Vlákno názorů k článku Obsah iDNES bude za peníze od PaJaSoft - Souhlasim... - hrozne jsem se bavil, kdyz PR...

Souhlasim... - hrozne jsem se bavil, kdyz PR managerka www.mojebanka.cz argumentovala svetovosti, vyspelou technologii a ja nevim cim jeste tak, ze rekla, ze system je bezpecny, protoze se pouziva PKI... - jak toto souvisi s bezpecnosti systemu mi jeste nikdo nikdy nevysvetlil...'-)
BTW s tim Oracle - tento argument by asi napr. u armady tezko obstal, tim chci rici, ze reseni existuje, pravda, musi se patricne zaplatit, takze nam tu pane Rafaj nepodsouvejte, ze neco nejde. Koupili jste si jednoduse system, ktery to neumi a chcete tim obhajovat technickou nemoznost, coz mi pripada ponekud amaterske...

Jinak by mne zajimalo, jak moc slozite je pomoci stored procedur pri insert/update na strane jedne a select na strane druhe pomoci trigeru brat data, ktera jsou nesifrovana a pomoci klicu je rozsifrovat a predat dal, pripadne jak moc slozite je sifrovat vse dle ceho se nehleda (coz, jsou prave ta citliva data...) tezko utocnikovi bude na neco seriove cislo transakce apod. a desifrovat na strane klienta (predpokladam trivrstvou architekturu => prostredni clen, aby datastore nemusel mit tak obrovsky vypocetni vykon)... - plaintext koukam pouzivate vsude krome ulozeni zasifrovaneho hesla => kdo ma alespon prihlasovaci a select pravo do te databaze, ma k dispozici vsechny udaje uzivatelu vyjma jeho hesla - skutecne dobre zabezpeceni...

Tak to ti závidím, že ti udělali nové bezpečnostní heslo. Mne odmítli s tím, že si mám založit nový účet a Q ze starého účtu (bez bezpečnostního hesla nejdou převést) si mám utratit na serverech, kde stačí normální heslo.

Myslím, že to je na Q pro uživatele naprosto maximální nedomyšlenost. A nedomyšlenost také je, že někomu to změní a někomu to nezmění...

Ňy! Asi bych mel casteji refreshovat diskuzni stranku ;-)

Mozna, ze to byl pokus naznacit, ze se Q nejedou na nejakem orezavatku. Oracle, Sybase, IBM... to jsou databazove servery, ktere maji urcite bezpecnostni certifikace (vetsinou C2 podle US DoD) = maji funkcni urcite bezpecnostni mechanismy - tedy podminka nutna (nikoliv vsak postacujici) pro bezpecny system.
Pokud by ale na tom Oraclu stale oxidovat uzivatel system s heslem manager, tak bych se bal ;-)

O.K. ja jsem pote nize nasel zminku o ulozeni hesel v zasifrovanem tvaru.
Nicmene i v tomto pripade lze uzivatelovu ztratu hesla resit - po nahlaseni ztraty tohoto hesla se mu vygeneruje nahodne nove, zasle se mu mailem a v zasifrovane podobe se (jako jednorazove heslo) ulozi do DB.

Jinak doufam, ze platite (krvave penize) za technickou podporu - bez ni neni k opravnemu patchi pristup <g>.

S Vaším názorem plně souhlasím. Uvedené údaje jsou především pro ty, kteří mají zájem se dozvědět o systému více.

Je však nutné rozlišovat, co jsou podmínky nutné (nikoliv postačující) pro provoz podobného systému.

Porozumel jsem otazke trochu jinak: hesla v kazdem okamziku jsou od prenosu po ulozeni sifrovana, nikdo - krome jedine osoby, uzivatele - jejich podobu nezna. Tzn. nikdo je nemuze uzivateli ani sdelit.

K Oraclu: zadny system neni bez chyb - vice nez "lehce hackovatelnem systemu" je to vsak o tom, jak o system pecujete (nejen patchujete).

Z tohoto úděsného spoléhání na techniku samu se mně vždycky jenom zatočí hlava. "Důkazem" pro to, že systém je bezpečný a neděravý je podle pana Rafeje to, že q používá databázi Oracle a servery Sun Microsystems? (Nebo se jenom chce pochlubit tím, kolik do toho uvalili prachů - zcela a nikdy nenávratně?)

Je to jako kdybych řekl: "Mám ten největší a nejbezpečněšjší mercedes, a tudíž se nemůžu nabourat". Už jsem to tady jednou psal - jestli se mistři z q takhle prezentují, tak opravdu stojí akorát tak za 1 Q :-)

Takze Q jsou ulozena v lehce hackovatelnem systemu (Oracle 8i). Tak to potes pambu.
Jinak otazka znela jak jsou hesla ULOZENA. Coz nema zadny vztah k tomu, jak jsou hesla PRENASENA (SSL sifrovane).

Dam priklad: mohu sice zadat Q hesla do systemu bezpecnou cestou (putuji po Internetu v SSL zasifrovane podobe). Potom se ale muze kdykoliv nejaky hacker dostat do Oracle 8i a tam si je precist v nejake tabulce.

Informace k Oracle bezpecnostni dire viz http://www.pgp.com/research/covert/advisories/050.asp .

Urcite ne. Interval.cz s tim nemel tehdy nic spolecneho a bezpecnostni heslo - zduraznuji, slo pouze o toto heslo - se diky ochote jednoho vaseho pracovnika proste vytvorilo nove a sdelilo emailem a nasledne jsem to zmenil na sve.

Nevidim v tom zadny problem, proc by to melo odporovat pravidlum. Na ucte byl uveden muj email, znal jsem pristupove heslo do systemu a vam muze byt uplne jedno, zdali je to muj ci cizi ucet (byl pochopitelne muj), protoze i bez znalosti bezpecnostniho hesla se daji Q prevadet, takze nejak mi chybi nejaky smysl tohoto pravidla nesdelovat bezpecnostni heslo pri jeho ztrate, snad krome toho,ze se chcete propagovat na verejnosti jako "byrokraticci cervi" :-)

Serioznost sem, serioznost tam. Pokud se to s tou serioznosti prezene, bude to znamenat konec ilikeq - dojedou na jednoduchou vec, snahu emitovat novou menu bez prislusneho opravneni.

Proti úsměvným příspěvkům nic nemám, ne však proti fabulacím - stačí si zjistit několik základních skutečností:

- pro přenos VŠECH důvěrných dat se používá 128-bit certifikát od Thawte (můžete se podívat například na vlastnosti stránky při placení na Lupě)

- data jsou zpracována a zálohována v Oracle 8i

- servery od Sun Microsystems

O dalších bezpečnostních mechanismech Vám podá informace šéf vývoje Jan Pálka (pokud bude souhlasit se zveřejněním).

P.S.: Zaujala mě Vaše poznámka o plain-textu - pokud byste dokázal podobný systém udělat tímto způsobem, rádi Vás zaměstnáme.

Z anonymity systému, upravené ve Všeobecných podmínek, vyplývá, že hesla nelze nikomu sdělit. Pokud došlo k porušení našich interních pravidel, zjistím to. Ve Vašem případě šlo pravděpodobně o komunikaci při zapojování Interval.cz

To je ten system skutecne tak 'deravy' - narazim na lidsky faktor - to jsou vsechna data v databazich v plaintextu a nesifrovana - to nepouzivate pro data aspon zakladni asymetricke sifrovani?? Pokud ano, potes koste s takovym systemem... asi by stalo informovat par znamych o techto skutecnostech...'-))))
PS: Pokud by se Qcka tvarila ciste jako hra, sranda, nic proti, ale ony se snazi tvarit jako seriozni internetove platidlo a tam se domnivam by mela byt ponekud jina pravidla a rezim prace/operace s daty...;-( ach jo, zase jsem naletel radoby dobre myslence...
PPS: Jak vite u tel. hovoru ze na druhe strane je skutecne ten, kdo tvrdi ze je?

Dovolim si nesouhlasit. Nejednalo se o specialni ucet pro interval.cz ale muj soukromy ucet. Opravdu to chce natrefit u vas toho spravneho cloveka a pak jde vse.

Doplním odpověď o konkrétní čísla:

Uživatelé používají I LIKE Q především k placení - platby činí přes 80 % transakcí.

Pouze necelých 20% transakcí jsou věrnostní odměny na serverech.

I LIKE Q umoznuje i to, po cem volate:
Uzivatel se prihlasi pouze jednou (do I LIKE Q) a ostatni servery zapojene do I LIKE Q pak maji moznost ziskat jednoznacnou identifikaci a nemuseji po takovem uzivateli pozadovat nove prihlasovani. A mohou mu napriklad automaticky zpristupnit rovnou jeho ucet, nastaveni, email atd.

"Mikroplatby pres ILikeQ ? Nevim nevim. Vydelat za den pomoci kvecek 100 Kc?"

System I LIKE Q je hlavne staven jako mikroPLATEBNI a ne jako VERNOSTNI system. Zakladnim cilem bylo umoznit jednoduche, rychle a bezpecne placeni za zbozi a sluzby (nejen) na Internetu. A vernostni odmeny na pripojenych serverech jsou spise takovou tresnickou na dortu - podekovanim za navstevu, za odpoved na anketu apod.

"To radsi pujdu mejt zachody do McDonalds."

Nevim sice kolik plati, ale zrejme mate pravdu, ze to bude rychlejsi. Kdyz si pak vydelane penize poslete do I LIKE Q, budete mit spoustu Qcek a muzete utracet co hrdlo raci. :-)

"Otazka predplatneho je podle me vice nez aktualni."

I LIKE Q muze poslouzit i jako takove univerzalni predplatne. Penize by pak stacilo prevest pouze jednou (do I LIKE Q). A na vsech serverech, ktere Q pouzivaji byste je pak mohl pouzit k pristupu k placenym sluzbam, sekcim, informacim apod. Vyhodou by bylo, ze byste se nemusel starat o predplatne a zvlastni prihlasovani na kazdem severu zvlast.

"Ja osobne jsem se ke svym Q, respektive k bezpecnostnimu heslu dostal. Nekdo rika, ze to nejde, ale jde to. Staci zavolat a najit toho spravneho cloveka"

Tady musim uvest, ze ve Vasem pripade neslo o to, ze znate spravneho cloveka, ale o to, ze ten spravny clovek znal Vas a vedel, ze jste skutecne majitelem uctu.

Jako majitel specialniho konta I LIKE Q pro servery jste nam samozrejme znam a tudiz vime, ze pozadavek opravdu prichazi od skutecneho vlastnika.
Ale v pripade, kdy o zmenu zada anonymni uzivatel, nelze nijak overit jeho totoznost a tudiz ani vyhovet jeho zadosti. Jak jsem jiz v jedne odpovedi zminil - jedinym "prukazem" jsou v pripade anonymniho uzivatele obe hesla.

Take me vadi na internetu to ohromne mnozstvi hesel apod. Existuji sice ruzne utility, ale nevim, ja jim proste moc neverim uz jenom proto, ze se mi take jednoho dne nemusi Windows spustit a ja zapomnel udelat zalohu apod.
Ac nerad, musim priznat ze se mi docela libi myslenka Microsoftu na zavedeni pomerne malo zname sluzby MS Passport nebo tak nejak. Staci si pamatovat pouze jedno heslo sveho "pasu". Ale nevim jak je tato sluzba podporovana a navic je to veci hlavne Microsoftu (Hotmail,Messenger).
Mikroplatby pres ILikeQ ? Nevim nevim. Vydelat za den pomoci kvecek 100 Kc? To radsi pujdu mejt zachody do McDonalds. Otazka predplatneho je podle me vice nez aktualni.

A vyplatí se to? Pokud se volá meziměsto a suma Q není nijak závratná, asi těžko...

Dobry den.

ad hesla:

Kvuli co nejvetsi ochrane nasich uzivatelu pouzivame takovy system sifrovani obou hesel, ktery komukoliv znemoznuje zjistit, jake heslo kdo pouziva. Heslo ani bezpecnostni heslo nelze nijak zjistit a tedy ani poslat emailem apod.

Vlastnictvi I LIKE Q uctu je anonymni, jedinym "prukazem" k uctu jsou obe hesla. Neexistuje zadny jiny zpusob, jak overit skutecneho majitele uctu.

Pokud nekdo zapomene prihlasovaci heslo, je mozno pomoci bezpecnostniho hesla prevest Q na jiny ucet. Pokud zapomene bezpecnostni heslo, muze stale pouzivat sva Q pro mensi platby, u nichz neni nutno vkladat bezpecnostni heslo.
Pokud zapomene obe... ma smulu.

Pokud ma kdokoliv dalsi dotazy k heslum, muze se obratit na support@ilikeq.cz. Bude mu poskytnuta podrobna odpoved.
---

ad smena Kc na Q:

Podrobny navod je k nalezeni v menu pod nazvem SMENA KC/Q a odkaz je uveden i na strance, ktera se zobrazuje hned po prihlaseni k I LIKE Q:

I LIKE Q elektronickou peněženku můžete naplnit:

1. Bankovním převodem ze svého účtu v libovolné bance ČR

2. Složením hotovosti přímo na účet v eBance.
(pokud bankovni ucet nevlastnite nebo chcete, aby penize dosly rychleji -pokud mate ucet v jine bance nez eBance)

Údaje, které musíte v obou případech vždy uvést:

Číslo účtu: 305086028
Kód banky: 2400
Variabilní symbol: unikatni var. symbol prideleny uzivateli I LIKE Q
Konstantní symbol: 0558
Částka: množství korun, které chcete směnit na Q.

Je velmi důležité zadat Váš správný variabilní symbol.

No, pokud vim, bezpecnostni heslo, ktere je potreba pro prevod Q se pri registraci nazyva (anebo nazyvalo) jako "fraze" a tudiz se vetsine uzivatelu vybavi fraze pro alternativni pristup (je to videt zejmena u freemailu) a tak mnoho lidi, vcetne me tuto frazi/bezpecnostni heslo proste nevyplni, nehlede na to, ze se nikde nepise (anebo je to dobre sktyto), k cemu tato fraze/bezpecnosti heslo slouzi.

Ja osobne jsem se ke svym Q, respektive k bezpecnostnimu heslu dostal. Nekdo rika, ze to nejde, ale jde to. Staci zavolat a najit toho spravneho cloveka.

Ano, je to Martinova vina, ze je sklerotik. Skraloupem na strane I Like Q (ci jeho autoru) je fakt, ze se k svym penizkum po zapomenuti hesla proste uz standardni cestou nikdy nedostanete.

Mimochodem, heslo vam dnes nuti kazda druha webova aplikace, pripoctete PINy na mobily a bankovni karty. Bezny clovek si je bude pamatovat jen obtizne.

Vy vazne davate ilikeq vinu za to, ze si nepamatujete heslo? :) Jen nevim, jestli je to tak usmevne... Kazdopadne, castejsim pouzivanim Q byste se jiste dobral i k zapamatovani hesla, jinak nelze nez doporucit nektery ze specializovanych programku, ktere hlidaji databazi hesel, Vam pak staci znalost jednoho. Pokud cestujete mezi vice pocitaci, muzu doporucit PDA s programkem Top Secret.

Mirku, já myslím, že problém I Like Q je dvojí:

1. Už jsem třikrát zapomněl heslo a nedostanu se ke svým účtům, čtvrtý si prostě už nezaložím.

2. Ještě jsem nepřišel na to, jak zadat platební příkaz pro převod peněz z mýho účtu korunovýho na muj účet kjúovní, takže netušim, za co bych nakupoval. (Asi si teď budu muset pořídit Q, abych měl kam inkasovat odměny od čtenářů, ale nevím, jestli si tak vydělám aspoň na agenturní zpravodajství ;-)

Problém, kterej není tak závažnej spočívá v tom, že stránky I Like Q jsou černý a neobsahují skoro žádné informace. Jsem zvědavej, jak by na to reagoval běžnej čtenář iDnes.