Já bych v té SHA-512 neviděl takový problém. Samozřejmě souhlas tím, že není to šifrovací, ale je to hashovací funkce. Ale tvrdit že "algoritmus SHA-512 je pro ukládání hesel naprosto nevhodný", když některé Linuxy ten algoritmus používají pro hashování hesel /etc/shadow viz: https://access.redhat.com/articles/1519843 a to především z toho důvodu, že SHA-512 je schálený a prověřený NISTem, zatímco bcrypt není...
Samozřejmě, že SHA-512 je výrazně rychelší (jedna hash řádově 100 000 x rychlejší) než bcrypt, takže je třeba provést vhodné X iterací daného hashovacího algoritmu, nicméně tvrzení není správné.
Mimochodem, nezabejvám se hledáním chyb v routerech*, který mají tisíce lidí, jenom proto, že mám lepší věci na práci.
* není to nic těžkýho. Tady našel někdo díru v Netgearu. A hádám, že mu to zabralo tak dvě odpoledne a příští by hacknul rychlejc:
https://www.soom.cz/clanky/1156--Hackni-si-svuj-router-NETGEAR-WG103
Vy po mě také ne. Jak víte, že ty hesla co byla ukradena nikdo nezneužil ať už k vydírání, nebo cílenému útoku na peníze, nebo prostě jen útočník se může přihlásit do cizího účtu a krást třeba fotky, nebo Ty uživatele prostě trollit? Už Vás vidím, jak by Vám to bylo jedno, kdyby za Vás někdo obtěžoval Vaše přátele na fb, nebo jim posílal otravné emaily, či dokonce se za Vás vydával a požadoval po nich peníze.
Už jsem Vám níže popsal, jak to chodí a dobrý útočník si dá velký pozor, aby se na něj jen tak nepřišlo a cestu jak okrádat uživatele si vždycky najde.
A další věc, přes email se dají ukrást účty do jiných aplikací, kde můžou mít uživatelé uloženou platbu přes kreditní kartu (Steam, PSPlus, atd.). A opět nejde o Vás, ale běžné uživatele, než zase napíšete něco ve smyslu, že vy nic takového nemáte a Vám se to nemůže přece stát.
Dobry den,
dovoluji si upozornit, ze tady neslo o vydirani. On Vas upozornil na to, ze doslo k uniku hesel. Tato hesla mohou byt pak pouzita pro nabourani do emailu, facebooku, twitteru a dalsich sluzeb, coz muze i znamenat, ze se utocnici dostanou k velmi osobnim udajum, pripadne k pristupum k internetovym bankovnictvim, cislum kreditnich karet apod. nebo ho mohou vyuzit pro socialni inzenyrstvi.
Prave proto je Vasi zakonnou povinnosti takovy utok neprodlene nahlasit Vasim uzivatelum a take uradum a neprodlene zajistit, aby se situace nemohla opakovat. Pokud to zajistit nemuzete, je Vasi povinnosti vypnout web a nedovolit uzivatelum pristoupit k nemu dokud situace neni napravena.
Jelikoz jste vsechny upozorneni ignorovali, pan Spacek udelal jedinou zodpovednou vec, jakou mohl udelat. Vyuzil statnich uradu a napsal o tom clanek, aby varoval uzivatele pred nezodpovednou firmou.
Jako sorry, ale to je argument na úrovni "já nemůžu za to, že jsem ho přejel, protože když jsem viděl, že na té silnici je, tak jsem raději zavřel oči".
Firma si dobré jméno poškodila sama. To je ten trest udělený zákazníky. Měla týdny na to, aby se tomu vyhla. Jenže zavřela oči a jela dál.
Dovolil bych si podoknouti, ze se nahlasit nema kam, neb nasi pracoviti poslanci (jako vzdy) udelali naprosto vse pro vcasnou implementaci, tudiz aktualne zadny urad opravneny GDPR resit v CR neexistuje a jeste dlouhe mesice existovati nebude.
To ale neznamena, ze si nekdo z postizenych nemuze stezovat - muze k tomu vyuzit libovolny unijni urad (s vyse uvedenym zduvodnenim) a ten je opravnen v souladu s GDPR udelit prislusnou sankci, do 4% obratu firmy.
Nemuseli, stačí podstrčit vhodnou aplikaci.
Nebo si prostě zálohovat mobil do čmoudu a mít přihlašovací údaje k čmoudu v mailu společně s číslem účtu na výplatnici a heslem do bankovnictví stejným, jako k tomu mailu...
Popřípadě si v mailu najít heslo pro "nouzový přihlášení" do banky pro případ ztráty mobilu a prostě ho použít jménem uživatele.
Nebo pár dalších cestiček, ono i šifrování GSM je prolomeno, "routovací" protokol na GSM je nabořený a SMS se dají s trochou snahy přesměrovat...
Nehledě na to, že vyžvaněním hesla se z 2FA stane 1FA. Kdo by to takhle dobrovolně degradoval? Kdyby bylo 3FA ještě s otiskem prstů navíc, tah si naskenuješ palec a dáš ho dobrovolně na xichtknížku, aby si někdo mohl udělat jeho kopii, protože jednorázový číslo v SMSce stačí?
Tazatel zacal (2007) celou diskusi tim, ze se nekde docetl, ze MD5 bylo prolomeno a neni bezpecne... Nacez z (pro me) nepochopitelneho duvodu (pro vas spolehlive) radeji uveri knize z roku 2005 (ktera je mimochodem prekladem z EN originalu z roku 2004, kdy opravdu bylo jeste MD5 asi povazovano za OK).
Sam mel tehdy zjevne uz nejake pochybnosti! Nicmene vy to tu date jako priklad o opaku, to je kouzelne...
Vite, ja jsem zacal delat weby od roku 2005. Na JakPsatWeb.cz i jeho diskusi jsem prakticky vyrostl. Stejne jako na Intervalu ci tehdy trochu jinak zamerene Lupe ci Rootu a dalsich webech. Tou dobou jsem si prosel az do dneska, vim o cem mluvim. A vite proc jsem ja sam uz tehdy zacal ukladat hesla hashovane? Proste z toho duvodu, ze mi prislo neeticke, abych k nim mel ja sam pristup! I proto jsou plaintextova hesla proste prasarna odjakziva! Kez by na kuma.cz meli alespon tu MD5..., ale to se pak uz nelze divit nicemu.
Dalsi diskuse s vami uz myslim nema smysl. I podle zbytku vasich reakci v jinych vlaknech tady bud jen trollite, nebo jste v tom nejak osobne zainteresovan, jinak si to neumim vysvetlit.
Zkus si ty diskuse pořádně prolistovat dřív než mě z něčeho nařkneš. Některá (některá, ne všechna.) vlákna vypadala takto:
Tazatel zcela spolehlivě došel k tomu, že "zatím" použije MD5, o kterém v knize Mistrovství v PHP5 (vydáno 2005) píší, že stačí.
https://diskuse.jakpsatweb.cz/?action=vthread&forum=9&topic=57546#14
V té době byl jen hod kostkou, zda programátor narazil na vlákno, kde mu doporučili SHA256 se solí, nebo řekli že MD5 je ok.
Už jsem říkal, že ten článek považuju za bouři ve sklenici vody? Podobně děravejch eshopů je tu tak 30 000.... Tenhle článek na tom nic nezmění, protože prodejci svíček Lupu nečtou. Tenhle článek má na druhou stranu potenciál poškodit podnikání tohohle člověka, protože jeho klientela by se tu vyskytovat mohla.
Nejsou.
- GDPR a související pokuty.
- Know-how (dodavatelé a smlouvy) - cenný pro konkurenci
- Komplet adresář zákazníků - zase cenný pro konkurenci (když napíšou mail, že konkurenci utekly hesla, dají tam login a heslo jako že si nevymýšlí a jako náhodou zmíní svou firmu...)
- Hraje se o důvěru zákazníků. E-shop se stejným zbožím a cenou se dá najít vždycky, takže často rozhoduje pověst a důvěra. O obojí únikem přijdou.
Jestli tohle neovlivní hospodářský výsledek firmy směrem dolů, tak jsem čínský bůh srandy.
Ze zákona dopovídá za osobní údaje jejich zpracovatel a to je provozovatel e-shopu. To je ten rozdíl. Vývojář webu je v klidu, pokud nemá ve smlouvě příslušný sankce a povinnosti, na základě kterých by to mohl provozovatel eskalovat. A to, že jeho kontakty vytáhne konkurence, jeho kšeftu taky nepomůže. Takže správný adresát je provozovatel e-shopu.
Navíc dodavel e-shopu nemusí (resp. nesmí, pokud nemá ošetřen přístup k datům) mít přístup k hostingu. I kdyby to opravil, nemůže nic měnit bez vědomí provozovatele - riziko výpadku atd.
A hosting není ISP. ISP je ten, kdo se "stará o dráty", hosting je ten, kdo "má u sebe mašinu, na které běží web".
A tobě jde o to problém bagateliovat.
"Samo o sobě není nic špatnýho na tom, že někdo používá zastaralej eshop. Morální zastaralost je jen blud markeťáků. Problém je, že zákazníci si neplatili za to, aby někdo vypouštěl jejich data do světa."
No právě. Nejde o stáří, ale o kvalitu požadovanou zákazníkem.
U autodopravce nechceš, aby se 10x za měsíc zpozdil s tím, že má přece starý auto a vždycky mu po cestě klekne. Stane se to jednou, fajn, technika není stoprocentní, ale co tři dny je moc.Když si nedokáže pořídit spolehlivější auto, jeho problém, jiní to umí, tak co...
Účetní se může seknout. Stane se to jednou, no tak se to nějak opraví. Ale aby každý měsíc blě spočítala zaměstnancům výplaty, protože tam má jiný parametry pro daně z příjmu, tak místo ní vezmeš holku na mateřské a zaplatíš jí i licenci na novej soft, protože je to levnější než žehlení průšvihů.
No a ten soustružník ať si soustruží na stroji z dob France Josefa, když ho to baví, ale výrobek musí splnit požadavek zákazníka, jinak je zle. A pokud to pohnojí, tak by měl přiznat chybu a snažit se ji napravit, ne se rozčilovat, že má zákazník špatně ocejchovanou šupléru a u něho je to na 100% dobře...
Tady nejde o spam, to je to nejmenší. Vám ten problém stále nedochází co?
Pokud máš email a heslo k němu, můžeš se přes email dostat do dalších aplikací, protože většina z nich nemá dvoufázové ověření. Může si vygenerovat nová hesla do těch aplikací. Takže Může to být elektronická peněženka v jiných eshopech (Alza, apod.). Můžeš se uživateli dostat do facebooku a vydávat se za něj. Uživatel může mít citlivé údaje různě po dokumentech v přílohách, atd. Věřte, že pokud někdo se takhle k tomu emailu dostane, tak už bude přesně hledat to co potřebuje a posílat mu spam, bude to poslední co bude dělat. :)
Ze je MD5 nevhodne se i na ceskych webech resilo uz pred cca 10 lety, viz https://www.google.cz/search?sitesearch=diskuse.jakpsatweb.cz&domains=www.jakpsatweb.cz%3Bdiskuse.jakpsatweb.cz&num=50&ie=iso-8859-2&q=md5
Ukladat plaintext hesla byla uz tehdy totalni prasarna. Nevim o jakych "par letech" mluvite.
Je zajimave, ze vam neni cizi pouzivani technickych vyrazu jako "konkatenace SQL stringu", ktere by napovidaly, ze tomu rozumite. Zaroven ale v jinych vecech delate (schvalne?) neznalka.
Zajimala by me vase motivace, proc se toho eshopu zastavate a celou situaci obecne ohledne zabezpeceni zlehcujete?
na jednu stranu tvrdíš, že únik hesel a účtů není problém, že všude na internetu se válí přihlašovací údaje a na druhou stranu zveřejnění informací o úniku považuješ za poškození dobrého jména. Jak se dá poškodit dobré jméno zveřejněním něčeho co není problém?
Tvojí logikou by nemohl nikdo upozornit na jakékoliv pochybení, protože by to bylo vždy "poškození dobrého jména", argumentuješ jak politik, který se také hájí "mediální kampaní". Přitom u obojího příčinou není zveřejnění, ale něco co mu předcházelo.
"Já prostě nechápu, proč exemplárně trestá jednoho z desetitisíců českých neumětelů."
Vy nechápete věc, kterou on nedělá. Nikoho netrestá. Zveřejňuje. Trestat můžou leda úřady a zákazníci.
Nedělá to jen jednomu, ale všem, o kterých to zjistil. Není to první případ. A do exemplární roviny se to dostalo jen proto, že tenhle neumětel místo aby napsal "a do prčic, díky za info", tak prostě nedělal nic. Což je díky G DPR (to je nová věc) problém na druhou.
Ano, těch úniků bude spousta. Tak přestaňte remcat a začněte projíždět dostupné seznamy uniklých hesel. Čím více lidí se na to vrhne, tím dříve budeme vědět, které z nich jsou zabezpečené a které naopak mají všechno veřejné. A doporučuji udělat to, co autor článku - nejprve na to upozornit provozovatele a dát jim pár týdnů čas s tím něco udělat (pokud tedy budou chtít).
Já si naopak myslím, že z těch 36000 lidí si neplatí měsíční paušál za údržbu eshopu prakticky nikdo.
Všichni tady už roky mluví o tom, jak je prasárna mít hesla v plaintextu. Já bych zase řekl, že je prasárna skládat SQL dotazy konkatenací stringů.... Bohužel, PHP přišlo na začátku s hloupým přístupem, který je stále ještě popsaný ve většině tutoriálů.
Mimochodem, když se před pár lety běžně doporučovalo hashování hesel, mluvilo se o MD5 a když byl někdo jó fajnšmekr, tak tam dal sha1.
Nechat ten eshop žít.
Dneska je internet plnej hesel milionů uživatelů. Pravděpodobně bych byl schopen operativně znepříjemnit život nějakému člověku v Británii tím, že se mu přihlásím na facebook a začnu někoho urážet, a tím, že mu změním všude hesla (včetně primárního emailu). Důvod proč tohle nikdo nedělá je, že se z toho nedají vyrazit peníze.
"Za mě více takových lidí jako je pan Špaček a je mi jedno jestli si dělá promo, alespoň se konečně něco s tou tristní bezpečností začne dělat." JJ. Lidi se budou starat o svoje eshopy. Ale nemocnice budou stále vůči útokům zranitelný.
Jestli chce mít dopad, tak ať nainstaluje RAT na flashku a pohodí to v pár nemocnicích.
Mimochodem, v bance mám dvoufaktorovou autentizaci.
Znáš pojem "Bouře ve sklenici vody"? To myslím tím zvykejte si.
Skutečný problémy jsou svým dopadem úplně o řády jinde.
A co v těch databázích podle tebe bylo?
Jména. Příjmení. Hesla. Emaily. Adresy. Nákupní lístky.
Emaily se běžně na internetu prodávají po megabajtech. Maximálně těm lidem začne chodit trochu víc spamu o počtačovejch hrách. Nákupní lístky asi nic citlivýho neobsahujou. Jména, příjmení, adresy jsou reálně k ničemu. Kdybych chtěl jména, příjmení a adresy tak je vytahám z živnostenského rejstříku.
A hesla?
Řeknu ti drsnou pravdu ze světa hackingu: Všichni mají miliony hesel lidí. Ale k čemu je použít....
to školení je jedna s minoritních aktivit, které pořádá, není uvedeno v článku, ale až na osobních stránkách autora, na které má proklik přes jeho profil, na těch stránkách je školení jen jedna z aktivit, kdybys šel trochu níž, máš tam zdarma jeho přednášky všeho druhu. Není to trochu od tebe tendenční? Drtivá většina tady nestálých autorů poskytují nějaké placené konzultace, školení, znamená to, že pokud někam píšu, musím být zaměstnanec a nemohu se živit na volné noze či musím psát pod pseudonymem, abys mě nevyhledal na googlu a neřekl, že dělám PR?
Z těch tvých 36000 eshopů jich asi moc nemá na stažení přihlašovací údaje 80k uživatelů, co? Nebo víš o jiným? Myslím, že ne. Tvoje konstatování, že to je "většina" je prostě zavádějící, je schválně nadnesené jen abys váhou podpořil svoje teorie.
A mimochodem i moje heslo bylo v daném exportu a vůbec z toho nejsem nadšený, protože to dokazuje, že mají hesla v plaintextu v db, hnus.
v uveřejněné databázi na twitteru objevil 80k údajů z kuma.cz a tak jim dal vědět, ignorovali ho, lhali o vyřešení a tak z toho vznikl tenhle článek, píše to v úvodu, proto si je "vybral" :). Tady nejde o to, ž by si na ně zasedl, ukradl jim údaje a pak je trolil.
Řikáš "většina" a přitom odkazuješ 3 roky starou zranitelnost. Wordpress na tom není tak špatně, v dnešní době už i hostingy dělají testy svých klientů a pomáhají jim s tím, vlastní řešení jsou na tom hůře.
Co je u pr**le vam, nemusi byt prece v tomtez miste nekomu druhemu.
Chyby se deji, nasledky se obcas nedaji uplne zahladit, ale vinik ma vzdy moznost ridit zpusob jak se k veci postavi. Tady se to proste "nepovedlo" a tak se to aspon muze stat poucenim pro dalsi podobne firmy, ktere sbiraji data a neumi se k nim patricne chovat.
Proc by mel root.cz nekoho s necim vyrazet? Vy jste v jejich redakcni rade? Nebo vam jen jako soukrome osobe vadi, ze nekdo neco sepsal v oblasti, kterou povazujete za sve vysostne uzemi, a nechal to uverejnit bez vaseho souhlasu? Neberte to z me strany jako utok, spise jako snahu o pochopeni vaseho nazoru.
Vy možná ano, většina, tedy běžný uživatel to neřeší, nebo to ani neví, že by měl. Většina uživatelů má jeden email na kterém mají všechno, od hesla na facebook, až třeba po internetové bankovnictví.
Zkusím Vám popsat běžného uživatele.
V praxi to vypadá tak, že běžný uživatel se rozhodne na eshopu XY koupit hru svému synkovi k Vánocům u jednoho eshopu, kde je cena nejlevnější. Zaregistruje se, udělá objednávku a protože IT není zase tak políbená, použije stejné heslo jako ke svému emailu, aby se mu to v budoucnu lépe pamatovalo, když by zase kupoval hru pro svého syna . Za několik měsíců, ale z nejmenovaného obchodu uteče databáze s emailovou adresou a heslem. A protože běžný uživatel má jeden email, kde má vše od smluv, co například někdy posílal, až po různé faktury, různé přihlašovací údaje, atd. Útočníkovi pak stačí být trpělivý a věř, že dokáže i z blbého emailu a hesla vymáčknout maximum.
Je běžný uživatel idi*t, že je nepolíben IT a bezpečností v IT? NE! Doktor Vás taky nemá za idi*ta, že neumíte udělat diagnózu.
Ale pokud podnikám, měl bych se o bezpečnost svých uživatelů starat, stejně tak jako to dělá doktor, který se stará o svoje pacienty.
Co to tady melete? Snad každej normální člověk si dá pro eshop jiné heslo než do internetového bankovnictví, google účtu nebo emailu. Nebo snad věříte, že všechny ostatní shopy a různá diskuzní fóra jsou na 100% zabezpečené tak, že tam žádné riziko není? To asi ne.
V eshopu si chci něco koupit protože je to výhodnější nebo pohodlnější a až mi ta věc dojde tak ať si s tou adresou dělají co chtějí. Žádný čísla karet nikam nezadávám a jestli znají můj mobil nebo adresu je mi u pr**le, stejně mně každej den pořád někdo volá a otravuje a to číslo mají určitě z jiných zdrojů než z nějakého eshopu. A jestli to někomu vadí tak odstřihne kabel od netu a nakupovat chodí jen do krámku na náměstí... (a vyhýbá se kamerám na rozích)
Proč bychom si na to měli zvykat?
Vypadá to, že máte z pana Špačka nějaké komplexy. Nebo co by podle Vás bylo správné?
Nechat eshop žít, ikdyž je tam bezpečnostní díra?
Ale co kdyby jste tam měl účet? A co kdyby jste to heslo měl totožné i u Vaší emailové adresy?
Co kdyby se Vám někdo cizí přihlásil do Vašeho bankovního účtu, elektronické peněženky? Bylo by to taky v pohodě?
Je to trochu o způsobu myšlení, buď se spokojíme s tím, jak to je a ono to tady bude pořád několik let nahovno dokud se nestane nějaký větší průser, který třeba ovlivní a nasere i Vás.
Za mě více takových lidí jako je pan Špaček a je mi jedno jestli si dělá promo, alespoň se konečně něco s tou tristní bezpečností začne dělat.
> Zvykejte si proboha.
Zvykl byste si, kdyby provozovatelé autobusů a vlaků taky ignorovali sve povinnosti a vystavovali zákazníky riziku? A co kvalita zboží, třeba potravin, spokojíte se se šunty? Já ne, a proto mi nepřijde správně si hrát v IT na něco jiného. Tudíž zveřejnění problemu chápu jako efektivní prostředek, když provozovatel situaci nenapraví.
Já prostě nechápu, proč exemplárně trestá jednoho z desetitisíců českých neumětelů.
Městská policie v Praze ještě 2 roky zpátky nepoužívala šifrování, a měnit cedule s dopravním značením je zábava na odpoledne. České nemocnice by proti útoku hackerů obstály nejspíš stejně jako všechny ostatní nemocnice (Londýn) - vůbec nijak.
Zajímalo by mě, kolik asi lidí od policie, armády, hasičů, zdravotnictví, zákonodárství, soudnictví, bank atd. atp. má zavirované počítače.
a tak bych mohl pokračovat.
Přes únik dat Sony, Yahoo, Equifax úniky dat států
A my tady řešíme, že jednomu z desetitisíců českých eshopů unikaj data a oni s tím nejsou schopní nic dělat.... Zvykejte si proboha. Na váš server denně útočí desítky z milionů hacknutých IOT zařízení (síťových disků, webkamer, dětských chůviček, robotických vysavačů s kamerami, garáží,...).
Přečetli. A s tím eshopem mimochodem nemám nic společnýho.
To školení zdarma rozhodně není. Cena je
9990 Kč bez DPH, 12088 Kč s DPH, 50% sleva pro studenty
zdroj: https://www.michalspacek.cz/skoleni/bezpecnost-php-aplikaci
Co vadí mně jsem napsal sem:
Především tady:
https://www.lupa.cz/clanky/unik-desitek-tisic-hesel-z-kuma-cz-a-hlava-v-pisku/nazory/1105722/
A pak trochu tady
https://www.lupa.cz/clanky/unik-desitek-tisic-hesel-z-kuma-cz-a-hlava-v-pisku/nazory/1105639/
https://www.lupa.cz/clanky/unik-desitek-tisic-hesel-z-kuma-cz-a-hlava-v-pisku/nazory/1105641/
Hej vážně. V české republice je 36000 eshopů*, z toho 1000-1500 větších*. Můžeš si tipnout, kolik těch eshopů by dopadlo stejně jako tenhle. Já bych řekl, že většina**. Možná to značí, že je místo na trhu pro firmu "děláme eshopy levně a pořádně s.r.o", ale fakt mi nepřijde fér vybrat si jednoho z celé té obrovské plejády neumětelů a exemplárně ho vystavit na Lupě.
* http://www.radio.cz/en/section/marketplace/thirty-six-thousand-e-shops-a-little-or-a-lot
** stačí si vygooglit pár příkladů:
Remote code execution v eshop pluginu pro WordPress. Zranitelných je přes 10000 webů.
http://www.itsecurityguru.org/2015/05/07/eshop-plugin-vulnerability-leaves-10000-wordpress-websites-at-risk/
Opencart: Remote code execution
https://www.exploitalert.com/search-results.html?search=OpenCart
Nějaký Cart Engine nabízí DB backup komukoliv:
https://www.exploitalert.com/view-details.html?id=28806
......
když to tak vezmeš, tak vlastně celá aktivita Michala je PR :), webtop100, přednášení na konferencí, publikační činnost, sociální sítě, komunikace s firmami typu kuma.cz. Kurz Bezpečnosti PHP aplikací je spíše pozůstatek z minulosti, který nejspíš ještě drží, nevěřím, že zrovna tohle chce promovat :).
Mimochodem zároveň na svém webu má odkaz na facebook, není náhodou ještě placený americkou společností a není to reklama na ní?
Přečetli si vůbec ti co kritizují Michala Špačka celý článek?
Ty hesla byla již nekolik měsíců zveřejněna :)
velmi doporučuji si přečíst alespoň jeho blog a shlédnout některé přednášky, edukuje již několik let zdarma (samozřejmě že je to PR, rohlík.cz mu asi zdarma rohlíky nepošle), ale ignoranstvi přijmout pravdu a věnovat 2 hodiny zabezpečení vlastního řešení (vyzkoušeno za vás) je holt o hodinu a padesát osm minut náročnější než se vyzvracet do komentářů :)
doložená komunikace kuma.cz je dost povrchní a spíše žádné, sice nemusí být znalosti a povědí, to se bere, ale z jejich reakcí to nevypadá, že by je to nějak trápilo a snažili se. Věřím, že by jim s tím Michal pomohl, kdyby si řekli.
Michal Špaček se věnuje téhle problematice dlouhodobě, to umíš zjistit určitě sám a stejně se snažíš jeho odbornost dehonestovat.
Promiň, ale říkáš hezkou věc úplně blbě.
Jednak tvoje příklady nesedí.
"Autodopravce dostává zaplaceno za dovezení nákladu. Jeho auto je jeho boj.
Účetní dostává zaplaceno za účetnictví a to účetnictví musí sedět. Jak toho dosáhne je její věc. Pokud to zvládne v SW, který nezahrnuje současné zákony, je to její věc.
Obráběč dostává zaplaceno za výrobky, a ty musí mít přesné rozměry a musí jich udělat přesný počet. Jak toho dosáhne je jeho věc. I kdyby to od začátku dělal v ruce.
Samo o sobě není nic špatnýho na tom, že někdo používá zastaralej eshop. Morální zastaralost je jen blud markeťáků. Problém je, že zákazníci si neplatili za to, aby někdo vypouštěl jejich data do světa.
Já neříkám, že je OK, aby to dělal. Já říkám, že kdybys na to chtěl jít takhle, musel bys zrušit půlku eshopů.
Na tohle vyjádření šéfredaktora Lupa.cz žádná záporná hodnocení nepomohou i když je miluji ;) Jediné ospravedlnění reakce šéfredaktora proti nepsanému kodexu je udělat den otevřených dveří do kuchyně Lupa.cz i když to nemůže :) To by se otevřela samotná např. kuchyň registrací a vidělo by se kolik např. tzv. profilů v MojeID se ukázalo v plném profilu a projevilo se co tzv. profily v diskuzní horečce dělají :) Je mi to líto, ale šéfredaktor je za hranou ;) Klidně ukážu i své mnohaleté listy pro srovnání :) Nemám se za co stydět pokud šéfredaktor má tu sílu ukazovat co zná jeho kuchyň :)
Pan Špaček se zcela vhodně uvedl - příjemce alespoň ví, že mu nepíše nějaký anonym, ale uznávaná osobnost v oblasti bezpečnosti, navíc zdarma. Správně by to mělo motivovat provozovatele k tomu, aby dal věci co nejdříve do pořádku. Pohotová reakce a dobrá komunikace je pak klíčová - když už udělali chybu, mohou tím alespoň omezit počet zákazníků, kteří u nich znovu/nikdy nenakoupí.
Není úkolem pana Špačka hledat kontakt na provozovatele/ISP/držitele domény, udělal pouze vše pro to, aby koncoví uživatelé nebyli vystavováni dalšímu riziku. To, že provozovatel != vývojář e-shopu je zcela fuk, protože pro zákazníka v tom není rozdíl.
Údajný bezpečnostní expert Michal Špaček ani neumí napsat odpovídající hlášení o zjištěném problému. Už jen úvod onoho hlášení je plný zavádějícího balastu, počínaje tím o security.txt - který dosud ani není standardizován a pokračuje nějakým self-promo - a teprve pak jde k jádru věci, tedy k vlastnímu problému. To klidně mohl někdo přečíst ty první věty a vyhodnotit jako další z mnoha spamů někoho, kdo chce vnutit své služby.
Zarážející je též neschopnost správně kontaktovat a případně eskalovat. Napsat ISP, kde jsou stránky hostované nedokázal, najít si email podle jména v doméně také ne - zato však zcela nesmyslně píše na vládní CERT - do jehož kompetencí to nespadá. A ještě se tou svou blbostí pochlubí.
Je zřejmé, že panu Špačkovi jde hlavně o jeho osobní PíáR, podstata problému je podružná věc. Jeho strefování se do faktu, že hlášení je opsané odjinud je trapárna. I ten článek zde vykazuje známky umělého natahování - viditelně se honorář odvíjí od každého napsaného písmenka.
Kuma možná nemá kompetence na vlastní vývoj eshopu. Provozování je odlišná věc. Ale to pan Špaček také nerozlišuje - i když sám rád slovíčkaří. A jednoznačně není kompetentním bezpečnostním technikem - pár naučených frází z něj experta ještě nedělá. A navíc jej diskvalifikuje jeho asociálnost.
Víte že nic proti vám nemám pane Slížek ba právě naopak v mnoha situacích vám dávám za pravdu , ale právě jste se u mne s politováním opravdu jako šéfredaktor a člověk s mnohaletými zkušenostmi sám svou reakcí shodil, ale to je asi bezvýznamné ;) Představa že si na svých webech udělá 100 K komunita z Lupy.cz trhák když odstraní závorky je však úsměvná ;)
Neznám pana Špačka, ale to že to někdo prostě jen zkusiltuším od začátku ;) Víte takových starších eshopů je opravdu hodně ale tohle je za hranou ;) Nechtěl jsem být nekorektní ;) Ale ten článek je sám o sobě pouhým vylíčením toho co se dělo a spoustu věcí nemohl vědět ;) nezlobte se je mi jen přes 50 let ;)
Já souhlasím. Nějaké ověřování šifrování zabezpečení, by mělo být konzultováno s majitelem e-shopu, případně správcem. Pokud tomu tak není, tak jde z jeho strany o napadení samotného webu, jelikož vlastně Pan Špaček asi také láme hesla z e-shopů a je to v pořádku, přeci jen jde o ověření toho, jestli je to pravda. Ale když k tomu nemá oprávnění jde, prostě jen o dalšího hackera, který napadá web.
Tím nechci říci, že slabé zabezpečení je v pořádku, ale toto opravdu také ne ...
Koukám, že si pan Špaček hraje na ředitele českého internetu a myslí si, že si může dovolit vydírat cizí weby tím, že jim bude psát co mají kde špatně a v případě, že nebude po jeho tak začne podle jeho názoru hlásit (podle mého udávat) na úřadech.
Navíc zkoušet si sql injectiony a slabiny zabezpečení na webech s kterými není na tomto domluvený, není dle mého názoru zcela v pořádku, že? Takže pane Špaček, hledejte si chyby na svých webech a pokud se s majiteli těch ostatních domluvíte na nějaké pomoci ohledně zabezpečení tak i na těch, ale do cizích webů Vám je ho...
Systém e-shopu je normální nástroj pro podnikání. Buďto si na sebe (a svou údržbu) vydělá, nebo ne. A pokud ne, je čas to zabalit. A pokud na to zabalení nemají sami dost soudnosti, je na čase je zabít zvenčí.
Je mimo realitu chtít po autodopravci, aby přijel s autem a ne s Avií 31z 80. let s uplacenou technickou? Je mimo realitu požadovat po účetní, aby používala SW odpovídající aktuálním zákonům? Je mimo realitu chtít po kovoobráběčích, aby dodrželi předepsaný tolerance výrobku bez keců, že ten 80 let starý soustruh má vyglajdaný sklíčidlo a jinak je všechno OK?
Pěkně řečeno a mnohdy to tak i v praxi funguje, ale tady máme od rána debatu o eshopu který byl evidentně delší dobu prolamován díky nezájmu provozovatele investovat domodernizace eshopu . Z článku a stránek samotných se dále dá také učinit závěr že eshop vůbec nereagoval mj. na nařízení GDPR které ani zdaleka nesplňuje a to i přesto že má ve své hlavičce certifikát zabezpečení komunikace mezi zákazníkem a prodejcem. Z článku se je dále možné domnívat že samotný certifikát je nedostačující protože asi (domněnka) zabezpečoval dvě a více internetových domén na což je zakladní certifikát (zdarma) opravdu nedostačující i přesto že v rámci GDPR jnejsou certifikáty povinné ale pouze doporučující a takto bychom mohli pokračovat :)
Neznám sice bezpečný a parametrizovatelný systém, který je radost používat, ale Váš zdravý letní optimismus sdílím ,protože jen tak lze něčeho dosáhnout .
No, to je sice pěkné, ale řekl bych, že doba pokročila a tohle by se dalo omluvit třeba v roce 2002-2005, ale máme rok 2018. Myslím, že i začínající středoškolák dneska ví, ženje data třeba dobře zabezpečit, má spoustu informací, že ty krádeže a úniky dat probíhají, tak bych předpokládal, že 15 letý student gymnázia samozřejmě bude vědět co je SQL injection, jak obecně přistupovat k ochraně osobních údajů, že je třeba tvořit jakýkoli systém PROZÁKAZNICKY, tj. bezpečný, parametrizovatelný systém, který je radost používat, je zabezpečeným a jako naprostou samozřejmost vidím transparentní a rychlou komunikaci.
Tj., pokud mne někdo upozorní na nějakou zásadní chybu a ještě si s tím dá tolik práce, tak tomu člověku napíšu/zavolám, domluvím se s ním (když ti neumím), aby mi pomohl a podle situace mu buď dám peníze a pokud bude odmítat (protože je to třeba srdcač a pomáhá z přesvědčení, z principu, né, aby si tím vydělal), tak mu dám alespoň nějakou dobrou flašku a budu mu děkovat, že mne zahránil od obrovského trapasu a ostudy.
Takto snad funguje většina (nejen) mladých lidí. Jsem holt optimista, asi je to tím, že su Bystrčák :-)
S pozdravem a přáním nejen dobrých nápadů, ale především jejich důsledných realizací!!! (bez hlouých chyb!) :-)
Tomáš Ruprecht, Brno-Bystrc
Osobně bych např mladé nepodceňoval je spousta mladých začínajících programátorů a ti si rádi hrají a o bezpečnost jim určitě nejde, tak to zkoušejí všemi směry i když je to řekněme mnohdy nebezpečné a v případě "sql injection" adrenalinu místo testovacích webů vlítnou rovnou např. na eshop :)
Na Rootu pravidelně vychází zprávičky o tom, že někdo opět našel bezpečnostní chybu v zařízení, kterého jsou na internetu tisíce až desetitisíce kusů.
To, že SQL Injection skener dokázal na náhodném eshopu najít díru a vytahat obsah databáze je doufám pod jejich rozlišovací schopnost. A že by se tam někdo divil tomu, že skupina obchodníků, kteří prodávají počítačové hry, neví, co je to CSIRT bych taky nečekal...
Na jednu stranu je ten článek super, a je to v podstatě srovnání toho, jak by realita měla vypadat a jak vypadá. Na druhou stranu, to co po té firmě chcete je mimo realitu. A navždy bude. I když majiteli pošlete balík s ukradenými daty, stejně nebude technicky schopen ověřit, že jsou to skutečně jeho data, a tedy mu je opravdu někdo ukradl.
Takže to pak může jenom předat dodavateli. A chci vidět, jak ten přizná chybu.
Nojo, samozřejmě je to blbý, ale já bych na to šel z druhé strany. Kolik v tom eshopu pracuje lidí? Dva? Tři? Pět? Divil bych se, kdyby někdo z nich rozumněl IT. Počítám, že si prostě kdysi pořídili řešení, které pro ně bylo cenově dostupné. (Tj. nasadili tam bastl nějakého středoškoláka stejně jako to dělá polovina ostatních.)
To se dycky za břicho popadám, když mi nějaká "agentůra" vychvaluje jejich vlastní RS/Eshop řešení se slovy, že jsou lepší než opensource protože ty jsou přece nebezpečné. A když se budoucí majitel řešení pak dva roky domáhá toho aby mu administrace fungovala aspoň ve firefoxu tak se směji zas. Když pokaždé do zprávy píši, že řešení konkrétní agentury bez možnosti kontroly komunitou je vždy jen o "zabezpeční neznámem" a závislé na jednom programátorovi co vývoj.. ehm "teda opravu chyb" už dělá občas, když mu agentura za to zaplatí. A dělá to už osm let z čehož posledních 6 ho to fakt nebaví. Tak je to nakonec stejně jedno a GPL sw nemá moc šanci...páč nemám dobrý přesvědčovací schopnosti :)
Jediné co mne pak baví je zpovzdálí sledovat, jak nakonec se přes tři různé systémy nakonec většina malých firem doplazí k WP a PS.
díky za pěkný článek.. takovou míru diletantství jsem nečekal, dneska už se neopisujou jen diplomky, ale i "tiskové" zprávy ;)
řekl bych, že na vině bude v tomto případě použitý eshop, dole v patičce je "eShop engine v3.50", zadal jsem do google a koukám, že dalším eshopem, který běží na stejném řešení je http://www.superlaky.cz kdo ví, kde ještě došlo k úniku..
Pokud někdo přejde na web který nemá https tak má za to že je v nebezpečí, ale že eshopy používají jen základní certifikáty protože ,,šetří,, to už nikoho tak netlačí a co pak na to ty routery no :) Ach jo ani ten blok proti opakovanému přihlášení nemají no to se pak kompetence hledá velice těžko, protože vytvořit nástroj na dolování hesel a emailů je pak jen otázka času.