Názory k článku Jak jde (nejen) na Alza.cz nakoupit za cizí peníze [AKTUALIZACE]

Ne, ta SMS samozřejmě nechodí.

Zrovna včera jsem to řešil se svojí bankou a u předplatného na IHNED.cz. CHtěl jsem zaplatit kvůli jednomu článku 1 měsíc předplatného, údaje karty jsem nikam do profilu nevyplňoval, pouze při zadání jednorázově do platební brány. Jaké bylo mé překvapení, když se mi další měsíc samo strhlo předplatné. Podle banky je to OK, autorizace karty proběhla už při tom prvním zadání do platební brány a i když jsem nikam jinam č. karty neukládal, stejně mi obchodník částku strhnul a to bez jakékoliv bezpečnostní SMS. A dle banky je to běžný postup.

A ano, taky jsem to vydýchával dlouho, protože mně nenapadlo, že něco takového je možné.

Přesměrovali jsme veškerý provoz na https a můžu s jistotou říct dvě veci

nemělo to žádný měřitelné dopad na zátěž serverů

návštěvníkům se web naopak zrychlil (především díky SPDY)

Z čeho přesně vycházíte s údajem o 20-30%? To platilo možná před deseti lety, ale ne dnes když máme spdy, keep alive, session tickety, OCSP, moderní šifry, atd.

To, že existuje ještě jiná slabina (možnost, jak se dostat k session cookie), neznamená, že se nemá řešit slabina, o níž se jedná.

Ano, autor některé věci zjednodušil. Však to také neni článek pro úplné experty a cílem nebylo napsat zde vědeckou práci. Ilustrace pro někoho, kdo úvahy o ochraně session cookie považuje za nějaké bláboly teoretiků, protože u nás se přeci ve skutečnosti nikdy nic nestalo ( =nevíme o tom), to je.

Vždyť právě jen potvrzuji to, že když jednou kartu autorizuji (a příjde mi autorizační SMS), obchodník na ní následně může dělat srážky a žádná další SMS už nepříjde. To byl smysl mého příspěvku.

V mém případě to byla platba přes platební bránu. Předpokládám, že pokud číslo zadám přímo obchodníkovi do jeho systému, bude to stejné, při první platbě autorizace (SMS), při následné u stejného obchodníka již nikoliv.

Po mě tedy v Alze nikdo OP nikdy nechtel. A to jsem kupoval i TV za 20 tisic.

To se právě pletete. Registrace vyžadovala jméno a email. Mají tam měsíc za 1 kč, každý další za 299. Nikde žádný checkbox, který by mi dával na výběr, zda chci obnovovat předplatné pravidelně. Jen je tam napsáno: "s možností automatického prodloužení". Tedy objednal jsem měsíc za 1kč, po přesměrování na platební bránu jsem zadal a autorizoval platbu kartou na 1kč a tím jsem to považoval za skončené. Autorizoval jsem jednu platbu na platební bráně na 1 kč. Jenže ouha, po měsíci se mi stáhla platba na 299 kč, bez jakéhokoliv upozornění nebo autorizační SMS, a o tom je tahle diskuze.

A to, že to mají napsané někde ve VOP, se kterými jsem kvůli objednávce musel souhlasit, považuji za naprostou sfiňárnu. Ale to je jiná pohádka.

Šochu, ty jsi vůl. Takový typický malý Čech. Někdo upozorní na chybu a místo toho, aby se vedla diskuze o chybě, tak se začne lamentovat nad tím, kdo na to vlastně přišel, kdo je a co dělá a že je v tom určitě nějaký osobní zájem a židozednářská konspirace proti Alze.

Souki pronajímá e-shopy, Alza je e-shop. Nejsou konkurence. Abys to lépe pochopil - pronajímatel autosalonu není prodejce automobilů.

Vysvětlení najdete v podpisu autora článku:

Petr Soukup
Autor se živí tvorbou e-shopů a *prodejem SSL certifikátů*.

Pokud e-shop má identifikovatelné osoby (to má, pokud jsou dostupné jména a adresy, popř. jiné údaje), tak je povinen chránit je podle zákona. Nejde jen o peníze, i když na to se jistě pozornost na zabezpečení systému soustředí. Ano jistě, hodnocení rizika, rozhodnutí o ochranném opatření a jeho nákladech, popřípadě o akceptaci rizika, to jsou oprávněná rozhodnutí. Nic neni automaticky dané, nic neni jediným správným řešením. Že se to ale dosud nestalo (nevíme o tom), to by asi jako dostatečná analýza rizik bylo obtížně hájitelné.

Proč by mi někdo z banky telefonoval a chtěl po mě číslo karty? Banka mi tu kartu vydala, vyřizuje platby co s ní udělám a nezná její číslo? Co to je za blbost?

Ti co to zneužívají to už stejně léta vědí... Takhle se to maximálně dozví možné nebohé oběti, což je jedině dobře.

Dobrý den,
Pokud bych byl administrátorem Alzy tak je celý problém (dle mého názoru) řešitelný následujícím způsobem

nasadit do root adresáře .htaccess soubor ve kterém bude automatický enforce https spojení. Validní SSL certiofikát předpokládáím pro Alzu není problém.

RewriteEngine on
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTT­P_HOST}%{REQU­EST_URI}

Proto veškeré načtení alza.cz by automaticky skončilo na https://alza.cz

Problém vyřešen?

Pokud se mýlím prosím o opravu.

Děkuji

Přesně tak. Jen bych to ještě rozšířil o HSTS hlavičku a secure cookie.

Nejsmutnější na tom je, že Alza https má, ale dělá přesný opak - přesměrovává z HTTPS na HTTP

Každý zákazník má ve svém účtu přístup ke koupených audioknihám, e-knihám, softwaru a dalším "stažitelným" nákupům.

Lze díky ukradené session získat i tento obsah?

Pak není ani občanka, ani kamerový záznam.

Myslite snad obchodni zakonik co byl zrusen 1.1.2014 ?

OP po mně chtěli právě tehdy když byla objednávka hrazena předem. Pokud jsem ji platil na pobočce, byť třeba v dalekém platebním automatu, tak ji nechtěli.

Tak jeste jednou - ano, prave tehdy kdyz byla objednavka hrazena predem tak po me OP chteli. OP toho, kdo to vyzvedeva, nikoli OP toho kdo to objednaval. Aneb takhle jsem bez problemu vyzvedaval notebook, co si tchan objednal a predem zaplatil pod svym uctem.

Maji tam:
"Uvedené ceny jsou včetně DPH a platí při objednání na 12 měsíců. ;-)"

Nevím, jak Alza, ale dnes už je běžné měnit SessionID s každým požadavkem.

Cemu jste nerozumel na: "No pokud náklady na zabezpečení překračují výši reálné škody, je docela logické, že ochrana je zbytečná."

Ockuje se proto, ze realne skody z doby, kdy se neockovalo, o nekolik radu prekrocily, skody a vedlejsi negativni ucinky ockovani.

u Alza uz nekupuju z naprosto jineho duvodu- pres nekolikere upozorneni a nastaveni v profilu zakaznika mi soustavne, uporne a vytrvale posilali spam- a to ja proste nesnasim...

Ovce jsi ty, ten clanek vyjde pred X dny nekde uplne jinde. Ale chapu, pochopit to je mooooc slozite.

Koukám na to, je to vcelku rozumná konfigurace, ale teda tu MD5 bych raději vypnul...dá se spočítat v reálném čase

To není pravda, přečtěte si něco o SNI. Co se týče ceny tak 100 Kč na rok Vám přijde ruinující?

Jde o to aby se md5 nepoužívala pro ověřování certifikátu což umožňuje přesně to čemu se chcete bránit, tedy podvrhnout doménu

TLS v HTTP/2 vyžadováno není. Chrome i Firefox ho ale údajně budou vyžadovat (IE nevím) bez ohledu na specifikaci. Takže ve specifikaci sice ustoupili, ale v reálu se podle všeho dočkáme rozumného nasazení.

Pokud jde o SSLabs, tak samozřejmě všude A+ :)

Soukromou informací je už to, že si daný blog čtu. Nemusím se na něj nijak přihlašovat, ani posílat komentář.

Ono je to ještě jinak. Z toho co můžu posoudit, tak včera žádné bezpečnostní změny nedělali. Nějaké dělali asi před měsícem (podle popisu jsou to zřejmě ty co mysleli ve vyjádření), ale těmi naopak zabezpečení ještě zhoršili. Stále funguje ten samý postup bez změny,

Podrobněji kdyžtak tady - https://www.souki.cz/alza-si-eshop-zabezpecovat-neplanuje

No a například u ve článku popisovaném způsobu, je bilance třeba opačná.

Navíc se to týká jenom IE na XP. Chrome i Firefox používají vlastní knihovny, takže se jich to netýká.

Ono ani neni potreba kupovat drahe EV certifikaty, ale naucit uzivatele (vim, ze to muze byt problem), aby pouzivali DNSSEC a DANE a na svych web sitech tyto technologie zavedli take.
Viz napr.: https://ahimsa.lamed.cz/blog/index.php?article7/dane-https

Nemohu souhlasit s názory v diskusi, které říkají že http je mrtvé a všechno všude by se mělo přesměrovat na https.
Protože třeba u nás ve firmě je htttps zablokované a občas mě pěkně štve, že se nemůžu podívat ani kolik daná věc v obchodě stojí (bez přihlášení), protože mě to furt cpe na zakázané https.
Myslím, že dokud se nepřihlásím je https zbytečné.
L.

No například přímá konkurence Alzy, Amazon to má taky tak. Dokud nejste přihlášen, používá se http.

Hidden pole neni "alias captcha". Captcha nebývá hidden. :-)
Hidden pole neni ochrana proti session hijackingu.
Hidden pole je ochrana proti CSRF - Cross Site Request Forgery. Ochrana proti CSRF by na slušném webu samozřejmě měla být taky.
Ale nechrání to proti napadení session cookie.

Tak tomu se stejně neubráníte, časem vaši mimiku bude zkoumat každý elektronický obchod. Obchodníci to tak dělají od nepaměti.

Já si deštník neberu, když jdu ven. Než se otravovat s taháním deštníku, když neprší, to raději trochu zmoknu, a ve městě vždy najdete cestu, která vás částečně před deštěm ochrání.

A pojištění není předběžná opatrnost, pojištění nebrání tomu, aby se něco nestalo, ale jen následně vám poskytne prostředky na opravu. Omezí škodu shora, tedy na částku, jakou jste na pojištění zaplatil. Tratíte ale stejně. I když se nic nestane.

Klasickým podvodem zvaným předběžná opatrnost je indoktrinace přesvědčením, že když něco uděláte, tak zcela jistě neblahému jevu zabráníte. Nezkoumá se už to, jak daný neblahý jev je pravděpodobný, jaká hrozí reálná výše škody, takže předběžně opatrně se můžete chránit před dalšími a dalšími neblahými jevy. A to je taky cílem této manipulační techniky. A to je taky podstata tohoto podvodného jednání.

Z hlediska systému je předběžná opatrnost škodlivá, protože nealokuje prostředky efektivně. Postrádá zpětnou vazbu. Pojištění ji má, každá pojišťovna zkoumá pravděpodobnost a výši škody a náklady pak rozpočte na účastníky pojištění. Což vede k efektivnímu nakládání s dostupnými zdroji. Pojišťovny z hlediska systému vytvářejí rezervu na odstranění škod. Nic více.

"Já si deštník neberu, když jdu ven."

Váš boj.

"A pojištění není předběžná opatrnost, pojištění nebrání tomu, aby se něco nestalo, ale jen následně vám poskytne prostředky na opravu."

Samozřejmě že pojištění je předběžná opatrnost. Stejně tak jako vámi zmiňované airbagy. Asi mi nechcete tvrdit, že airbagy zabrání nehodě, že ne? Nebo že zcela jistě zabrání neblahému jevu zranění či smrti.

"Klasickým podvodem zvaným předběžná opatrnost je indoktrinace přesvědčením, že když něco uděláte, tak zcela jistě neblahému jevu zabráníte."

Hloupost. Předběžným opatřením lze minimalizovat případné následky. Zjednodušený příklad: hashování hesel v DB. Nezabrání to případnému úniku, ale zabrání to zneužití získaných hesel.

"A to je taky podstata tohoto podvodného jednání.-"

Předběžné opatření není žádné podvodné jednání.

"Z hlediska systému je předběžná opatrnost škodlivá, protože nealokuje prostředky efektivně."

S tím vaším efektovním využitím prostředků, které omíláte pořád dokola, jděte už do zadele.

Píšete hlouposti, což vám ostatně psala už řada lidí i v minulých diskuzích. A opět mě přestalo bavit vám ty nesmysly vyvracet.

Takže se ve firmě nedostanete třeba ani Google?

V eshopu nejde o život, jen o nákup celkem zbytečných věcí. Dělat z toho více, než to je, je chyba. Prostě vytváříte nereálné situace a na ně se jakoby připravujete. To nejsou relevantní argumenty. Je to jen manipulace.

S deštníkem denně bojujete vy, co kdyby začalo pršet. Já maximálně tak chvilku počkám, až nejprudší déšť trochu poleví :-))) A pojištění opravdu není nic jiného, než rovnoměrné rozpočítání statisticky odhadnutých škod na všechny účastníky pojištění :-)))

Něco jiného je dodavatel zboží/služeb, tam je takový zásah nepochybně špatný, a něco jiného zaměstnavatel, jehož výrobní prostředky používáte a který vás platí za práci. Ten má pochopitelně právo sledovat provoz na své síti a to z mnoha důvodů. U zaměstnavatele neplatí žádná síťová neutralita :-) BTW já jako šéf bez problémů řeknu zaměstnancům do očí, že síťový provoz je monitorován, pokud tomu tak bude.

"V eshopu nejde o život"

To jsem ani netvrdil.

"Prostě vytváříte nereálné situace a na ně se jakoby připravujete."

MITM není žádná nereálná situace, takové útoky se opravdu dějí. Čím větší e-shop (nebo jiný zajímavý cíl) s vysokým počtem zhodnotitelných údajů, tím větší pravděpodobnost.

"Je to jen manipulace."

Zjistěte si, co je to manipulace.

S deštníkem není třeba bojovat, složený je malinký a v pohodě se vejde do tašky či kapsy. Nemusím pak nikde čekat jako idiot, než nejprudší déšť poleví (pokud je zrovna kde čekat), a pak ještě moknoit v tom méně prudkém děšti.

"A pojištění opravdu není nic jiného, než rovnoměrné rozpočítání statisticky odhadnutých škod na všechny účastníky pojištění :-)))"

Co je to za debilitu? Já se bavím o pojištění z pohledu pojistníka, ne pojišťovny. BTW ani z pohledu pojišťovny není tato definice správná. A nic to nemění na tom, že pojistit se znamená provést předběžné opatření.

No z pohledu pojistníka je to ještě horší, pojistná matematika je konstruována tak, že platíte škodu jiným. Je založena na tom, že u většiny pojistníků ke škodní události nedojde. A toto se musí zdůvodnit strašením a předběžnou opatrností. Co kdyby nastala nějaká nereálná událost. To je obchodní model každé pojišťovny. Čím je pravděpodobnější, že ta událost nastane, tím více se to blíží tomu předchozímu pohledu.

Ono do nákladů na pojištění nemůžete započítávat jen cenu, kterou jste zaplatil před škodní událostí, ale i po ní, kdy v pojištění pokračujete. A to si málo kdo uvědomí, a proto taky pojišťovny mohou existovat.

Je to tak i antivir to dela a je nutné to pres infolinku odhlasit, jinak se kazdy rok předplatné samo strhne.
Kreditni karty zabezpečení sms nemivaji, neb jejich cislo hlasite treba i při rezervaci hotelu a když neprijedete, strhnou si pokutu sami.

Pořád se toho ale dá vyčíst výrazně méně, než kdyby tam nebylo. Například my hostujeme v cloudu AWS, takže vyčtená IP není až tolik platná. Adresy totiž poměrně často rotují, takže by se musely analyzovat okamžitě a ne až třeba zpětně z logu. Nemluvě o tom, že na jedné IP může být více webů.

Ono by asi stačilo zveřejnit pár odchytnutých interních emailů a hned by bylo https povolené :)

no konecne, uz jim to ruzni lide hlasili nekolikrat. Tak snad to opravi i v Android aplikaci

"No z pohledu pojistníka je to ještě horší, pojistná matematika je konstruována tak, že platíte škodu jiným. Je založena na tom, že u většiny pojistníků ke škodní události nedojde."

Ještě horší než co? Jinak ano, na tomto je založeno pojištění a dává to smysl. Proto nemusíte u pojištění do výše třeba 50 milionů platit statisícové pojistné.

"A toto se musí zdůvodnit strašením a předběžnou opatrností."

CO se musí zdůvodnit? Existence pojištění? :-D Proč musí?

"Co kdyby nastala nějaká nereálná událost."

Každá událost je více či méně nereálná přesně do okamžiku, než se stane.

"To je obchodní model každé pojišťovny. Čím je pravděpodobnější, že ta událost nastane, tím více se to blíží tomu předchozímu pohledu."

No a?

"Ono do nákladů na pojištění nemůžete započítávat jen cenu, kterou jste zaplatil před škodní událostí, ale i po ní, kdy v pojištění pokračujete. A to si málo kdo uvědomí, a proto taky pojišťovny mohou existovat."

Vaše logika a dedukce je opravdu kouzelná :-D Nikdy by mě nenapadlo, že do nákladů pojištění musím započítat všechny platby, do teď jsem si myslel, že jen ty do škodné události. Díky, že jste mi to vysvětlil :-)

A teď nám tady ještě prozraďte, který lump vymyslel podvod jménem předběžné opatření.

Tak konkrétní příklad, havarijní pojištění automobilu, cena automobilu cca 300 000, pojistné All Risk, 6700 u nejmenované pojišťovny, takže pokud budete vlastnit automobil od svých 20 let do 70 let, tak na pojistném zaplatíte cca 335 000 Kč, když odhlédneme od inflace. A je docela pravděpodobné, že skutečné škody za tu dobu budou o dost menší a jen velmi malá pravděpodobnost, že budou vyšší.

Takže ani na jednu otázku jste neodpověděl, zato jste vyplodil jakýsi nesmyslný příklad, ve kterém budete jezdit stejným autem 50 let, a který má zřejmě něco obhajovat, ale já absolutně nevím, co vlastně :-D

Tak aut bude samozřejmě více, cena pojištění více méně stejná. A z uvedeného příkladu plyne, že v případě auta na pojištění spíše proděláte, než vyděláte. Vidíte, z vámi uvedeného plyne, že náklady pojištění taky počítáte jen do pojistné události a ne i po ní. Ale samozřejmě, abyste na pojištění vydělal, musel byste pojištění po pojistné události zrušit, jinak škodu pojišťovně časem doplatíte.

"Tak aut bude samozřejmě více, cena pojištění více méně stejná."

Jeno ty náklady za auta se budou poněkud lišit od těch vašich 300 tisíc, že? ;-)

"A z uvedeného příkladu plyne, že v případě auta na pojištění spíše proděláte, než vyděláte."

Účelem pojištění není vydělat, vy trdlo.

"Vidíte, z vámi uvedeného plyne, že náklady pojištění taky počítáte jen do pojistné události a ne i po ní."

Co prosím? To tedy nevidím.

"Ale samozřejmě, abyste na pojištění vydělal, musel byste pojištění po pojistné události zrušit, jinak škodu pojišťovně časem doplatíte."

Opět, pojištění není od toho, abyste vydělal. Pojištění je od toho, abyste snížil případné následky nějaké škodné události. Spoléhat se na to, že ta událost nemůže nastat, je nezodpovědnost - lépe řečeno idiotství. Stačí pitomá prasklá hadice u pračky a škoda se může vyšplhat do stovek tisíc.

A opět odpověď na mé otázky nikde. Myslím, že další pokračování nemá smysl.

Typický príklad je Microsoft, alebo Google. Po prvom zadaní platobnej karty do Microsoftu to chce číslo karty, platnosť a CVV, následne je možné platiť bez ďalších potvrdení (zobrazí sa len posledné štvorčíslie karty, ktoré sa potvrdí a platba prebehne). každý kto kupuje software na XBOX si to môže overiť..... V Play Google je to obdobné, aj keď tam sa dá nastaviť potvrdenie platby cez SMS.

Ono je dosť podstatný rozdiel pri platbe DEBETNOU kartou vydanou k účtu, alebo platbou KREDITNOU KARTOU. Naštudujte si rozdiel medzi týmito kartami.... Niektoré banky možno umožňujú nastaviť autorizáciu platby cez SMS aj pri KREDITNÝCH kartách, ale nie je to pravidlo a ani povinnosť.

Už vidím koľko ľudí bude súhlasiť s tým, aby sa na NIMI PLATENÉ pripojenie prihlasovalo X cudzích ľudí (alebo každému routru navýšia kapacitu, pričom navýšená časť bude využívaná v prospech vytváranej dátovej siete???).... Naviac pokiaľ routre od UPC nedokážu vytvárať WIFI siete DVE (jednu privátnu pre užívateľa služby a druhú VEREJNÚ pre užívateľov ich wifi siete), tak je to celé nezmysel - hocikto by sa mohol prihlásiť do súkromnej siete osoby, ktorá má router od UPC a šmírovať....

A v cem je ten podstatny rozdil pri platbe? Ja bych rekl, ze platba obema probiha naprosto stejne :)
A co se tyce 3D Secure a autorizace SMSkou, pokud se to banka rozhodne podporovat a zapnout, tak to proste zapne vsem a hotovo. Nevim o bance kde bych to mohl sam vybirat.

Kdyz po mne v alze chtivaj obcanku, tak neresi jmeno, ale jeji cislo, ktery si opisou.

Jeste mne napada... kdyz se mluvi o elektronickym dodani, tak to ma svuj archiv, takze se tak lze dostat k zakoupenymu... rekneme obsahu.
Ale bylo by fer rict, ze dneska alza jede https i bez prihlaseni a snad i vsude. Detailni provereni necham expertum.

Nic si z toho nedělej, poprvé se to stalo každému. JE TO PODVOD, protože hajzlové zenužívají, že lidi nečtou podmínky.

Jak budete s jednorázovým ID řešit stížnosti uživatelů, že si chtějí otevřít několik stránek najednou? Třeba když si budou chtít porovnat dva podobné produkty? Obávám se, že vaše řešení je horší než původní problém.

A neděje-li se něco reálně, nemůže dojít k porušení zákona, jakéhokoliv. Zákon nemůže postihovat hypotetické činy, nebo to, co by se mohlo stát, ale jen to, co se stalo reálně. Zákony nemají žádnou moc něčemu zabránit, protože platí jen pro ty, co se je rozhodli dodržovat a reálně neplatí pro ty, co nemají v úmyslu je dodržovat. A vždy mizivé procento takových to jedinců existuje.

No já se v každém e-shopu registruju vždy znovu, protože heslo obvykle do dalšího nákupu ztratím, a nebo se mi ho nechce hledat, takže nemám potřebu se tam dívat :-)) Jinak ale proč byste přišel o objednávky, jen takového zákazníka převedete do přísnějšího režimu kontroly identity při předání zboží. Zákazník si ničeho nevšimne.

To jste ale autorizoval opakované měsíční předplatné. To je něco úplně jiného než dvě nezávislé platby s jinými částkami.

Dnes je to v podstatě už jen kulturní zvyk, není třeba ho násilím měnit. Náklady na něj systém už absorboval. Neovlivňují dynamiku systému. Nemá smysl se tím tedy zabývat. Dojde-li ke kolapsu civilizace, zanikne s ní.

Neni jednodussi vzit rozbrusovacku a navstivit jejich sklad?
Lupa by mohla vydat clanek o zabezpeceni pocernickeho skladu, s tipy na slepa mista kamer, trasy hlidacu, dojezdovych casu bezpecnostnich agentur... Ale nezapomente napsat, nedelejte to.

Vy jste snad zastáncem nesmyslu zvaného předběžná opatrnost? Vždyť je to jen totalitní manipulativní technika, jak vám vnutit něco, co nechcete. Vezměte si příklad lak auta. Ten je jednoduché poškrábat, třeba klíčem. A jen stochasticky je dáno (stává se to zřídka), že auta poškrábaná vesměs nejsou. Automobilky nijak lak automobilů před poškrábáním hřebíkem, či klíčem nechrání. Podívejte se v jak úžasném světě žijeme, tak křehká struktura, jako vyleštěný lak automobilu, vydrží tak dlouho. A přitom je tak snadné, ho poškrábat. Může to udělat kterýkoliv kolemjdoucí.

Výše už to někdo rozebíral, ale je s tím pak problém, když máte web otevřený ve více záložkách. Stejně tak u ajax požadavků (ale tam se to řeší zase jinak).

Což lze doložit... eh... hromadou sebejistých keců vakcinologů?

Děje se něco takového v masovém měřítku? Ne. A protokol http se používá masově. Takže jde jen o hypotetickou možnost.

Oni snad zveřejňují interní firemní maily. Číst je budou i přes https.

Ono je dosť podstatný rozdiel pri platbe DEBETNOU kartou vydanou k účtu, alebo platbou KREDITNOU KARTOU. Naštudujte si rozdiel medzio týmito kartami.... Niektoré banky možno umožňujú nastaviť autorizáciu platby cez SMS aj pri KREDITNÝCH kartách, ale nie je to pravidlo a ani povinnosť.

A co je tedy účelem pojištění? Prodělat? U auta máte škody za 300 000 v průměru za celý život, na pojištění zaplatíte taky tolik, takže z toho plyne, že havarijní pojištění auta je nesmysl.

A pokud nekomu chodi overovaci SMS pri platbe kartou, tak rozhodne pri kazde platbe.

To samé platí i o zákonech. Je-li takový zákon, pak do systému zavádí poruchu, vede k neefektivitě, což přispěje svou troškou do mlýna ke krachu evropské civilizace.

No pokud náklady na zabezpečení překračují výši reálné škody, je docela logické, že ochrana je zbytečná. Reagovat je potřeba, až se ten poměr změní. V poušti taky není rozumné vodu vypít předem, aby nedošlo k dehydrataci organizmu, naopak, vodu pijete teprve až ta dehydratace je na hraně devastace. To by nemohly fungovat samoobsluhy, kde oproti pultovému prodeji je část zboží ukradena a počítá se s tím při kalkulaci ceny zboží. Přesto samoobsluhy zcela vytlačily pultový prodej.

musí mít své meze. Jinak systémy, které bude produkovat, budou drahé a neprodejné a nebo budou složité v obsluze a neprosadí se. Při troše větší systémové paranoi, by žádný eshop ani nevznikl, protože zakládat ho na bezestavovém protokolu, je nebezpečné už z podstaty věci.

Existence matematiky je pravděpodobně nehoda, výsledek chyby a špatně zabezpečeného kódu. Viz zde http://osel.cz/index.php?clanek=8088

Při výdeji chtějí OP, takže případný podvodník by byl velice rychle dohledán.

A je to ale vůbec chyba? Pokud reálně nedochází ke škodám, tak to chyba není.

Argumenty ne-moc-použitelnosti v jiných komentářích ano... Ale měli byste si uvědomit, že cca 20 - 30% výkonu navíc, kdyby všechno běželo přes TLS, je, zvlášť při miliardovejch obratech, jenom výsměch.

To je furt bezpečnost sem, bezpečnost tam, a pak neandrtálec z kasy dole v chlívku vyplodí onu obecnou větu z bezpečnostních jeslí...

Trapný. Ubohý. Pravěkký. Amatérský.

Asi před rokem jsem kupoval na Alze nějaké dražší zboží a platil jsem kartou. Při vyzvednutí zásilky po mě na pobočce chtěli vidět občanský průkaz. Pokud to nebyla nějaká soukromá iniciativa jedné pobočky - o čemž dost pochybuju - tak způsob popsaný v článku jednoduše nefunguje.

No vzhledem k tomu, že třeba za tři roky existence shopu k ničemu takovému nedošlo, jsou to vyhozené peníze.

Autorův záměr udělat si reklamu na svoje služby potažmo svoji osobu je zcela zřejmý a Lupa byla tak hloupá, že ve snaze o senzaci článek přetiskla.

Být na straně Alzy, tak pana Soukup a Slížka žaluju za navádění k trestnému činu stáhnu z nich kalhoty. Nějaké větičky o tom, že to není návod jsou k ničemu, protože autoři prokazatelně věděli, že zákazníci Alzy a dalších eshopů mohou být poškozeni a neučinila nic, aby tomu zabránili.

Z pohledu zákazníka i obchodníků to jednání považuju minimálně za hrubě neetické, protože se najde uričtě hromada trotlů, kteří si to budou chtít vyzkoušet a každý z nás je zákazník, kterého se to může týkat.

Co se týče bezpečnosti, kromě ověřování OP zapomínáte ještě na kamerový systém, vpozměňte si na krásné záběry pána, který si z Alzy odnesl zboží bez zaplacení.

Spolehlivě to řeší statistika a vzorce chování, chování útočníka je totiž jiné, než vlastníka účtu, takže z historie prohlížení stránek se dá určit, kdo je útočník. Například útočník je ten, kdo se chce podívat na nacionále majitele účtu. Proč by se někdo díval na to, jak se jmenuje.

většina lidí nekrade i když může. Jinak toto je zřejmě PR článek telefonního operátora, který takto bojuje proti UPC zamýšlené Wifi síti, která bude konkurovat mobilnímu připojení k internetu a bude pro klienty UPC zdarma.

Ještě se divíte nám kdo nakupujeme pouze na dobírku a pokud takovou možnost e-zloděj nenabízí, tak od něho nekoupíme ani špendlíky? Dobírka je rychlá a relativně bezpečná. A hlavně nemusím nikomu vykládat jaké mám číslo kreditky nebo čekat až banky milostivě převedou peníze z mého na cizí účet. Jde jim to jako lačnému sr_an*í!

Hoďte na něj deku, nebo ho zabiju...

EV certifikat stoji ja nevim, 100 dolaru rocne? Netvrďte ze pro jakykoliv shop je to problem.

V článku je zmíněný zelený zámeček, nikoliv rámeček. Na ten stačí obyčejný certifikát za 100Kč/rok.

EV certifikát je samozřejmě lepší, ale souhlasím, že pro eshop to může být zbytečné.

Jak ale správně nakonfigurovany server nebo aplikace vyřeší možnost odposlechnuti session?

Díky za doplnění, to je rozhodně důležitá informace, která do článku patří. Pak prostě nezbývá, než chybu zveřejnit.

Politologicky-filosofická debata o tom, do jaké oblasti má nebo nemá zasahovat zákon, je asi mimo scope článku o tom, zda jde odposlechnout session cookie a zda to něčemu vadí. Na tuto část tedy nebudu reagovat.

Svou poznámku jsem připojil pouze z toho důvodu, že "vyhovění právní regulaci" je důležitým parametrem pro analýzu / hodnocení rizika. Toť vše.

Některé sankce nebo pravomoci jsou stanovené za nesplnění určitých povinností k ochraně i v případě, že ještě neni prokázán reálně nastalý únik, porušení integrity nebo dostupnosti údajů, jejichž ochrana je předepsána.

Jestli se vám / nám to líbí, nebo ne, opět neni z hlediska ochrany session cookie u nějakého určitého provozovatele webových služeb tak moc podstatné.

Toto je úplně "normální" zkoušeli jste hrát nějakou online hru třeba? taky se peníze strhávají normálně každý měsíc (dva, tři....) a nic nikdo nepovrzuje.

V Alze je jedno jakou občanku u výdeje ukážete, je to proto aby věděli komu to vydali, ale není podmínka že si to objednavatel musí vyzvednout osobně.

No, jméno matky za svobodna jo, nebo jinou předvolenou kontrolní otázku. Případně některé z čísel komunikačního pinu. Ale nikdy po mě nechtěli číslo karty, nebo účtu.

Toto mohu potvrdit. Také jsme převedli weby na HTTPS a pokud se to udělá inteligentně (podpora OCSP staplingu je nutnost a SPDY rovněž), pozitivní vliv na rychlost to rozhodně má. Navíc klesl počet "spammerských registraci", zvláště jednodušší roboti nemají HTTPS v lásce.

Přesně tak. Nevznikla by ani kreditka.

Koupit si něco jen díky znalosti jakéhosi čísla a třímístné "pojistky"???

Ta čísla jsou vidět pouhým okem a kartičkou s nimi šermujete při každém placení. Je to dost bezpečné?

samozrejme ze NECHODI RB/FIO zaplaceno tak cca 100k pres ulozenou kartu za mesic.

Což ale znamená, že pokud si pachatel útoku nepořídil i falešnou občanku nebo nehodlá s ukradenou televizí uprchnout na Bahamy, bude mít problém.

Člověče, jděte už s těmi svými nesmyslnými teoriemi, kterými zaplevelujete diskuze, do někam. Téměř půlka příspěvků jsou ty vaše nesmysly.

Jelikož se ale občanka jen ukáže (a evidentně ne vždycky), tak bude pravděpodobnost dopadení záležet na četnosti jména. Josef Novák je asi ideální kandidát.

Odběr na pobočce je každopádně jedna z možností. Máme Alzaboxy, PPL nebo třeba elektronické dodání.

Fio 3DSecure neumí, takže tam nic chodit nemůže.

Já základní problém vidím jinde. HTTP prostě musí umřít - není vhodné ani na weby s hloupými obrázky kočiček. Tvůrci browserů a firmy jako google to vědí a proto ho dávno nepoužívají. Bohužel při tvorbě http 2.0 se to povinné písmenko s na konci prosadit nepovedlo - ne kvůli hospodským kecům, že to není potřeba, ale právě kvůli různým agenturám na 3 písmena a šílenostem typu služba zákazníkům alá Lenovo (injektováním reklamy do https).

HTTPS only připojení by mělo být součásti každého rozumného hostingu a pro e-shopy by toto vůbec nemusely řešit.

Poslední měsíc se ve volném čase zabývám tím, že otravuji všechny velké české weby (i e-shopy) s konfigurací SSL, těch pár které ho mají, ho mají blbě a to dost. Třetina má Fko, zbytek se plácá kolem Cčko a pak sem tam nějaké A nebo B. Pochlubte se jaké je hodnocení vašeho webu podle ssl testu od ssllabs? HTTP beru jako F- a až mi řeknetě co máte, pak teprve budu brát vážně vaše komentáře, co všechno stačí a co ne

Ano, jsem zastáncem nesmyslu zvaného předběžná opatrnost. Proto jsem třeba pojištěný proti úrazu, i když běžně lidé neskáčou ze skály, proto mám pojištěný byt, i když běžně lidé nevytopují sousedy ani nezapalují domy, proto šifruji, proto jsem na pozoru, když je v dohledu skupinka hlučných spoluobčanů, atd. atd.. A všechno to dělám dobrovolně, i když vím, že tato opatření nikdy nemusí vejít v platnost, nikdo mi nic necpe. Předběžná opatrnost je každodenní součástí života a uplatňuje se kolikrát bez toho, abyste nad tím přemýšlel - např. když jdete ven a vezmete si deštník, i když zrovna neprší. Opakuji: píšete totální nesmysly.

A vrátíme-li se k tématu článku, tak zabezpečení proti tomu, co bylo popisováno, může být formou pojištění, tedy, že si vytváříte rezervu, pro případ vzniku takové škody. Má to výhodu, že pokud se nic nestane, tak prostředky vám zůstávají, oproti stavu, kdy investujete do nákladného předělání informačního systému a doplnění dodatečných zabezpečení. Co by mělo rozhodnout o tom, kterou cestu zvolíte je empiricky změřená pravděpodobnost výskytu a výše možné škody. Ne vždy se vám vyplatí předělávat starý systém. U nově vytvářených systémů je to jiné, tam samozřejmě musíte vycházet z aktuálních standardů.

Pokaždé když použijete HTTP umře koťátko...

Zajímalo by mne co by Vám v práci řekli jako důvod proč vám https blokují...abychom mohli lépe monitorovat své zaměstnance asi není něco co by vám každý šéf řekl přímo do očí

Opět jde o takzvanou síťovou neutralitu. Jednak si obsah vašeho prohlížeče nemá kdo číst, ale také by ho neměl nikdo modifikovat! Můžu se takto rozhodnout, že si třeba na apríla vystřelím z kolegů a místo všech obrázků jim budu ukazovat Kačera Donalda...nebo do každé stránky přidám navíc javascript co bude fungovat jako keylogger, nebo nějakou opravdu otravnou písničku na pozadí a zapnu u toho webkameru abych viděl jak se tváříte...proč ? Protože prostě můžu. Za to by mě sice jako jednotlivce nejspíše zavřeli, ale některé firmy s něčím podobným koketují, viz poslední problém Lenova nebo úprava http hlaviček americkými operátory Verizon a AT&T

"A vrátíme-li se k tématu článku, tak zabezpečení proti tomu, co bylo popisováno, může být formou pojištění, tedy, že si vytváříte rezervu, pro případ vzniku takové škody."

To je stejně pitomá rada jako místo opatrnosti při řízení, pásů, airbagů a dalších opatření si radši budete šetřit na pohřeb a rakev. Když se nezabijete, tak peníze vám zůstanou. Pevně doufám, že s vámi nebudu mít v životě nic společného.

No ano, a v případě eshopu rozhodují peníze, co vyjde levněji, zda nějaká rezerva v cenách na případné škody, nebo dočasně spolehlivá softwarová opatření, která taky nejsou zadarmo. Většinou vždy jde o nějaký mix tohoto. A je na provozovateli eshopu, jakou strategii zvolí.

Nějaký Svatý Grál jediného správného a vždy platného řešení neexistuje. Dovedete si představit, jakou výpočetní silou budou disponovat boty, kdyby se rozšířil internet věcí? Rozlousknout pak nějakou šifru bude o dost snadnější.

Ale samozřejmě strategie každého konzultanta v jakémkoliv oboru vždy je, nejprve nastínit, jak vše děláte špatně, a následně předestřít, jak je to třeba dělat, protože to tak dnes dělají všichni vyspělí uživatelé.

Ano, lidská komunikace je založena na manipulaci :-)))

Myslite krome statnich agentur na tri pismena a vetsiny marketingovych firem a dvou nejvetsich americkych mobilnich operatoru ? Ne, krome nich to nikdo jiny ve velkem nedela </sarcasm>

Takova naivita ...

Pamatujete si jeste, je to par let nazad, opakovanou nefunkcnost UPC siti (vsude)? Vite cim byla zpusobena? Nefunkcnim DHCP. Vite proc? Protoze se dlouhe roky pouzivala dvojice linuxovych stroju, ktere fungovaly zcela spolehlive. Ale pani namageri obdrzeli uzasne obrazkove PR materialy, plne barevnych grafu, rozesmatych rodinek, atd. A tudiz direktivne naridili prechod na jakysi bastl, ktery jim onen dodavatel nabidl. Technicke aspekty nikdy nikoho nezajimaly.

Toto bude presne stejne. Zakazniku se nikdo ptat nebude a admini to dostanou rozkazem.

coz lze dolozit ucebnici dejepisu...

je to navadzanie k trestnemu cinu aj ked stupidne....kto pochybuje tak to posunme ad absurdum...bolo by navadzanie k trestnemu cinu popisanie ako kvalitne natocit a efektivne a skryto distribuovat detsku pornografiu? jednoznacne ano

3. obet musi mit u alzy ulozenou kartu
4. obet nema u karetnich transakci dalsi zabezpeceni
5. u vydeje zbozi nechteji obcanku

souhlasim, ze nejaky vzorek splnujici kriteria se najde, ale prijde mi to jako hodne spatne skalovatelny utok - playstation s televizi si mozna odnesete, ale zbozi za statisice uz asi ne.
to bych radsi orezaval ty alza kredity...

Zelený rámeček určitě není nutnou podmínkou, znamená, že certifikáty serveru jsou typu EV (Extended Validation) a vydavatel ověřil totožnost žadatele o certifikát lépe, než pouze zasláním mailu na doménovou adresu, tak jak to probíhá u standardních certifikátů.

EV certifikáty jsou samozřejmě důvěryhodnější, bohužel je jejich cena mnohonásobně vyšší, takže si je pořizují obvykle jen větší instituce.

> Být na straně Alzy, tak pana Soukup a Slížka žaluju za navádění k trestnému činu

Takže každý, kdo zveřejní bezpečnostní chybu, navádí k tresnému činu? A je opravdu lepší takovou chybu tutlat a doufat, že jí nikdo jiný nenajde a nezneužije?

K diskuzi je způsob, jakým chybu oznámit, jak se chovat, když firma upozornění ignoruje a neopravuje. Hlásil vůbec autor chybu a způsob zneužití alze?

Naopak může firma jít takovým testerům / slušným hackerům naproti a nabídnout určitou odměnu, slávu a spolupráci při řešení bezpečnostních chyb. Třeba jako nedávno t-mobile (http://www.lupa.cz/clanky/t-mobile-rozjizdi-vlastni-bug-bounty-za-bezpecnostni-chyby-zaplati-az-40-tisic/)

Jen jsem chtěl upozornit na zřejmý fakt, že když je něco v zákoně, ještě to nic neznamená z hlediska reálného provozu čehokoliv. I tady funguje ochrana hejna, pravděpodobnost, že by si všimli zrovna vás je mizivá. A totéž u této bezpečnostní chyby. Vzhledem k objemu obchodů, že by to postihlo zrovna nějakého čtenáře lupy je téměř 0 :-))) Naopak na opačném přesvědčení, že to něco znamená, je založena většina podvodů.

Bez ohledu na to, co máte v podmínkách, vaše osobní údaje se mohou dostat ven. Jinak já žádné absolutní záruky na cokoliv nepožaduji, ze zásady. Vy to máte asi jinak. Máte-li v automobilu airbag, podvědomě jezdíte nebezpečněji, protože se cítíte jistěji. Každá hůl má dva konce, jen záleží na tom, za který ji zvednete.

Opravdu Vám není divné, že v reakci Alzy se píše:
Právě včera jsme... Spíše mi to celé příde jako reklamní článek na Alza.cz. Vážně nevěřím v náhodu... článek jsem tři měsíce "sušil" a vydal shodou okolností právě dnes...
Fajn, LUPO, asi jsme OF(V)CE...

Samozrejme, ze ta SMS chodi....

Kdyby toto byl článek bezpečnostního experta, bylo by to podnětné.

Přijde mi ale divné, když jeden konkrétní eshop pomlouvá zrovna provozovatel pronájmu eshopů. Copak asi proti Alze má? Nechtěli využít nějakou jeho neodolatelnou nabídku?

Podle mě je toto zcela evidentní porušení §50 obchodního zákoníku:

(2) Zlehčováním je i uvedení a rozšiřování PRAVDIVÝCH údajů o poměrech, výrobcích či výkonech jiného soutěžitele, pokud jsou způsobilé tomuto soutěžiteli přivodit újmu. Nekalou soutěží však není, byl-li soutěžitel k takovému jednání okolnostmi donucen (oprávněná obrana).

V článku to chybělo, ale Alza byla na chybu několikrát upozorňována a k nápravě nikdy nedošlo. Dostala to dokonce jako součást hodnocení WebTop100 už 7. 11. 2014.

Místo opravy udělali přesný opak - dříve bylo možné přes HttpsEverywhere si https vynutit. Nově ale Alza všechny požadavky na https přesměrovává zpátky na http.

> Například útočník je ten, kdo se chce podívat na nacionále majitele účtu. Proč by se někdo díval na to, jak se jmenuje.

Proč by se někdo díval, jaký tam tenkrát vlastně uvedl e-mail. A koho by zajímala nějaká fakturační/dodací adresa, že? Vždyť i to jméno se může během života měnit... Právě jste označil za útočníky nezanedbatelnou část uživatelů a připravil se tak o objednávky.

Tohle je uplne mimo ... predpokladam, ze ty aribagy do auty si taky nechtel ....

Cert dnes nestoji nic a pokud tam existuje moznost odposlouchavani, tak je potreba ji zamezit ...

Nebo napiseme do podminek " Vase osobni udaje se za urcitych okolnosti muzou dostat ven, ale nebojte, tam pravdepodobnost neni moc velka" ....

Já doufám, že jste laik a nemáte s jakýmkoli vývojem nic společného.

Realita je někde jinde, realita totiž nevyužívá všech možností. Pokud ztráty z této možnosti jsou přijatelné, tak je lepší zabezpečení plýtvání omezenými zdroji a o tom, co je ještě přijatelné rozhoduje trh, nikoliv předběžná opatrnost, která je přímou cestou k neefektivitě.

ale spousta lidi na to naleti.
A napriklad me kdyz vola banka, tak si me overuje a chce po me ruzne udaje, vcetne takoveho toho obligatniho (a nesmyslneho) jmena matky za svobodna. Obvykle se tech operatorek ptam, jak se mi overi, jak ja muzu vedet, ze zastupuje banku a ne nekoho jineho. V tu chvili operatorka vystresuje, dojde pro vedouciho smeny, ten mi odrika par blabolu a tim hovor koncim.

Tento článek je jednoznačně navádění k trestné činnosti.

Ten článek je docela slátanina. Předvádí postup na příkladu Alzy kde se ukládá číslo karty. Jaká je pravděpodobnost že na stejné wifi natrefím na někoho kdo má takhle kartu uloženou? Kolik lidí to tak používá? 1 procento? 1 promile?

A závěr že shop co nemá zelený zámeček je nebezpečný už je úplná spekulace. Kolik e-shopů ukládá karty k dalšímu použití?

Soukupe! Je to trapná reklama na prodej SSL certifikátů a ne solidní článek! Styď se! FUJ!