad prisiel spam email. ze som si vraj honil vtaka pred webkamerou a ze ked im nezaplatim nejake penaze tak to zverejnia. aby to vyzeralo vierohodne dali tam este jedno moje heslo ktore casto pouzivam na nete na low_security veci. To heslo bolo naozaj moje.

Příště si přes tu kameru hoďte aspoň kapesník (čiže vreckovku) ;-).

UPC manager

Re:bezpecnost sukromia v eshope
« Odpověď #12 kdy: 21. 12. 2018, 15:30:14 »
mne dnes napriklad prisiel spam email. ze som si vraj honil vtaka pred webkamerou a ze ked im nezaplatim nejake penaze tak to zverejnia. aby to vyzeralo vierohodne dali tam este jedno moje heslo ktore casto pouzivam na nete na low_security veci. To heslo bolo naozaj moje.
To už snad přišlo všem kdo mají email adresu :-)
Ale třeba u mě zapoměli že mám kameru stále ještě přelepenou originální nálepkou "HD Webcam" :-)

xhamsterr

Re:bezpecnost sukromia v eshope
« Odpověď #13 kdy: 21. 12. 2018, 16:40:31 »
mne dnes napriklad prisiel spam email. ze som si vraj honil vtaka pred webkamerou a ze ked im nezaplatim nejake penaze tak to zverejnia. aby to vyzeralo vierohodne dali tam este jedno moje heslo ktore casto pouzivam na nete na low_security veci. To heslo bolo naozaj moje.
To už snad přišlo všem kdo mají email adresu :-)
Ale třeba u mě zapoměli že mám kameru stále ještě přelepenou originální nálepkou "HD Webcam" :-)
u nej to bude pravda

Jenda

Re:bezpecnost sukromia v eshope
« Odpověď #14 kdy: 21. 12. 2018, 16:42:03 »
internet je nebezpecne miesto. najlepsie zverejnovat co najmenej dat.

Ano, například do diskutovaného eshopu je vhodné zadat falešné jméno, a pokud si vybírám doručení poštou, tak pro jistotu i falešnou adresu.