Vlákno názorů k článku Sedm hříchů datových schránek od Tomucha - Nejen že je to nesmysl, ale určitě to...
-
HoK (neregistrovaný)Zdravím,
IMHO kritický je sedmý hřích. Pokud návod explicitně doporučuje nedodržování základnich bezpečnostních pravidel a dokonce ani neumožňuje korektní verifikaci uživatele, je otázkou, za kolik dní někdo vytvoří "falešné stránku a (například) si sežene přihlašovací údaje konkurence.
S tím se dá udělat škod v miliónech, možná i miliardách ...
@ HoK -
David (neregistrovaný)Dobrý den,
na "falešnou" stránku datových schránek jsem už dnes narazil na wikipedii. Je to http://www.datováschránka.info/ Na tomto webu je přihlášení do DS pomocí fomuláře, ale kde skončí přihlašovací údaje to se můžeme jen dohadovat. -
Shr3k (neregistrovaný)Přihlačovací údaje skončí na https://login.mojedatovaschranka.cz/nidp/idff/sso?sid=0
-
Nemusí to tak být pořád. Uživatel si zvykne chodit přes tuto bránu a jednou se mu stane, že se cíl formuláře změní. Aby to bylo zajímavější, dá se uživateli při prvním odeslání údajů vrátit hlášení „Chybné přihlašovací údaje. Zkuste to znovu.“, uživatel to zkusí znovu, tentokrát pečlivěji, při druhém pokusu budou údaje odeslány již na správný cíl formuláře, ale údaje z prvního pokusu jsou útočníkem zaznamenány, aniž by oběť tušila, že něco není v pořádku. Ještě se vám nestalo, že jste se při psaní hesla uklepl? -
Koukám dobře nebo špatně a šálí mne zrak ?
Ještě odpoledne jsem na homepage http://www.datováschránka.info viděl přihlašovací dialog včetně políček na zadání jména a hesla a najednou už je tam jenom button s linkem na ofiko stránku ??!!!!
Ale ne strýček google mne naštěstí dosvědčil, že nejsem zase takovej mimoň !!!!!
http://209.85.135.132/search?q=cache:ov9SR_WTtBgJ:www.datov%C3%A1schr%C3%A1nka.info/page/2/+www.datov%C3%A1schr%C3%A1nka.info&cd=2&hl=cs&ct=clnk&gl=cz
Toto je vyrovnávací paměť vyhledávače Googlepro adresu http://www.datováschránka.info/page/2/. Je to snímek stránky, tak jak se zobrazila 22. říjen 2009 06:49:49 GMT -
misch (neregistrovaný)Ony naštěstí ty vstupní políčka v historické stránce patřily jen do formuláře s action="https://login.mojedatovaschranka.cz/nidp/idff/sso?sid=0", a na žádné hrátky s Javascriptem to tam taky nevypadá, ale ... celkem by mě zajímalo kolik lidí tam skutečně zadalo svoje reálné přihlašovací údaje které mohly skončit kdoví kde, kdyby se autor té původní stránky jen trochu snažil.
-
anonymníTak http://www.datováschránka.info/ je výborná :)
Nádherná ukázka toho, proč by mělo bejt všechno pod *.gov.cz a s "normálním" certifikátem. Výborné - tleskám.
