Użytkownik "Marcin"  napisał w wiadomości grup dyskusyjnych:582b885c$0$5144$65785112@news.neostrada.pl...

Podano kilka przykladow podstawowych bledow znalezionych w aplikacjach na smartfony oferowane przez polskie banki:
https://niebezpiecznik.pl/post/bledy-w-aplikacjach-mobilnych-polskich-bankow/

Niby juz polatane te dziury ale zastanawa mnie, ze ktos znajduje tak podstawowe bledy w aplikacjach pracujacych z tak wrazliwymi danymi jak nasze finanse. IMHO oznacza to, ze banki nie traktuja tego powaznie (realnych uzytkownikow nie ma tak duzo jak to banki raportuja?) i nie przprowadzaja podstawowych testow bezpieczenstwa. Ciekawe jakie jeszcze bledy sie tam znajduja....

Po pierwsze - zapamietaj prawde podstawowa - kazdy wiekszy system informatyczny zawiera nieskonczona ilosc bledow, tylko nie wszystkie zostaly jeszcze wykryte.

Po drugie - bank rzadko pisze jakies aplikacje, raczej je po prostu zamawia.
U taniego dostawcy, ktory zatrudnia studentow. No to jak one moga byc dobre ?
W dodatku termin goni, na testowanie nie ma czasu :-)

Po trzecie - wykorzystanie takiej wykrytej dziury wymaga zlych ludzi i nakladu pracy z ich strony, a czesto jeszcze dodatkowych dziur, wiec nasze pieniadze sa dosc bezpieczne.

J.

W dniu środa, 16 listopada 2016 13:55:49 UTC+1 użytkownik J.F. napisał:

Po pierwsze - zapamietaj prawde podstawowa - kazdy wiekszy system informatyczny zawiera nieskonczona ilosc bledow, tylko nie wszystkie zostaly jeszcze wykryte.

Po drugie - bank rzadko pisze jakies aplikacje, raczej je po prostu zamawia.
U taniego dostawcy, ktory zatrudnia studentow. No to jak one moga byc dobre ?
W dodatku termin goni, na testowanie nie ma czasu :-)

Po trzecie - wykorzystanie takiej wykrytej dziury wymaga zlych ludzi i nakladu pracy z ich strony, a czesto jeszcze dodatkowych dziur, wiec nasze pieniadze sa dosc bezpieczne.

J.

Nie ma oprogramowania idealnego - o czym swiadcza dziury w systemach operacyjnych - niektore dziury nie sa zalatane przez wiele lat (bo nikt o nich nie wie, albo nie znalazl sie nikt, kto wiedzialby jak je wykryc/wykorzystac).. Natomiast pytanie czy wszystkie bledy sa dziurami, ktore mozna wykorzystac w celu wlamania  -oczywiscie, ze tak nie jest. Co do zabezpieczen - duze audyty robi sie przy wiekszych aktualizacjach - to zajmuje czas i pieniadze.. Dlatego robi sie to cyklicznie - ale to powoduje, ze przy mniejszych poprawkach pojawiaja sie jakies bledy. Na tym rynku jest tylko kilka firm i kazda chce jakos zaistniec. Te bledy, ktore zostaly wykryte - nie sa jakies krytyczne - czesto wynikaja z jakiegos niechlujstwa progamistow. A pamietajcie, ze pisze sie na 2-3 duze platformy, a do tego jest to znacznie wieksza sztuka niz w przypadku stron WWW. Deweloperow jest malo, a tych doswiadczonych jeszcze mniej. Z mojej perspektywy media przedstawily to tak, zeby sie naklikalo, zedne jakos nie pokusilo sie o ocene tych bledow i sformulowania prawdopodoienstwa skutecznego ataku..

"Michal 'Amra' Macierzynski" a7cdfa30-9ce5-435f-816a-860e0092a101@googlegroups.com

: Nie ma oprogramowania idealnego

DEKnuth dawał 3 setki dolców za znalezienie nieznanego
błędu w TeXu -- chętnych do nominacji ponoć brakuje...

   Profesor Knuth wyznaczył nagrodę pieniężną za każdy znaleziony
   w jego programie błąd. W roku 1985 nagroda wynosiła 1 cent,
   była podwajana co rok aż do 327 dolarów i 68 centów[1].

   https://pl.wikipedia.org/wiki/TeX

Przed kilkudziesieciu laty systemy były niemal bezbłędne.

: - o czym swiadcza dziury w systemach operacyjnych - niektore
: dziury nie sa zalatane przez wiele lat (bo nikt o nich nie wie,
: albo nie znalazl sie nikt, kto wiedzialby jak je wykryc/wykorzystac).

Natomiast systemy plików (FSy) częstokroć są skutecznie pozbawiane
błędów, zanim trafą do endjuserów.

: Natomiast pytanie czy wszystkie bledy sa dziurami, ktore mozna
: wykorzystac w celu wlamania  -oczywiscie, ze tak nie jest. Co
: do zabezpieczen - duze audyty robi sie przy wiekszych
: aktualizacjach - to zajmuje czas i pieniadze.

Zasiew pochłania plony. ;)

: Dlatego robi sie to cyklicznie - ale to powoduje, ze
: przy mniejszych poprawkach pojawiaja sie jakies bledy.

Pamiętam instrukcję zapisana jakoś tak:

 a - wejść do edytora
 b - napisać algorytm
 c - skompilować
 d - wejść do edytora i poprawić błędy (na
     pewno będą) po czym wrócić do punktu c

: Na tym rynku jest tylko kilka firm i kazda chce jakos zaistniec.
: Te bledy, ktore zostaly wykryte - nie sa jakies krytyczne - czesto
: wynikaja z jakiegos niechlujstwa progamistow.

Rzadko z przerostu ambicji nad możliwościami/umiejętnościami. ;)

: A pamietajcie, ze pisze sie na 2-3 duze platformy, a do tego jest to
: znacznie wieksza sztuka niz w przypadku stron WWW. Deweloperow jest
: malo, a tych doswiadczonych jeszcze mniej. Z mojej perspektywy media
: przedstawily to tak, zeby sie naklikalo, zedne jakos nie pokusilo sie
: o ocene tych bledow i sformulowania prawdopodoienstwa skutecznego ataku.

--
 _._     _,-'""`-._      .`'.-.         ._.  http://eneuel.w.duna.pl  .-.
(,-.`._,'(       |\`-/|  .'O`-'     ., ; o.'  http://danutac.net.pl  '.O_'
    `-.-' \ )-`( , o o)  `-:`-'.'.  '`\.'`.' ~'~'~'~'~'~'~'~'~'~'~'~ o.`.,
-bf-      `-    \`_`"'-.o'\:/.d`|'.;. p \ ;'. . ;,,. ; . ,.. ; ;. . .;\|/......

Użytkownik "Eneuel Leszek Ciszewski"  napisał w wiadomości grup dyskusyjnych:o0j099$n5j$2@node1.news.atman.pl...
"Michal 'Amra' Macierzynski" a7cdfa30-9ce5-435f-816a-860e0092a101@googlegroups.com

: Nie ma oprogramowania idealnego
DEKnuth dawał 3 setki dolców za znalezienie nieznanego
błędu w TeXu -- chętnych do nominacji ponoć brakuje...

  Profesor Knuth wyznaczył nagrodę pieniężną za każdy znaleziony
  w jego programie błąd. W roku 1985 nagroda wynosiła 1 cent,
  była podwajana co rok aż do 327 dolarów i 68 centów[1].
  https://pl.wikipedia.org/wiki/TeX
Przed kilkudziesieciu laty systemy były niemal bezbłędne.

a) dowiedz sie, ile tych bledow tam jednak znaleziono i poprawiono. Zaloze sie, ze niejeden, nawet jesli po nagrode nikt nie wystapil.
b) Knuth to jest nazwisko w informatyce ! M.in. spec od poprawnego programowania.
c) pisal dla siebie, sam sobie specyfikacje zrobil, sam narzedzia, sam napisal. Nikt mu marketingowych pomyslow nie wciskal - typu np kup 2 sztuki, to obnizymy cene za obie ..

d) programy mniejsze byly, to i latwiejsze do ogarniecia. Choc akurat TeX taki maly wcale nie jest ...

J.

Witam

W dniu 2016-11-16 o 16:59, Michal 'Amra' Macierzynski pisze:

Nie ma oprogramowania idealnego - o czym swiadcza dziury w systemach

> operacyjnych - niektore dziury nie sa zalatane przez wiele lat
> (bo nikt o nich nie wie, albo nie znalazl sie nikt, kto wiedzialby
> jak je wykryc/wykorzystac).

Tu mowimy o bledach ktore sie znajduje w bardzo krotkim czasie. I w tych przypadkach mam podejrzenie, ze po prostu postanowiano zaoszczedzic. Pewnie na developerach, z pewnoscia na testach.

Na tym rynku jest tylko kilka firm i kazda chce jakos zaistniec.

> Te bledy, ktore zostaly wykryte - nie sa jakies krytyczne - czesto
> wynikaja z jakiegos niechlujstwa progamistow. A pamietajcie, ze pisze
> sie na 2-3 duze platformy, a do tego jest to znacznie wieksza sztuka
> niz w przypadku stron WWW. Deweloperow jest malo, a tych
> doswiadczonych jeszcze mniej.

Znajac troche rynek developerow i testerow sytuacja wyglada troche inaczej. ile zaplacisz taka jakosc dostajesz. Chcesz wydac tyle ile bierze zespol niedsoswiadczonych studentow to sie nie dziw, ze sa w sofcie szkolne bledy. Chcesz miec zrobione porzadnie to trzeba niestety (albo z drugiej strony stety) zaplacic wiecej. A jak juz sie zrobi to trzeba sprawdzic przez kogos niezaleznego (tez trzeba zaplacic) za testy a nie polegac na niedoswiadczonych testerach.


Pozdrawiam,
Marcin

On 2016-11-17, Marcin <nomail@nospam.com> wrote:

[...]

Tu mowimy o bledach ktore sie znajduje w bardzo krotkim czasie. I w tych przypadkach mam podejrzenie, ze po prostu postanowiano zaoszczedzic. Pewnie na developerach, z pewnoscia na testach.

Idąc w drugą stronę:
Tu mówimy o niedociągnięciach nie stanowiących bezpośredniego zagrożenia,
które ktoś nazwał błędami żeby zrobić trochę szumu medialnego. Błędy podobne
do "wejdę na validator.w3.org, wpiszę dowolną stronę i znajdę błąd!!!"

--
Wojciech Bańcer
wojciech.bancer@gmail.com

"Marcin" 582e1cdb$0$5157$65785112@news.neostrada.pl

Znajac troche rynek developerow i testerow sytuacja wyglada troche inaczej. ile zaplacisz taka jakosc dostajesz. Chcesz wydac tyle ile bierze zespol niedsoswiadczonych studentow to sie nie dziw, ze sa w sofcie szkolne bledy. Chcesz miec zrobione porzadnie to trzeba niestety (albo z drugiej strony stety) zaplacic wiecej. A jak juz sie zrobi to trzeba sprawdzic przez kogos niezaleznego (tez trzeba zaplacic) za testy a nie polegac na niedoswiadczonych testerach.

Przykładem może być rodzina profesjonalnych ;) systemów operacyjnych
Windows i amatorszczyzna spod znaku Linuksa...

-=-

Z Biz/FM/Smart/Nest miałem do czynienia -- raczej
dobre to tylko do wzięcia wisienek bądź orzeszków.

--
 _._     _,-'""`-._      .`'.-.         ._.  http://eneuel.w.duna.pl  .-.
(,-.`._,'(       |\`-/|  .'O`-'     ., ; o.'  http://danutac.net.pl  '.O_'
    `-.-' \ )-`( , o o)  `-:`-'.'.  '`\.'`.' ~'~'~'~'~'~'~'~'~'~'~'~ o.`.,
-bf-      `-    \`_`"'-.o'\:/.d`|'.;. p \ ;'. . ;,,. ; . ,.. ; ;. . .;\|/......

Eneuelu co za głupoty wypisujesz o operacyjnych systemach komputerowych. Z tego co napisałeś wynika, że nie masz o tym pojęcia.

"Ojciec" 5832c220$0$653$65785112@news.neostrada.pl

Eneuelu co za głupoty wypisujesz o operacyjnych systemach komputerowych. Z tego co napisałeś wynika, że nie masz o tym pojęcia.

Jedna z wielu uniwersalnych wypowiedzi -- fajna, bp pusta.

Ale odpowiem, choć nie Tobie bo Tobie nie warto odpowiadać. :)
Windows zanika, podczas gdy Linuks jest na masie smartfonów,
routerów, telewizorów i różnej maści urządzeń...

Nie trzeba mieć pojęcia o tym, by wiedzieć, że Android
siedzi na Linuksie, niemal każdy TV ma Linuksa itd...

Czyżby masa ludzi myliła się co do cudowności Windows?

Znasz poważny sprzęt pracujący na Windows?
Szpitalny, przemysłowy itd?...

Owszem, Windows i Linuks nie pokrywają wszystkiego -- są takźe inne
systemy, w tym poważne naprawdę, ale nie trzeba być ekspertem, by
wiedzieć, że na Windows zdecydowało się raczej niewielu poważnych
ludzi.

Nie chodzi tu tylko o cenę.

--
 _._     _,-'""`-._      .`'.-.         ._.  http://eneuel.w.duna.pl  .-.
(,-.`._,'(       |\`-/|  .'O`-'     ., ; o.'  http://danutac.net.pl  '.O_'
    `-.-' \ )-`( , o o)  `-:`-'.'.  '`\.'`.' ~'~'~'~'~'~'~'~'~'~'~'~ o.`.,
-bf-      `-    \`_`"'-.o'\:/.d`|'.;. p \ ;'. . ;,,. ; . ,.. ; ;. . .;\|/......

Witam

W dniu 2016-11-16 o 13:55, J.F. pisze:

Po pierwsze - zapamietaj prawde podstawowa - kazdy wiekszy system
informatyczny zawiera nieskonczona ilosc bledow, tylko nie wszystkie
zostaly jeszcze wykryte.

Troche wiem o testowaniu systemow informatycznych. Bledy takie, ktore sie znajduje w ciagu paru minut nie maja prawa istniec w wersji udostepnionej klientowi (no dobra czasem sie zdarza, gdyby znalezli w jednej aplikacji to jeszcze by to bylo zrozumiale)...

Po drugie - bank rzadko pisze jakies aplikacje, raczej je po prostu
zamawia.
U taniego dostawcy, ktory zatrudnia studentow. No to jak one moga byc
dobre ?

A co mnie to jako potencjalnego klienta powinno obchodzic kto pisze aplikacje? Moze pisac i prezes jako hobby po godzinach  albo kupa studentow w dawnym Comarchu  ewentualnie profesjonalisci z doswiadczeniem. Wazne zeby dzialalo i nie mialo bledow. Tak jak bank nie produkuje sobie sam mebli w oddzialach ale krzesla ma miec takie zeby nie podarly mi spodni.

W dodatku termin goni, na testowanie nie ma czasu :-)

Tutaj wyglada jakby nikt kto sie zna na testowaniu nawet nie spojrzal na te aplikacje skoro znalezienie bledow zajelo tak malo czasu.

Po trzecie - wykorzystanie takiej wykrytej dziury wymaga zlych ludzi i
nakladu pracy z ich strony, a czesto jeszcze dodatkowych dziur, wiec
nasze pieniadze sa dosc bezpieczne.

Zlych ludzi nie brakuje odkad tylko zaczeto spisywac historie. Dziury w oprogramowaniu smartfonow sie znajda. A i od czasu do czasu sa jakies informacje o kradziezy pieniedzy dzieki uzyciu zlosliwego oprogramowania. A w przypadku gdy uzywamy aplikacji banku na smartfonie w ktorym jest sim od numeru na ktory przychodza smsy autoryzacyjne to zlodziej moze miec komplet danych. Wiec chcialbym, zeby bank bral odpowiedzialnosc za to co udostepnia.

Pozdrawiam,
Marcin

"J.F." 582c5752$0$5141$65785112@news.neostrada.pl

Po pierwsze - zapamietaj prawde podstawowa - kazdy wiekszy
system informatyczny zawiera nieskonczona ilosc bledow,
tylko nie wszystkie zostaly jeszcze wykryte.

    ilość ż V, DCMs. ~ści; lm MD. ~ści
    <<kategoria pojęciowa obejmująca to, co
    może być mierzone lub ważone; miara czegoś>>

    Ilość wody, mleka, cukru.
    Niewielkie ilości czegoś.
    Zasada ilości przechodzącej w jakość.
    Mieć coś w wielkiej ilości (w wielkich ilościach).





    liczba ż IV, CMs. ~bie; lm D. liczb

    2. <<stan liczebny>>

    Liczba osób.
    Liczba przedmiotów.
    Liczba wojska.
    Kobiety przeważały liczbą.





Zatem -- 'liczba błędów', nie 'ilość błędów'.


Żaden algorytm nie ma nieskończenie wielu miejsc/punktów, więc
i żaden algorytm nie może mieć nieskończenie wielu błędów. :)

-=-

Kiedyś powiedziałem, że napiszę bezbłędny program w Fortranie.
Towarzystwo ;) przyjęło moją propozycję z zaciekawieniem.
Chciałem napisać:

    END

co oznaczać by miało najkrótszy algorytm ;) w Fortranie,
ale niestety popełniłem drobną ;) literówkę i wyszło:

    EDN

co mnie dość mocno speszyło...

Tak oto życie tak zwane -- uczy pokory.


W mych programach nie nadużywałem ;) spacji -- ignorowanych przez kompilatory.
(kompilatory Fortranu nie ignorowały spacji na początku linii i w komentarzach
oraz w ,,formatach'') Przykłady mego pisarstwa ;) wyglądały jakoś tak:

      PROGRAMA
      INTEGERI
      REALA
      A=1.123
      DO10I=0,9
  10  A=A*A
      WRITE(5,100)
  100 FORMAT(E8.2)
  128 END

choć raczej ;) nie lubiłem liczb rzeczywistych [ach, ta
rzeczywistość... preferowałem całkowicie ;) inny świat]
a lejbel ;) 128 stawiałem tylko wówczas, gdy był gdzieś
do niej skok... [ach, te Spółdzielcze Kasy...] Gdy było
kilka końców [kije mają dwa...] inne końce numerowałem:
129, 127, 126... Trzy początkowe linijki są zbędne, ale
zwykle wstawiałem je. W wyjątkowych sytuacjach mogły tu
wnieść jakąś niezerową wartość, ale nie w typowych.

--
 _._     _,-'""`-._      .`'.-.         ._.  http://eneuel.w.duna.pl  .-.
(,-.`._,'(       |\`-/|  .'O`-'     ., ; o.'  http://danutac.net.pl  '.O_'
    `-.-' \ )-`( , o o)  `-:`-'.'.  '`\.'`.' ~'~'~'~'~'~'~'~'~'~'~'~ o.`.,
-bf-      `-    \`_`"'-.o'\:/.d`|'.;. p \ ;'. . ;,,. ; . ,.. ; ;. . .;\|/......

Użytkownik "Eneuel Leszek Ciszewski"  napisał w wiadomości grup dyskusyjnych:o0mk8g$as4$2@node1.news.atman.pl...
"J.F." 582c5752$0$5141$65785112@news.neostrada.pl

Po pierwsze - zapamietaj prawde podstawowa - kazdy wiekszy
system informatyczny zawiera nieskonczona ilosc bledow,
tylko nie wszystkie zostaly jeszcze wykryte.

  ilość ż V, DCMs. ~ści; lm MD. ~ści
  <<kategoria pojęciowa obejmująca to, co
  może być mierzone lub ważone; miara czegoś>>

   liczba ż IV, CMs. ~bie; lm D. liczb
   2. <<stan liczebny>>
  Liczba osób.

Ale my tu o nieskonczonczosci.
Z jednej strony - nie mozna tego wyrazic liczba, z drugiej - matematycy rozrozniaja nieskonczonosci nieprzeliczalne i przeliczalne :-)

Żaden algorytm nie ma nieskończenie wielu miejsc/punktów, więc
i żaden algorytm nie może mieć nieskończenie wielu błędów. :)

Wniosek chyba nieuzasadzniony.
Poza tym - algorytm wspolpracuje z jakims danymi, a tych zaczyna byc ilosc zblizona do nieskonczonosci :-)

Kiedyś powiedziałem, że napiszę bezbłędny program w Fortranie.
Towarzystwo ;) przyjęło moją propozycję z zaciekawieniem.
Chciałem napisać:
  END
co oznaczać by miało najkrótszy algorytm ;) w Fortranie,
ale niestety popełniłem drobną ;) literówkę i wyszło:
   EDN
co mnie dość mocno speszyło...

Na szczescie bajt ma tylko 256 mozliwych wartosci, a ilosc bajtow ktore mogles wpisac jest ograniczona, wiec ilosc mozliwych bledow jest ograniczona.
Choc prawde mowiac ... czy dlugosc taka na pewno ograniczona ?
Zalozylem ze o ile mogles wpisac np EDDN, to zauwazylbys raczej dluzszy tekst,








































































ale czy na pewno ?

J.

"J.F." 582eeb70$0$653$65785112@news.neostrada.pl

Ale my tu o nieskonczonczosci.

Kilogram cukru zawiera skończoną liczbę ,,ziarenek''.

Z jednej strony - nie mozna tego wyrazic liczba, z drugiej - matematycy rozrozniaja nieskonczonosci nieprzeliczalne i przeliczalne :-)

Niewiele to zmienia.

Żaden algorytm nie ma nieskończenie wielu miejsc/punktów, więc
i żaden algorytm nie może mieć nieskończenie wielu błędów. :)

Wniosek chyba nieuzasadzniony.
Poza tym - algorytm wspolpracuje z jakims danymi, a tych
zaczyna byc ilosc zblizona do nieskonczonosci :-)

Co mają dane do algorytmu przetwarzania danych?
[do przetwórstwa?]

Na szczescie bajt ma tylko 256 mozliwych wartosci, a ilosc bajtow

Z tego -- wartosci możliwych do uzyskania z klawiatury -- znacznie
mniej. Ponadto litery wielkie miały wartość adekwatnych liter małych.

ktore mogles wpisac jest ograniczona, wiec ilosc mozliwych bledow jest ograniczona.

Zdecydowanie ograniczona -- ale liczba, nie ilość.
Linia mogła być zapisana poprawnie albo niepoprawnie. ;)
Zatem w tym miejscu można popełnić błąd, albo nie popełnić błędu.

Choc prawde mowiac ... czy dlugosc taka na pewno ograniczona ?
Zalozylem ze o ile mogles wpisac np EDDN, to zauwazylbys raczej dluzszy tekst,

ale czy na pewno ?

END==enD<>edn<>emd itd., ale tu można raczej popełnić tylko jeden błąd.
Nawet wówczas, gdy będziesz tych błędów szukał na siłę -- linia nie
może być nieskończenie długa a żaden ze znaków nie może przybrać
wartości zupełnie dowolnej.

Jakakolwiek liczba w stosunku do nieskończoności -- jest mała. ;)

Można oczywiście dopisywać ,,pionowo'' -- czyli dorzucać zbędne linie
przed słowem 'End', ale i tym razem trudno w kolejnych podrzutkach
(dodanych liniach) doszukiwać się kolejnych błędów,

-=-

Obecny kurs euro do złotówki to:

  4,4444
  5,4444
  6,7878
  3,4632
  2,7654
  44,444
  4444,4

czy jeszcze inaczej?

Liczba albo jest zapisana błędnie, albo poprawnie. :)
Inna sprawa, że nie wiemy, czym naprawdę jest ten kurs,
zatem poprawność zależy od tolerancji. ;)

-=-

BTW -- niedawno czytałem (zamieszczoną w necie) wypowiedź człowieka, który
przepowiada kursowanie walut z dokładnością kilkudniową, do 4 miejsc po
przecinku dziesiętnym. Niestety nie mogę odnaleźć tej wypowiedzi.

--
 _._     _,-'""`-._      .`'.-.         ._.  http://eneuel.w.duna.pl  .-.
(,-.`._,'(       |\`-/|  .'O`-'     ., ; o.'  http://danutac.net.pl  '.O_'
    `-.-' \ )-`( , o o)  `-:`-'.'.  '`\.'`.' ~'~'~'~'~'~'~'~'~'~'~'~ o.`.,
-bf-      `-    \`_`"'-.o'\:/.d`|'.;. p \ ;'. . ;,,. ; . ,.. ; ;. . .;\|/......