Dneska jsem provedl menší experiment. Jak je složité někomu zablokovat účet.
U GE Money stačí zadat číslo účtu a zkusit se třikrát neúspěšně přihlásit. Ano, čtete dobře. Stačí mi číslo libovolného účtu GE Money, který má povolené internetové bankovnictví. Pak zadám tři chybná hesla… A hotovo… Daný člověk se projde na pobočku GE Money aby si účet odblokoval… A úpřímně, kolik je firem, co si číslo účtu v dobré víře vystaví na stránky. Třeba http://www.nacesty.cz/info/cisla-uctu
U UniCredit bank je to trochu obtížnější. Zde se autentizuje pomocí uživatelského čísla, které by se hypoteticky blbě hledalo. Stačí ale zadat chybně třikrát heslo a pak vyskočí hláška „Uživatel je zablokován“ bez dalšího popisu proč a co s tím. Tak jsem volal na zákaznickou linku. Zákaznická linka umožňuje automatickou autentizaci. To znamená zadám uživatelské číslo a bezpečnostní kód (tak nazývají heslo). Oba údaje jsou shodné. Po zadání těchto údajů na telefonní lince mi automat řekl: „akci nelze provést z důvodu výpadku systému“. Znamenitě. 🙂 Následně mě to spojilo se slečnou, které jsem se ptal, proč mě to nechtělo autentizovat na lince, zda mají nějaký výpadek nebo podobně. Prý, že ne, ale prý je snad logické, že na lince se používá ty samé údaje jako do bankovnictví, co mě nejede a nepojede to ani tady. Pochopitelně. Mělo mě to napadnout z té srozumitelné hlášky automatu. Slečna po nadiktování rodného čísla a sekundární identifikace při telefonické komunikaci – tzn. dalšího hesla provedla odblokování.
A pro pobavení průser Axa Bank z roku 2010. Ano, vidíte dobře… Toto se stalo na stránkách banky. Asi nebudu komentovat dál… cituji:
Hlavní chybou je, že přístupové uživatelské číslo je tvořeno lineárně, tj. souvisle za sebou. AXA Bank nastavila uživatelské čísla od 10000000. Příklad: Za číslem 10000000 následuje 10000001, 10000002, 10000003 atp. Co číslo, to klient banky. Pokud někdo zapomněl heslo ke svému účtu, aplikace nabídla možnost nastavit heslo nové, a to tak, že přišla autorizační SMS s jednorázovým heslem. Po třech chybných pokusech se účet zablokoval. Nebylo problém podle svého uživatelského čísla odvodit další a pomocí jednoduchého skriptu (ale i bez něj) jen tak z legrace začít blokovat účet jiným, náhodným klientům banky. V drtivé většině případů přišly klientům 3 SMS a přístup přes internet jim byl zablokován, aniž něco tušili. V jednom případě však klient banky dostal hned minimálně 27 autorizačních SMS. Ani on zpočátku netušil, proč mu náhle začaly SMS z banky přicházet. Nejprve se domníval, že jde o chybu, ale zhruba po čtvrté zprávě si je začal zapisovat.
Více pak zde: http://www.mesec.cz/clanky/axa-bank-sporici-ucet-bezpecnost/
A o blokování účtů u jednotlivých bank zde: http://www.penize.cz/internetbanking/83305-co-se-zablokovanym-internetbankingem-cesta-na-pobocku-vas-nejspise-nemine
A mám zde novinku. Plánuji pravidelný newsletter a pomaličku se mi v hlavě rodí myšlenka programátorského klubu PHP a bezpečnosti… Common knowledge je nejlepší. A zkušenosti se takto dobře předávají. Takže slovem klasika STAY TUNED. 🙂
Březen 30th, 2013 in
Uncategorized |
No Comments
Free systémů pro vytvoření jednoduchého eshopu máme mraky. Sám jsem měl zkušenosti se systémem Virtuemart pro Joomlu. Svůj účel plní do doby než člověk chce něčemu vnutit jiné chování. Zde se trochu zasekne a předělávání trvá celkem dlouho. Nákupní košík mi zde přišel celkem nepřehledný. Snad by to ale vyřešil nějaký jiný plugin košíku, byť placený.
Nyní se mi čím dál víc líbí systém Ubercart pro Drupal. Jednoduchý admin, jednoduché změny. Navíc košík je intuitivní a na jednu stránku. Uvidíme, jak to bude v praxi. Nicméně demo www.ubercartdemo.com vypadá použitelně a jednoduše.
Tak snad již tento free systém bude použitelný. Praxe ukáže…
Březen 25th, 2013 in
Ecommerce |
No Comments
Startup je slovo, které se skloňuje v poslední době jak na běžícím pásu. Tomáš Čupr pomáhá startupům, inkubátory rostou jak houby po dešti, startup scéna se schází na startup akcích… Sám startupy moc neuznávám. V česku mi dává smysl možná jen servisnaklik.cz a vkladej.cz (zde jsme pomáhali s návrhem UX a wireframes pro připravovaný nový web). Možná i Falkturoid, ale ten mně včera náramně zklamal a udělal mi ze sobotního večerního vína s přítelkyní detektivku o několika dějstvích.
Začalo to tím, že se mi ozval ve 20h po otevření druhé flašky vína Vladimír ze servisnaklik.cz, že přestal fungovat import kontaktů do Fakturoidu po odeslání objednávky. Inteligentně jsem tam s hodou okolností měl při volání cURLu timeout 10sekund. Takže se nic moc nestalo a script fungoval dál ikdyž neodeslal zákazníka do Fakturoidu.
Pár minut na to mi programátor, který implementoval script na rozesílání upomínek na neuhrazené faktury (pracující s Fakturoid API 🙂 píše email, že se mu nejde autentizovat a háže HTTP 401. Dlouho jsme přemýšleli, kde může být problém. Nakonec jediný možný scénař byl ten, že někdo změnil API key pro fakturoid. Psal jsem proto klientovi a ptal se, zda to někdo neměnil od nich… A ano, viník se našel, Fakturoid…
Po napsáni emailu do Fakturoidu nám odpověděli, že se moc omlouvají, že dělali v ten den update systému. (Doplněno 25.3.) Hlavnímu technikovi servisnaklik.cz prý přišel email po chybě přegenerování API klíčů v sobotu večer. Ale i tak k tomu došlo až po změně API klíčů. A zapoměli napsat email, že se nám změní API key pro komunikaci s jejich API. Pro nás to znamenalo banalitu. Ale umím si představit údiv některých klientů, kteří jsou na API závislí více jako my. Nehledě na to, že jim to mohlo způsobít pěkně ušlý zisk. Hlavně pokud ke změně došlo v sobotu večer..
Závěr je asi jednoznačný. Tyto věci by se u renomovaných startupů prostě neměly stávat a nesmí stávat. Otevřenou otázkou ale zůstává, zda takové chyby jsou způsobeny lajdáctvím programátorů nebo tím, že prostě na kvalitní programátory tyto firmy nemají peníze. Mimochodem podobný scénář se mi stal už minule u jiné známé startup služby.
Březen 24th, 2013 in
Obecné |
No Comments
Trio, které byste na jedné fotce nečekali. 🙂
Březen 24th, 2013 in
Uncategorized |
No Comments
Ani Corel a ani Photoshop. Grafik se vrátil ke kořenům. Staré dobré malování. Jak ve Vám banner líbí. 🙂
Březen 20th, 2013 in
webbota |
No Comments
Pal Trade Company. Usaďte se pohodlně do křesla, puste repro a zobrazte kulervoucí stránky. Nejerotičtější je zvuk kliku na odkaz.
www.ptc.sk
Enjoy.
Březen 19th, 2013 in
webbota |
No Comments
Sedí dva nešťastní správci v serverové místnosti.
„Co se stalo?“ ptá se šéf.
„No včera jsme se ožrali. A měnili jsme hesla…“
Březen 18th, 2013 in
Vtipy |
No Comments
Zrovna koukám na Otázky Václava Moravce. O OpenCard se napsalo již mnohé. To, že novým vlastníkem dodavatelské firmy je nově nizozemská firma. Jak již to v ČR chodí, majitelé jsou anonymní. Prý ale slíbili do OpenCard přidat nové funkce.
Spíše mě ale zaráží jedna věc, na kterou jsem poukazoval již počátkem roku. OpenCard se podařilo úspěšně cracknout. Jako největší lameřinu pak pokládám, že klíč je z části sdílen na všech kartách. Více zde: http://www.zive.cz/bleskovky/prolomili-opencard-hack-trval-sedm-hodin-stacilo-vybaveni-za-50-tisic/sc-4-a-166987
Ano Steve Jobs začal podnikat na prodeji hacknutých telefonních karet umožňujících neomezené volání v US and A. Hezký článek o tomto vyšel na wired – dole je ještě stránkování. Kdy se dozvíme, že někdo takto obchoduje s OpenCard? Je to jen otázkou času. Víc odfláknutý a netransparentní projekt jsem ještě neviděl.
Tak ale v česku je už zajetým folklórem, že všichni řeší politické aspekty a ne funkční…
Poláci byli vždy podnikaví. A když MySQL injection, tak sofistikovaně.
Březen 17th, 2013 in
Uncategorized |
No Comments
Řešili jste někdy závislosti na externí knihovny v PHP? Je to boj.
Composer je tool pro management závislostí na externí knihovny. Dokáže nastavit zdroj pro stahování a to třeba i z repozitáře. A taky lze specifikovat verze knihoven, které se mají použít.
Více informací na stránkách comporesu a stránce dg.
http://getcomposer.org/doc/00-intro.md
http://doc.nette.org/cs/composer
Březen 16th, 2013 in
Uncategorized |
No Comments