Typicky majitel dostane presne to, co si zaplati. Prevazne takoveto veci vznikaji tak, ze majitel chtel puvodne neco uplne jineho, a nasledne do toho chce, idealne zadarmo a za hodinu pridat nejakou dalsi funcionalitu. Dost casto jej autor i upozorni ze to lze tak ci onak, ale ze to nebude bezpecne.
Vite, bezte do temer libovolne firmy, a zmente pravidla - napriklad vynutte hesla alespon 8 znaku dlouha. A uvidite ten "ficak". Garantuji, ze za 1/2 hodiny to bude vyple.
Web nevyhazujto je nekomerční nabídka věcí zdarma. Někdo splácal zadarmo web v Angularu, zadarmo ho provozuje a my se teď po něm budeme vozit.
Některé věci jednoduše nejsou "business" a nelze na ně aplikovat businessová pravidla. Úspěšná komerční firma si jistě může dovolit dokonalou bezpečnost a každodenní údržbu, ale proč by totéž měl dělat nějaký nadšenec?!
Taky nikdo neřeší, jestli "uniknou" telefonní čísla a emaily z nástěnky "nabízím/sháním" v Kauflandu.
Takove cookie by se dost spatne prenaselo treba mezi windows desktopem doma a prenosnym androidim tabletem na cesty nebo na jakemkoliv novem zarizeni, ktere uzivatel jeste nepouzil. Pokud by se stalo, ze se z nejakeho duvodu ten cookie smaze (napriklad nejaky tool na cisteni pocitace, vyprseni platnosti apod) tak uz se do sveho profilu nikdy vice nedostanete a budete si muset udelat novy. Mit profil v podobe cookie mi prijde dost neprakticke.
Jiste, ono je mnohem lepsi mit "profil", do ktereho se dostane kazdy. A idealne stejny na alespon stovce webu.
Mate pocit ze bych tady na lupe potreboval nejaky login? Kcemu by to bylo dobre? Myslite si, ze neumim zaregistrovat behem minuty nekolik tisic uctu z nekolika tisic IP? Nebo myslite si, ze jsem jediny kdo to umi?
To je totiz presne ten duvod, proc lide pouzivaji podobna hesla, naprosto nesmyslne a bezduvodne pozadovane registrace.
To jste napsal velice dobre. Ja jsem taky skoncil na Lupe pote, co jsem odesel ze vsech jinych zpravodajskych serveru, ktere zacaly vyzadovat registraci pro komentovani. Pamatuji dobu, kdy registrace nebyla vyzadovana temer nikde, zatimco dnes je to temer vsude. Tohle rozhodne prispiva k pouzivani stejneho uctu se stejnym heslem. Ale nic to nemeni na tom, ze i spatne zabezpeceny ucet je porad lepsi nez mit ucet formou cookie. Nejlepsi je samozrejme mit ucet volitelny a vytvaret si ho jen tam, kde mam opravdu potrebu to udelat. Bohuzel i servery spolecnosti iinfo zacinaji pro nektere brandy zavadet povinnou registraci, prestoze ji drive nemeli.
Naopak cookie se mezi tabletem a desktopem přenáší snadněji, než heslo. Přenáší se totiž automaticky synchronizací vestavěnou do prohlížeče, a v nich je synchronizace hesel ve výchozím stavu vypnutá.
A když člověk smaže cookie, je to proto, že stav zapomenout chce. Normální uživatel cookie nemaže a odborník tomu rozumí. Platnost cookie nevyprší, weby nastavují nekonečnou platnost (nastavily by nesmazatelnost, kdyby mohly).
Prave proto by pri shromazdovani osobnich udaju, vc. hesel, melo platit jednoduche pravidlo, ze odpovednost za bezpecnost dat ma provozovatel webu, resp. ten, kdo mu dany system dodal. Nadsenec si bud musi zapatit nekoho se znalostmi, anebo musi jit delat veci, na ktere ma schopnosti. Ve vsech ostatnich oborech to takto plati, ale v IT se asi mnoho lidi domniva, ze kdyz zvladli klikani ve Windows, tak pocitacum rozumi.
Nesmysl.
Jako uživatel MUSÍM předpokládat, že PROVOZOVATEL SERVERU je útočník, který sbírá všechny zadané údaje v plaintextu, protože má plnou kontrolu nad servírovaným obsahem. Zároveň musím předpokládat, že je vlastníkem i dalších služeb, které možná též používám a tedy může zadané údaje kombinovat.
A s tímto vědomím do služby údaje musím zadávat.
Jenze prohlizec muze za to, ze se po "prihlaseni" uz nikdy "neodhlasite", mimo jine. Tedy nijak uzivatelsky pouzitelne, abych byl presnejsi. A to je jen drobnost, nebot obecne sprava certifikatu v browserech je tragicka, a bezpecnost jejich pouzivani naprosto nulova.
Nebot pokud se jiz nekam chcete certifikatem prihlasovat, tak nejspis take chcete - drive nez se o to prihlaseni pokusite - protistranu autentizovat. Coz neumi ani jeden soudoby prohlizec.
"nutíte tak uživatele, aby si nejdéle za rok nastavili slabé heslo".
No to asi ne, pokud máte v interním pravidlu nutnost mít kromě minimálního počtu znaků i požadavek na použití malého i velkého písmena, použití číslice a použití nějakého speciálního znaku. Plus např. doporučení, aby heslo neobsahovalo žádné známé jméno či název.
Pak vám nikdo slabé heslo vytvořit nemůže, protože ho to při změně neakceptuje.
Máme to tak určené v naší korporaci (60 tis. zaměstnanců všude po světě), platnost každého hesla 3 měsíce a server si pamatuje minimálně posledních 5 hesel, které nedovolí opakovat.
Prave jste uvedl dokonaly priklad toho, jak to vypadat nema.
Vite co vam uzivatel s tim vasim "bezpecnym" heslem udela? Fra80Nta$_201801. Prave jsem ziskal vsechna hesla minula i budouci. A dokonce vim, ze jde o nejakeho frantu, rok narozeni 80. To heslo zcela 100% splnuje vase politiky a uzivatel si jej pamatuje - jedine co meni je prave rok a mesic.
Souhlasím s Vámi. Přesně tohle jsem začal dělat, když v práci admin vyžadoval každých 40 dní změnu přihlašovacího jména do sítě (8 znaků, 1 zvláštní znak, velké a malé písmeno a min. 4 čísla). Takže jsem vygeneroval požadované heslo, kdy předposlední znaky byly např. 0109 (měsíc rok) a na konci *. Že je to prolomitelné, nebo vysoce odhadnutelné mi bylo jasné. Jenže se mi před tím dvakrát stalo, že jsem po dovolené přišel do práce a zaboha se nemohl dostat do sítě. Takže žádné reporty, žádná pošta, žádná docházka... Ty aplikace měly samozřejmě ještě vlastní hesla, protože na jednom stroji se střídali 4 uživatelé - směnoví mistři.
Pak vám nikdo slabé heslo vytvořit nemůže, protože ho to při změně neakceptuje.
Právě naopak, ta pravidla, co jste popsal, vedou uživatele k vytváření slabých hesel.
Máme to tak určené v naší korporaci (60 tis. zaměstnanců všude po světě), platnost každého hesla 3 měsíce a server si pamatuje minimálně posledních 5 hesel, které nedovolí opakovat.
Co ve vaší korporaci máte proti tomu, aby uživatelé používali bezpečná hesla?
Snad každý už dneska ví, že nutit uživatele k pravidelné změně hesla bezpečnost snižuje. Proti většině vektorů útoků na heslo je to neúčinné, a ten zbytek útoků to akorát zamaskuje. Takže bezpečnost to nezvýší. Naopak uživatelé pak volí slabá a předvídatelná hesla, takže celková bezpečnost se naopak snižuje. Nebo co považujete za bezpečného na tom, když se na celou kancelář ozve: „Maruš, jaký že máme dneska heslo?“ A od všech počítačů v kanceláři se ozve (protože heslo mají všichni stejné – když už někdo objevil princip, jak hesla při vynucené změně vytvářet tak, aby si to pamatoval, podělil se o to i s ostatními – je to tak pro všechny jednodušší): „Přece U%nor18“ – „Aha, já zapomněla, že už je nový měsíc.“ Ale srdce nejednoho „bezpečáka“ zaplesá – malá písmena, velká písmena, symbol, číslice, změna každý měsíc…
Dělám v podobné korporaci s podobnými pravidly... A většina z těch, s nimiž jsem se o tom kdy bavil, má svůj systém - pevný základ a variabilní část, často prostě nějak zapsaný aktuální kvartál (ti ostatní mají KeyPass). A teď mi řekněte, jaká je podle Vás u té většiny přidaná hodnota nutnosti si heslo každé tři měsíce měnit?
Stejná zkušenost. Máme cca 10 znaků dlouhou frázi, ke které lepíme variabilní část (někdo rok a měsíc, jiní vzestupné číslo, někdo má a, b, c atd.)
Pravidelná změna hesla má chránit proti útoku, kdy zjistíte něčí hash a pak ho jdete lámat. Perioda by měla být nastavena tak, aby byla jen minimální šance, že to stihnete spočítat dříve, než heslo změní. A teď mi řekněte, který z lidí, co vytváří pravidla pro změnu hesla, tohle spočítal? A kolik mu to vyšlo?
Osobně za důležité považuji mít netriviální základ hesla (Zuzanka4 neobstojí) a na různé služby (i v rámci firmy) mít základ jiný. V pravidelných změnách žádný užitek nevidím. Přidejte fakt, že ta nejdůležitější hesla se nemění (localhost admin, root apod.), a máte Kocourkov.
Já jsem vlastně nikdy nepochopil, proti jakému druhu útoku by pravidelná změna hesla měla chránit. Vy uvádíte příklad, že by někdo ze serveru zjistil hash toho hesla. Jenže pokud si někdo může jen tak číst hashe hesel ze serveru, a správce o tom neví, má daleko větší průšvih než to, že může útočník hádat hesla uživatelů s nápovědou hashe.
Jiný základ pro různé služby i v rámci firmy? Jo, to je další stupeň. Já mám v rámci firmy "jen" 14 různých účtů, ale někteří kolegové i dvojnásobek, ne-li víc. A pamatovat si desítky silných základů (silný = neodvoditelný od systému, pro nějž dané heslo slouží, protože jinak to ztrácí smysl)? To leda by mě firma platila převážně za to, že si pamatuju hesla, a zbytek (tedy užitečná práce) byl bonus.
V korporátu v labině na mašinách taky IT chtělo měnit heslo co tři měsíce. A ty samý pravidla. Takže heslo bylo maláma písmenama třeba "pec03" a za to se připojoval suffix "_15Q3" kde podtržíto řešilo speciální znak, 15 bylo poslení dvojčíslí roku, Q oddělovač kvartálu a požadovaný velký písmeno a trojka číslo čtvrtletí. S tím, že jednou za tři měsíce poslal šíf labin mailem všem tesťákům, že ode dneška je suffix takový a makový...
Výsledek? V suffixu se mění 1x za tři měsíce 1 bit. Po půl roce jsou to dva bity a po roce maximálně šest bitů. Jednou za dekádu je to max. 8 bitů (v devítce i v nule jsou dva bity při změně nulový). Bity, který se mění nejčastěj, jsou v posledním znaku a při sekvenčním brute force se přechod na další kvartál projeví jedním krokem navíc.
Jak to, kua, pomůže bezpečnosti, nota bene pokud by útočník vlezl do interní sítě skrz něčí mail a rovnou si tam přečetl posledních pět znaků hesla?
Programátor za to zas tak moc nemůže. Udělá jen to, co mu zadavatel řekne a zaplatí. Na druhé straně jsou často zadavatelé (držitelé rozpočtu), kteří si pro korunu nechají koleno vrtat, tak najmou toho nejlevnějšího.
Do toho vstupuje trend v SW vývoji, který je nazýván "Minimum Viable Product". Žádná analýza, žádný design, něco naprogramujte a pak uvidíme (jak velký je to průšvih).
Nikolivek, nebot az na vyjmenovane vyjimky (predevsim nedbalostni tr ciny) nelze trestny cin spachati neumyslne. Tzn pokud budete zkoumat chyby nejakeho webu (nebo se treba i podivate do bytu s otevrenymi dvermi) tak zadny tr cin nepachate.
A ani to neni uplne pravda, nebot i zabit muzete nekoho zcela umyslne, a presto to nemusi byt trestny cin. Ony jsou totiz podstatne ty duvody.
Bezpečnost na internetu je iluzorní. Pravidla, která vypadají jako, že někoho chrání, jsou škodlivá, protože uživatele uvádějí v omyl. Uvedený web by měl byt konstruovaný bez přihlašování se všemi údaji veřejnými. Lidé by už si sami našli způsob, jak ochránit své soukromí.
Účelem účtů a přihlašování ve webových aplikacích není bezpečnost uživatelů, ale jednoduchý a primitivní způsob, jak shromažďovat data o nich.
To s rozvojem umělé inteligence a nových způsobů dolování dat, nebude potřeba.
Tak si to shrnme e-shop, platba dobirkou, vyzvednuti osobne. JO? takhle jsteto myslel? Tak to je normalni kamenny obchod :D s online stavem zasob, nepotrebujete tedy e-shop, ale kamenou prodejnu s online skladem.... A kdyz vam vygeneruji cislo objednavky tak to se jako zobrazi jen na webu (pac na e-mail ani telefon vam to poslat nemuzou) a jakmile stranku zavrete opustite mate smulu pokud jste si cislo nezapamatoval.. no to by byl peknej fail
Číslo objednávky můžete mít v cookies. Každý špás něco stojí. Ale eshop je extrémní případ, tady pravděpodobně míry rizika a reálnosti ochrany budou trhem nastavena optimálně, ale u jiných nově koncipovaných služeb by jiná filosofie mohla být třeba úspěšná, kdyby ten co je vymýšlí, se nenechal ovlivnit tím, co je.
Nešlo by tento problém částečně ošetřit opět ve webových prohlížečích?
XSS auditor kontroluje zda-li v url odešel javascript který se mi pak vrátil někde v obsahu stránky. V takovém případě zobrazení stránky zablokuje.
Co kdyby v GETu obdobně zakázal odeslat cokoliv co je vyplněno v input[type=password]? Byla by to další vrstva ochrany neznalých uživatelů od nekompetentních vývojářů.
Chudáci uživatelé. Konečně se naučili, že každý web=jiné heslo, ale kdo si to má pamatovat. Tak přišli se strategií: moje oblíbené heslo je "1234" jako můj pin na kartě a k tomu přidám url kde to používám. Tadááá, dlouhé heslo na každém webu unikátní. 1234facebook.com 1234mall.cz
To že je provozovotel/majitel echt prase, s tím se nedá už nic dělat, přesně to je důvod proč se utáhnou šrouby s gdpr a za tohle by měla padnout likvidační pokuta.
Ad diskuze o trestni odpovednosti vyse, jestli hackl, nebo nehackl je irelevantni. V CR je trestne uz i vlastnit ta hesla a prechovavat je, tzn. uz prvotnim stazenim seznamu hesel je cin spachan. Malo se to vi, ale tyka se to i seznamu (free/ukradenych) hesel na pornoweby apod.
Zdroj? Ten paragraf, který máš asi na mysli, začíná „Kdo v úmyslu spáchat trestný čin porušení tajemství dopravovaných zpráv [...] přechovává [...] počítačové heslo, přístupový kód“. Tedy mít to aniž by s tím člověk měl úmysl něco dalšího páchat (ale používal to třeba jako wordlist při legálních auditech) mi přijde v pohodě.
Tvrdíte tedy, že stažení wordlistu od třetí osoby je „Kdo získá přístup k počítačovému systému nebo k nosiči informací a neoprávněně užije data uložená v počítačovém systému nebo na nosiči informací“? To nevím, dokážu si představit argumentaci na jednu i druhou stranu, která u soudu projde.
Clanek a postup autora jsem pochopil takto:
Prekonal umyslne zabezpeceni systemu: ano
Komunikoval s vlastnikem drive nez se pokusil proniknout hloubeji: ne
Ziskal a skladoval vice dat nez mel puvodne od treti strany: ano
Komunikoval s vlastnikem, az kdyz cil uspesne vytezil: ano
Takovy postup povazuji skutecne za "nestastny".
Sel jsem kolem vasi zahrady, vratka byla otevrena, tak jsem vstoupil. Na zahrade byla mrtvola, ale nemel jsem souhlas majitele, tak jsem ji tam nechal lezet a v poklidu odesel.
Az poslete deti na nejaky ten tabor, nezapomente dat vsem vedoucim notarsky overenou plnou moc, ze vase dite smeji odvest k lekari. V opacne pripade jej zcela v souladu se stavajici legislativou k lekari odvest nesmeji. Tudiz bude lezet se zlomenou nohou v prikope az do te doby, kdy nedorucite onu plnou moc nebo nedorazite osobne.
Vase priklady nejsou vubec analogicke k situaci popsane v clanku.
Pokud objevite mrtvolu, mate povinnost zavolat prislusna mista. Nemate delat pitvu, odber otisku, ani hackovat policejni databazi a nasledne kontrolovat komu ty otisky patri.
Pokud ma dite na tabore uraz, mate povinnost poskytnout pomoc. Nejste tam ale od toho, abyste vyndal skalpel a zacal si hrat na doktora.
Z komára velbloud a nebo nějaká sofistikovaná PR akce? https://zpravy.idnes.cz/internetovy-bazar-hackersky-utok-praha-magistrat-fs0-/domaci.aspx?c=A180201_203525_domaci_dtt
Ale pozor, takováto zjevná agenturní činnost snižuje důvěryhodnost médií a z čtenářů dělá hlupáky. Sami novináři si pod sebou řežou větev.
„Rád bych zdůraznil, že se nejedná o portál hlavního města Prahy. Metropole na tento portál pouze přispívá. Správce systému jsme požádali, aby uživatele o úniku dat informoval neprodleně,“ uvedl mluvčí magistrátu Vít Hofman s tím, že magistrát platí na provoz 5 tisíc měsíčně.
... to mi přijde zatím asi nejzajímavější výstup "kauzy". Na kolik dalších podobných webů ještě magistrát příspívá? A podle jakých kriterií?