Názory k článku Jak jsem ukradl sezení administrátorovi a objednal ruskou vodku za kvintiliardu

Bezpečnost je drahá a není vidět. Nač dávat peníze drahému programátorvi, když "tu samou" práci může udělat laciný studentík nebo nějaký specialista z dálného východu (v připadě korporací).

Todle uvažování tu jistě ještě nějakou dobu vydrží, takže "nuda" nehrozí.

Slyšel jsem jeden vtip. Kdyby auta dělali programátoři, tak budou stát do 50.000, mít spotřebu 1 litr na 100 km, ale jednou za rok vybouchnou a zabijí všechny vevnitř.

Potíž je v tom, že ti co mají nějaká data nemají motivaci je chránit (a mnohdy to ani netuší že by měli). Nemají k tomu finanční motivaci. Co se jim může stát? Bude se o nich pár dnů psát ošklivě v novinách? A co. To o např. Sony taky. Pár fraudových obednávek? Bez peněz na účtu nic nepošlou a i kdyby, tak se na to brzo přijde a díra se zalepí.

Změnu by mohlo přinést až si uživatelé uvědomí, že bezpečnsot chtějí. Sami si ji těžko budou vynucovat, pak musí nastoupit stát a např. citelnými pokutami trestat prokázané úniky dat. To je běh na dlohou trať a je otázko zda se vývoj vůbec bude tímlde směrem ubírat. No ale kdo by před 50 lety řekl, že lidi začne zajímat nějaká ochrana životního prostředí, třídění odpadu a pod.

Trestani uniku = tutlani a mazani stop. To nikam nevede. Bohuzel se tu naopak zacina rozmahat trestani tech, kteri na podobne diry upozorni - byt trebas tim, ze ta data nekam uploadnou. To je jeste horsi.

Podle me by se naopak melo odmenovat - za zvereneni pruniku do neciho systemu by mela byt odmena, a pokud by byl nekdo takto propiran par tydnu/mesicu neustale, tak by bud krachnul, nebo by se postaral.

Ta doba už je, bohužel, tady - zkuste si dohledat, jak Toyota měla problémy se samozrychlujícími auty: http://en.wikipedia.org/wiki/2009%E2%80%9311_Toyota_vehicle_recalls#Electronic_throttle_control_system

Dobrý den pane Špaček,

velice poučný článek. Nicméně, ruku na srdce, kdo by v tomto případě měl nést onu zodpovědnost za toto diletantské zabezpečení a s tím spojený možný únik dat a jeho možné následné zneužití? Provozovatel webu nebo jeho "výrobce" čili nějaká programátorská společnost.

Přecijenom nemyslím si, že by každý provozovatel eshopu měl nějaké znalosti o bezpečnosti, jinak by si web a eshop napsal sám. Právě proto se tato práce zadává externím firmám na objednávku. Jenže v dnešní době vám eshop a web udělá kdejaká firma a pak to tak taky vypadá a dopadá. Provozovatel, jako osoba co podniká prodejem, může být co se týká ICT věcí totální amatér a nemá žádné ponětí o tom, co je nějaké nabourávání webů/eshopu. Nicméně tvůrci webů by znalosti mít měli a pak je opravdu diskutabilní, proč nejsou schopni web/eshop zabezpečit proti většině známých možných útoků. Že by v tom hrála roli amatérština většiny firem, živících se jako programováním webů/eshopů nebo jen co nejrychlejší vytvoření díla na objednávku zákazníka, který ani neví, že by jeho web měl zabezpečovací prvky a firma co mu tento web vytváří se snaží mu naprogramovaný web co nejrychlei dodat?

Poloamatér, který o bezpečnosti nemá ani tucha, udělá ten web za 1/3 ceny. A zákazník vidí mnohem lepší cenu za zdánlivě totéž. Zákazník tomu nerozumí, rozdíly nevidí, tedy vybírá podle ceny... a to je celý příběh.

A je to tak vlastně dobře, protože leckterý z těch poloamatérů dělá i za "plné" ceny - takže když tomu zákazník nerozumí, tak se mu klidně může stát, že úplně stejně nezabezpečený web dostane i za ty trojnásobné peníze. Takhle aspoň za ty třetinové náklady dostal odpovídající hodnotu.

Podle téhle teorie, když vám při návštěvě obchodního domu spadne na hlavu strop, řeknete, že za to provozovatel nemůže, neboť se nezabývá stavbou domů, ale prodejem rohlíků?

Pochopitelně nemůže mít provozovatel e-shopu potřebné znalosti, na to má lidi, ale když si vybral internetové podnikání, musí si zajistit, aby to k něčemu bylo, jinak je to na jeho hlavu.

už dlouho jsem nečetl článek s takovým zaujetím jako teď, díky :)

Čtivé a bohužel pravdivé. Na druhou stranu kdykoliv si přečtu o tom, že nejpoužívanější heslo na internetu je password a 123456, tak to plně chápu. Jediné "bezpečné" heslo na takto "bezpečné" eshopy.

Celkem pochopitelne - pokud "kazdy blby web" vyzaduje registraci kvuli kazde kravovine ... tak tam 99% lidi da presne takove heslo.

Výborný článek, přesto bych si dovolil podotknout, že pokud eshop dovolí objednat zboží za 1,683E33 Kč, tak to není (nejspíš) chyba programátora, ale analytika. A možná ani to ne, protože u malého eshopu je přístup "sanity check bude dělat lidská kontrola při objednávce" IMHO validní.

Nejaky franta z horni dolni nema maru o tom, jak funguje vstrikovani a ventily jeho auta, natoz aby mel paru o tom, co dela jeho ridici jednotka. Je mu to jedno. Presto kupodivu uzavira nejakou smlouvu ve ktere se prodejce zavazuje k nejakemu supportu (zaruce) ... a pokud dodrzuje pravidelne servisni intervaly/technicke kontroly, nemelo by se stat, ze jeho vuz bude mit takovou zavadu, ktera by jej ohrozovala. A pokud bude, tak se bude resit, proc takova zavada vznikla - nedbala kontrola/vyrobi vada/...

a trvá X let, vyrábí se stotisícových sériích. Software je často prodáván v jednotkách, případně desítkách kusů, mění se poměrně často a má mnohem menší rozpočet.

Každý by měl dneska mít ošetřené ty základní věci, jako je SQL inj. a spol, ale bezpečnost je jako balón, nezáleží na tom, jak kvalitní je plášť, na únik stačí jedna díra.

E-shopy porušují zákon o ochraně osobních údajů, zatímco pan Špaček páchá trestný čin podle "§ 230 Neoprávněný přístup k počítačovému systému a nosiči informací" a zcela veřejně se tím chlubí.

Zcela ovládnutý pocitem nepolapitelného machra, kterému nejde nic prokázat.

V době, kdy policie zabavuje semínka a lampičky, možná by stálo za to, kdyby postižené eshopy na pana Špačka společně podaly trestní oznámení.

Probourat se vědomě do špatně zabezpečené administrace eshopu není žádná machrovina, to je trestný čin!

Predpokladam ze provozovatele eshopu vstupem do souteze podepisuji neco ve stylu:

"Souhlasim s provedenim bezpecnostni kontroly blablabla"

prave kvuli tomuto zakonu.

Prave takovejto nazor vede k soucasnemu katastrofalnimu stavu ceskych webu a eshopu... zalovat cloveka co opozornuje na chybu a navic ji neopravit(vetsinou to tak konci)? Prominte ale takoveto chovani je vrchol lidske ignorace a stupidity...

Zákon žádné zločiny "na zkoušku" nezná.

Skutečnou příčinu bych především hledal v adoraci PHP a stagnujícího frameworku Nette, ktery používáme, protože je nejlepší, český a náš!

To preci nema s PHP nic spolecneho, stejne chyby se clovek docka i kdyz to nekdo spatne naprogramuje v cemkoliv jinem ...

Souhlasim s tim, ze se jedna o nelegalni utok, ale na druhou stranu, bez takovychto clanku by si drtiva vetsina ctenischopne spolecnosti neuvedomila, jake riziko hrozi. Ma se o tom nepsat ? Nebo psat pouze v intelektualni rovine, ze kdyby se udelalo tohle, stane se tohle, asi by to vypadalo takto ... takovychto nicnerikajicich navodu na to, jak resit ruzne bezpecnostni problemy je na webu tuna, ale tento jednoduchy clanek a ukazka to ilustruji mnohem lepe. A to je rozdil mezi svetem vysokoskolske kancelare odtrzene od reality, a skutecnym svetem tam venku. Rozdil mezi filozofovanim na CZNICu a vytvareni bezpecnostnich skupin, ktere nic nevyresi, a stomegovymi server logy, kde se den co den stovky cizich IP adres snazi nabourat do FTP, SSH ci jakehokoliv jineho pripojeni ...

A nase jedina reakce je konstatovani, ze je to nelegalni a ze za to muze framework A nebo B. Smutne.

(nejsem zastance NETTE, odmitl jsem v nem pracovat, v PHP delam velmi casto, stejne jako v .NET, JAVE a dalsich)

Zákon žádné zločiny "na zkoušku" nezná.

Uhm...

§ 30 Svolení poškozeného

(1) Trestný čin nespáchá, kdo jedná na základě svolení osoby, jejíž zájmy, o nichž tato osoba může bez omezení oprávněně rozhodovat, jsou činem dotčeny.
(2) Svolení podle odstavce 1 musí být dáno předem nebo současně s jednáním osoby páchající čin jinak trestný, dobrovolně, určitě, vážně a srozumitelně; je-li takové svolení dáno až po spáchání činu, je pachatel beztrestný, mohl-li důvodně předpokládat, že osoba uvedená v odstavci 1 by tento souhlas jinak udělila vzhledem k okolnostem případu a svým poměrům.
(3) S výjimkou případů svolení k lékařským zákrokům, které jsou v době činu v souladu s právním řádem a poznatky lékařské vědy a praxe, nelze za svolení podle odstavce 1 považovat souhlas k ublížení na zdraví nebo usmrcení.

nazor diletantskeho idiota, co vic k tomu napsat...

Pokud není váš příspěvek myšlený jako ironie, tak váš přístup odradí různé whitehaty aby hledali chyby ve stránkách a pak je hlásili provozovatelům.

Takový koníček, co jej občas nějkdo provozuje. Chyby mohou najít náhodou nebo cíleně. To záleží na okolnostech.

Slušná firma za upozornění poděkuje, případně pošle nějakou maličkost. Ale řada výtečníků ani nezaraguje. Pokud se jedná o nějaký větší průšvih (nějaký podstatnější web státu), tak zabírá hrozba zveřejněním.

Kriminalizovat tydle lidi povede k tomu, že se vám na to ... ale vaše chyby tím nezmizí a zlí hoši je nepřestanou používat. V zahraničí přišli na to, že takovým dobrovolným výzkumníkům je lepší za nalezené chyby platit peníze než jim vyhrožovat žalobami.

A mr Nosek netusi, ze tresny cin ma i nejake dalsi znaky - napriklad zpusobeni skody, osobni prospech ... samotny akt komunikace s verejne pristupnym zrojem rozhodne trestny neni, natoz v pripade, kdy data jsou defakto verejne dostupna.

Je to zhruba totez, jako navsteva dokoran otevreneho bytu - pokud tam dotycny nic neodnese, tak se podivat klidne muze.

Tady mame oboji - osobni prospech (viz tady pochlebovani se autorovi, jakej je machr (a to bez sarkasmu je :) ) a zpusobeni skody - vime, jak nalozil s odcizenymi udaji? ze si nerozesle nejaky mailing na zjistenych 100 tisic emailu z vyrbanych databazi? (tady to sarkasmus je)

:)
je to jasny trestny cin, prece nemuzu vlizt do obchodu a vykrast ho, jen proto, ze nemaji zamcene dvere ... ts ts ...

akorat by misto tucne pokuty a 50ti let za mrizema dostal jen domluvu a cele by to soud smetl ze stolu...

Tak hlavně osobní prospěch ani způsobení škody znaky TČ rozhodně nejsou. Aby však byla uplatněna TP sankce, musí čin být společensky škodlivý.

Jako Michale, tuhle větu myslíš vážně?

cituji: "Tomuto nekalému činu se říká ukrást sezení a od toho, co předvádějí někteří důchodci v prostředcích hromadné dopravy se liší tím, že k jeho odražení není potřeba baseballová pálka, ale ...."

To myslí Lupa vážně, že tento hnus pustí do vydání? Silně to překračuje míru slušnosti, kterou bych od internetového magazínu čekal.

Upozorňuji vás, že jste právně zodpovědní za publikovaný obsah a doporučuji stažení s omluvou!

Ale tak... Celý článek je psaný s nadsázkou a lupa.cz je web pro lidi co chápou humor...

Nicméně toto už není humor, ale sprostota.

Tak to nečtěte.

No že je to sprostota s tím nesouhlasím, ale článek je hodně průměrný. Nechápu proč zde čtu tolik výskání nad obsahem?!? To je tu opravdu tolik jednoduchých lidí, kteří nic netuším o tom, jak hacknout web???

Myslím, že tohle není web pro slečinky a sem tam nějaké zajímavé přirovnání rozhodně neškodí. Pokud Vás to uráží tak to nečtěte. Jednoduché :-)

Pánové, jestli tohle považujete za humor, tak jste pro mě špíny taky.

Nikdy nebudete staří? Nikdy si nebudete potřebovat v MHD sednout?

Opravdu vás rozesměje představa, kdy zabíráte v MHD bezmocnému důchodci místo a jeho "útoky" odrážíte baseballovou pálkou?

To přece není žádná nadsázka! Takovéhle veřejné výroky (a ještě veřejně obhajované jako vtip) jen prohlubují úpadek této shnilé společnosti.

Mno dobře ... jak tedy radíte odrážet útoky francouzskou holí? Polštářem?

Samozřejmě že si jako starý budu chtít v MHD sednout, nebudu kvůli tomu ale omezovat nebo napadat ostatní. Někteří důchodci to však dělají a právě jejich útoky je potřeba odrážet.

Nezapomeňte, kdo tuto generaci vychoval ...

Připomínáte mi debily protestující proti reklamě na barvu "Až to budu natírat příště, tak to vy už tady nebudete."
Tak si užijte svou čistotu a hajdy číst Broučky. Cokoli jiného by vás evidentně ušpinilo.

Herr Nikl, situaci s důchodci došla konkrétně v našem městě tak daleko, že v době dopravní špičky pro ně byly zrušena bezplatná přeprava. Protože jejich cestování z jednoho konce města na druhý za o dvacetník levnějším mlíkem a o desetník levnějšími rohlíky prostě začalo přerůstat tolerovatelnou mez, neb platící cestující se už jaksi nevešli. (O obtěžování senilními rozpravami nemluvě.)

Mr Spina, tak tahnete k certu ... osobne si velmi dobre pamatuju studenska leta, kdy se v nejvetsi spicce do krtka cpali duchodci, a nekteri povazovali za sve svate pravo, se plnym vagonem prodrat za pomoci svych holi a sprostych nadavek na sedadlo. Takove tou palkou s radosti vezmu. Nedela mi problem pustit sednout kohokoli, ale pokud se neceho takoveho arogantne dozaduje ...

=> jediny co na tom je, je to, ze ono prohlaseni odpovida soudobe realite, a to holt nekterym nevoni. A ano, taky budu (mozna) jednou duchodce s holi (pokud se toho duchodu doziju).

No, na menším městě jsem se najezdil MHD dost a dost. Ale občas si vyrazím do Prahy, a co tam předvádějí někteří důchodci v MHD, to je fakt zážitek. A to už mám blíž k nim, jak k těm studentíkům. V tomhle bodě má nadsázka +1.

Mně to humorné třeba přijde dost... A o lidech, kteří to jako humor nechápou si taky myslím své.

No jo, asi nenastupují do mhd u kauflandu a nikdy nedostali do žeber francouzskou holí, jak si "milý" důchodce razil s obrovskou taškou na kolečkách cestu k sedátku.

Jsi troll, nebo prostě jen i*d*i*o*t?

Začíná mi být na blití z tohoto plátku i jeho čtenářů.

da se to pochopit, ze se snazite sklouznout debatu do jine nez obdorne roviny, zustava uz jenom kapnout bozskou a pustit informaci ktery z testovanych eshopu provozujete ;-)

Vzhledem k ty reakci bych rek, ze ho spis pise (tedy ... masti kod).

A v jakém souladu se slušností je označit autora a šéfredaktora za špínu? Chápu, že jste citlivka a nemáte absolutně žádný smysl pro humor, ale i stížnost se dá podat slušně, ale sám jste předvedl, že kážete vodu, ale pijete víno...

Nikle, ukrad ti někdo berle a zased tvoje "rezervované" místo v tramvaji, nebo vo co ti přesně jde?

Nie strip_tags ako skôr htmlspecialchars() na všetko čo lezie na výstup. strip_tags je skôr na iné veci, aj keď možno ako filter pri validácii dát by to použiť šlo…

Hodně se mi líbil článek v podstatě s ním souhlasím. Jen je třeba podotkout že práce programátorů eshopu a jiných webových aplikací je hodnocena z peněz, které daný eshop vydělá. Z toho pohledu bezpečnost ani pro majitele a provezovatele eshopu, tzn. lidi co platí programátory, není na prvním místě a úkoly které programátoři musí řešit jim většinou zabírají veškerý čas. Tím pádem se k řešení otázek bezpečnosti ani nedostanou. Je to něco co potřebujete zřídka kdy a nepřináší to žádný zisk. Je to smutné.

Tady nejde o platy programatorum - ale o dobre zrealizovany projekt: pocinaje od spravne definovani ptoreb provozovatele, pres komplexnost navrhu (modularita, lokalizace, vyjasneni roli pro danou aplikaci, oddeleni dat od samotneho kodu), testovani aplikace (nejenom unit testy, ale i funkcni integracni, load testy testy ...) - plus nasledny maintenance.

Mnoho firem to dela vylozene na kolene: synovec umi programovat (udelal mi peknou stranku na FB), tak mu to priklepnu

NAstesti, tato doba je uz spis na ustupu, a prece jenom se uz objevuji znalosti, ze je to potrebne udelat orpavdu profesionalneji.

Ale bouzel ve firmach je bezna praxe, ze project leadri jsou sebestredni blbci, neschopni si priznat jakoukoliv chybu, takze kdyz nahodou nekdo nadhodi poznamku o slabine navrhnuteho systemu, na druhy den najde svuj ucet zablokovany (pokud se vubec do firmy dostane). A na jeho misto nastoupi nezkuseni clovek, ktery na to kouka, jak telatko a je uchvacen stestim, ze se stal do timu 'profesionalu' ...

Naklady na web bez der a s dirama jsou stejne, vyzaduje to ovsem cloveka, ktery vi co dela. Nehlede na to, ze vetsina webu proda opakovane - maximalne s jinejma sablonama, takze to napsat jednou a poradne by nemusel byt zas takovy problem (financni).

To co je popsano v clanku neukazuje na nejake drobne opomenuti (stat se muze) zpusobene neotestovanim/ne­dostatkem casu/....

Krom všech jiných rizik také záleží u koho máte e-shop uložen.

Když jsem po škole sehnal první zaměstnání u společnosti WebDoména s.r.o. bylo vcelku vtipné jaké etické hodnoty se dodržovali.
Ku příkladu, pro spam který se odesílal jsme získávali emaily tak že jsme doslova vykradli databáze z objednávek klientů kteří u této společnosti měli hosting. Upozorňuji že to nebyl nápad zaměstnanců ale Pana Peričeviče :-D

Článek je poměrně záživným čtením, ale zarazilo mne považovat neomezení počtu položek v košíku za chybu. Tohle nedělám a nedává mi to žádný smysl. Dokonce i při plně automatickém zpracování bych takovou kontrolu dal až jako krok někde v backendu (pokud vůbec).

přesně do okamžiku, kdy pak vidíte třeba v GA miliardovou špičku, která vám zničí veškeré grafy, protože běžné hodnoty budou pod hranicí viditelnosti.

Nicméně výhoda umožnění velkých čísel je ta, že si jich všimnete. Když dám limit na 10, tak klidně přehlédnu to, že někdo objednal třeba 10 ledniček.

Tyhle "cechysmy" rvou usi ")

Ó nikoliv, je to naprosto legitimní termín z dob, kdy lidi mluvili a psali tak, jak jim zobák narostl. Ještě Windows 3.11 se při vypnutí ptaly (parafrázuji) "Přejete si ukončit toto sezení?" ;-)

Tam už se nesedělo, ty už se sem tam i hýbaly :-)

No, ještě dál do minulosti tak asi o 10 let - sezení jako překlad session tady s námi byl už začátkem 80. let.

...ten týpek tenkrát (myslím někdy v roce 99), jak při zadávání kampaně na výměnném systému mr.linx zadal omylem výměnný poměr 1000 procent, a než si toho správci všimli, jeho banner měl několik set tisíc zobrazení. Kontrola validity zadávaných úddajů byla jen javascriptová a on měl vypnutý javascript.

Nepoučili se. :o)

je diskutabilní - předpokládám, že vždycky se najde nějaký větší "machr", než ten, co dělá eshop (nebo využívá služby 3 strany na klíč). Pokud je drobný živnostník, který chce rozjet eshop, limitován pár tisícovkami, které do toho může vrazit, tak co má dělat - bere co je. A má (pokud vůbec trochu ví, o co jde) vůbec šanci to myšlenkově obsáhnout? Nemá, prostě vše je poměr cana/výkon. Stejně tak můžou specialisti na zabezpečení diskutovat např. o zabazpečení domu, někdo má jen jednu fabku ve dveřích, jiný pancéřové dveře, alarmy, kamerové systémy, napojení na pult centrální ochrany ... co budete psát o tom s tou fabkou ve dveřích? Odsoudit, zastřelit? Prostě na víc nemá.... stejně tak levné eshopy .... odváží se někdo na 100% garantovat, že se mu i do drahého, dokonale zabezpečeného eshopu nikdo nenabourá? Jsou známé úniky dat velkých nadnárodních společností, které do toho vrazili miliony dolarů - a taky pohořely.... prostě tak to je a jinak nikdy nebude :-)

Tady ty případy nejsou ani tak o dokonalosti nebo "větších machrech", ale spíše o laxnosti a neopatrnosti. Principy XSS a SQL innjection jsou známy už řadu let a obrana proti nim nemusí být nijak zvlášť složitá. Většinou stačí, když se CMS eshopu bude vždy a ke všem datům, která získává z http hlaviček, URL a všemožných vyhledávacích, registračních a objednávkových formulářů chovat jako k potencionálně nebezpečným. Stačí řádně ošetřit všechny vstupy a útočník má hned o hodně těžší pozici.

Jasné, já to chápu - to jsem psal ;-) ... ale beru to z pozice uživatele (a takových je podle mě drtivá většina - řekněme, že si chci pořídit eshop), souseda či studenta vyloučím, na individuální naprogramování nemám peníze, tak sáhnu po nějakém systému měsičního pronájmu. Po čem mám sáhnout? Webnode? Inpage? Eshoprychle? desítky dalších?... Kde mám vzít jistotu, že jsou ošetřeny proti "XSS a SQL injection"? A dalším možným útokům, které tu nebyly zmíněny? To prostě nejsem schopen ani při nejlepší vůli ani hledání googlem posoudit (dobře - vyloučím Banán :-) ... tak že z programátorského hlediska je určitě článek přínosný a zajímavý. Ale sám píšete "má hned o hodně těžší pozici", ale ne že je to neprůstřelné - což ale neznamená, že nevyjde za měsíc další článek, který najde díru v mém draze zaplaceném eshopu, který si vybral "větší machr" na test ... samozřejmě to není proti autorovi, to považuji za podnětné. Tak jsem to myslel ...

V oblasti vývoje eshopů se tedy moc neorientuji, ale předpokládal bych, že silné firmy vytvářející eshopy mají natolik schopné programátory, že si zásadní věcí dokáží pohlídat, případně zjištěné bezpečnostní díry ihned odstraňovat.
Pro malé eshopy snad může být řešením nějaký open source shop se silnou a aktivní komunitou, která dokáže rovněž rychle řešit problémy a kde se zároveň může projevit výhoda otevřeného kódu, může v něm hledat chyby kdokoli, což snižuje pravděpodobnost toho, že si nikdo nevšimne otevřených vrátek.

>> předpokládal bych, že silné firmy vytvářející eshopy mají natolik schopné programátory, že si zásadní věcí dokáží pohlídat

Silné firmy jsou silné proto, že dokáží optimalizovat poměr výnosy/náklady. A realita je bohužel taková, že investovat do bezpečnosti je dnes zbytečné až nevýhodné (náklady velké, ale zákazníci tomu nerozumí => nedocení to => koupí spíš levnější produkt od konkurence).

>> výhoda otevřeného kódu, může v něm hledat chyby kdokoli, což snižuje pravděpodobnost toho, že si nikdo nevšimne otevřených vrátek

To je dvojsečná zbraň - větší šanci na nalezení chyby totiž mají i ti zlí hoši (a k tomu mají větší motivaci). A i zásadní chyby mohou v kódu vydržet dlouhá léta - viz např. aktuální odhalení vážné zranitelnosti v jádru Linuxu:
http://blog.nic.cz/2013/11/04/laboratore-cz-nic-odhalily-zavaznou-zranitelnost-linuxoveho-jadra/
Zrovna u téhle zranitelnosti nevěřím tomu, že o ní "zlí hoši" nevěděli - spíš ji nevyužili, protože se nedá použít k ovládnutí vzdáleného systému (jen k jeho shození).

Fakt moc poutavě a skvěle napsané, díky moc :)

netušíte, jak jsou na tom eshopy poskytovatelů online CMS řešení? kde jsou jejich díry a nejlíp, jak je i zacelit? (krom koupení si profi eshopu a sypání peněz)

Dobrý den,
docela by mě zajímalo v jakém poměru byly platformy (PHP, ASP.NET, JAVA, ?) testovaných webů. Je mi jasné, že to nic nevypovídá o bezpečnosti té dané platformy, ale jen pro zajímavost.

No třeba hned v tomto článku jste mohl ke každé kapitole popisující útok přidat i návod na protichvat. Inu, méně pubertálního humoru s důchodci a více snahy konstruktivně (tedy nikoliv jen destruktivně) jednat.

Pche!
Na http://www.vrmobil.cz jsem si "koupil" pár ajfounů celkem za: "Cena celkem S DPH: 1 781 901 000 000 000 154 267 197 439 009 965 864 694 630 446 301 914 522 544 676 504 208 588 565 655 278 436 010 424 668 412 575 467 175 936,- Kč"
Na dobírku. Objednávka systémem přijata (potvrzena emailem): "
Vážený zákazníku,
děkujeme Vám za projevenou důvěru. Potvrzujeme Vám, že jsme přijali Vaši objednávku číslo 201300441".
Překvapilo mne, že mi, škrti, neodpustili, vzhledem k celkem slušné výši placené částky, poštovné 99 Kč a doběrečné 40 Kč.
Inu, co nadělám. Ale byla by to milá úspora, poté, co jsem tímto nákupem trošku překročil obvyklý měsíční rodinný rozpočet.
Snad i předají České poště můj vzkaz, aby si paní doručovatelka vzala ten den sebou větší šrajtofli na odnos mnou zaplacené částky za zásilku.

http://hovno.sweb.cz/vrmobil/vrmobil01.JPG
http://hovno.sweb.cz/vrmobil/vrmobil02.JPG
http://hovno.sweb.cz/vrmobil/vrmobil03.JPG

Vždyť vám to poštovné odpustili (viz screenshoty).

Jak může mít někdo koruny ve floatu.

Například Ericsson v účtovacím protokolu pro svůj billing server předává částku jako FLOAT64. A když se podíváte na Diameter Credit Control Application (RFC4006), tak sice částku nepředávají jako FLOAT, ale jako dva INTEGERy - mantisu a exponent.

<script>alert('hi­jacked')</scrip­t>

Vyplnil jsem adresu MojeMěsto čtvrť 3, Moje PSČ xxx02, ale odmítlo mne to jako nesprávnou adresu. Tak jsem těm koumákům napsal co mi to dělá, poradili mi, abych adresu opravil na MojeMěsto čtvrť 2, že se to porovnává s PSČ (asi to měli vyzkoušené v Praze). To jsem odmítnul, že v té čtvrti je velké sídliště a to by poště při doručování mohlo dělat problémy. A objednal jsem jinde, kde takové problémy nemají.

Cituji:
Hesla uživatelů se musí ukládat v nečitelné podobě a tak, aby převod do té nečitelné podoby byl relativně časově náročný, jinak by útočník mohl velice rychle, hrubou silou, vyzkoušet všechny možné kombinace písmen a čísel a porovnávat je, jestli jejich nečitelná podoba není náhodou stejná jako ta, která je uložená v databázi, kterou nějakým způsobem získal, a tak se dostat k původním heslům uživatelů. Co to je za blábol?
Tohle napíše člověk programátor? Chybí srovnání platforem a například zmínka o tom, zda je e-shop provozovaný jiným dodavatelem nebo vlastními silami, platforma ASPNET, PHP a další. Takže vypovídací hodnota článku rovná se nule. Jen poskládaná obecná slátanina.

Piro, než začneš kafrat, přečti si něco o SHA-1 a jiných algoritmech pro výrobu otisků - takhle jsi tu za vola.
A tvůj druhý odstavec... viz konec předchozí věty;)

Pokud jste to nezpozoroval, citoval jsem článek autora. O šifrování toho vím určitě více, než si myslíte. A znovu opakuji. Tohle není odborný článek, ale obyčejný fejeton.

super, díky! běžím si opravit eshop

To me silne pripomina komunikaci s bankou, ze kdyz uz kazdemu posilaji vypis otevrenym emailem, mohli by alespon zajisti SMTP skrz TLS mezi servery. Kdyz uz to umi kdejaky freemail proc to neumi banka, ne?
No zkratim to, vymenil jsem banku abych zjistil ze je to uplne stejne.

Při objednávání z eshopu dávám nějaké jednorázové heslo, kartou neplatím, můj email spamaři stejně už mají, moje poštovní adresa je jim ukradená (stejně jí už někomu prodali pojištovny nebo operátoři), svůj telefon mám na svých stránkách, nic tajného. A co objednávám není nic tajného ani zajímavého. Leda, že by prozradil babice, co dostane k Vánocům. Pokud někdo ukradne moje data z eshopu, je mi to úplně jedno :-)

Ale chápu, že majiteli to reklamu moc nedělá, ale za měsíc se to zapomene...

Jinak chápu a vím, jak to v některých firmách chodí.
Pokud Pepa v práci stráví tři dny zapezpečováním eshopu a nevznikne z toho žádná viditelná hodnota, zatímco Franta mezitím naprogramuje RSS, registraci a košík, tak odměny dostane Franta a nikoliv Pepa. Takže se na to Pepa příště vykašle a bude dělat něco, co je vidět.

Článek je středně zajímavý – obsahuje některé zajímavé informace, leč podané jsou formou exhibicionistického fejetonu, což poněkud snižuje hodnotu textu. Autorova poznámka k důchodcům je však vysloveně ostudná a vypovídá o značné sociální retardaci. V tomto kontextu mě překvapuje, že Lupa zřejmě postrádá editora, který by měl právě podobným excesům předejít.