Jak to jest, że na stronie http://lokaty.open.pl można się zalogować, a formularz przesyłany jest ze strony po http a nie https... chyba niezbyt często spotykane na stronach z produktami finansowymi...

Czy nie jest to aby przypadkiem poważna luka w bezpieczeństwie tego serwisu?

Oczywiście można korzystać z https i tak zapewne należy robic, ale skoro open nie dba o bezpieczeństwo "tu", to nasuwa sie pytanie czy dba gdzie indziej?

pozdrawiam

On Dec 27, 2:32 pm, "Sslaus" <sslaus_popraw_aby_dos...@gmail.coom>
wrote:

Jak to jest, że na stroniehttp://lokaty.open.plmożna się zalogować, a
formularz przesyłany jest ze strony po http a nie https... chyba niezbyt
często spotykane na stronach z produktami finansowymi...

Czy nie jest to aby przypadkiem poważna luka w bezpieczeństwie tego serwisu?

Oczywiście można korzystać z https i tak zapewne należy robic, ale skoro
open nie dba o bezpieczeństwo "tu", to nasuwa sie pytanie czy dba gdzie
indziej?

Sęk w tym, że formularz logowania na stronie głównej JEST wysyłany po
https. Sprawa pojawia się i wraca co jakiś czas, pewnie ktoś to już
prostował.
https zawiera atrybut action formularza i jest to poprawne jeśli
chodzi o bezpieczeństwo danych logowania. Idealnie nie jest, bo nie
widać kłódki itp. co może zmylić większość użytkowników, których część
wyraża swoje wątpliwości co jakiś czas na tej grupie.
Inna sprawa to średnia jakość kodu strony, co jest nieco żenujące.. Ale
cóż, takie rzeczy można wytykać i mbankowi i aliorowi i pewnie innym
(akurat te 2 oglądałem wcześniej).

Bungiel napisał(a) w wiadomości:
<08bbe13f-6b4b-4089-9bb9-7a7fb953338b@r5g2000yqb.googlegroups.com>...

Inna sprawa to średnia jakość kodu strony, co jest nieco żenujące. Ale
cóż, takie rzeczy można wytykać i mbankowi i aliorowi i pewnie innym
(akurat te 2 oglądałem wcześniej).

Pozwolę sobie zapytać: "średnia jakość" dotyczy funkcjonalności jako
takiej, użytych metod (np. świadczących o amatorszczyźnie) czy aspektów
stricte bezpieczenstwa?

Arek

On Dec 28, 12:46 am, "Arek" <abc...@poczta.onet.pl.usun_cde.invalid>
wrote:

Bungiel napisa (a) w wiadomo ci:
<08bbe13f-6b4b-4089-9bb9-7a7fb9533...@r5g2000yqb.googlegroups.com>...



>Inna sprawa to rednia jako kodu strony, co jest nieco enuj ce. Ale
>c , takie rzeczy mo na wytyka i mbankowi i aliorowi i pewnie innym
>(akurat te 2 ogl da em wcze niej).

Pozwol sobie zapyta : " rednia jako " dotyczy funkcjonalno ci jako
takiej, u ytych metod (np. wiadcz cych o amatorszczy nie) czy aspekt w
stricte bezpieczenstwa?

Miałem na myśli całość kodu po stronie klienta. Ale tak jak
wspomniałem, na tę przypadłośc cierpi wiele (większość?) banków w
Polsce.

Użytkownik "Sslaus" <sslaus_popraw_aby_doszlo@gmail.coom> napisał

Jak to jest, że na stronie http://lokaty.open.pl można się zalogować, a formularz przesyłany jest ze strony po http a nie https... chyba niezbyt często spotykane na stronach z produktami finansowymi...

Czy nie jest to aby przypadkiem poważna luka w bezpieczeństwie tego serwisu?

Oczywiście można korzystać z https i tak zapewne należy robic, ale skoro open nie dba o bezpieczeństwo "tu", to nasuwa sie pytanie czy dba gdzie indziej?

Ja mam przy logowaniu https://lokaty.open.pl/logowanie/. Ale za to mam pytanie: co tam w ogóle można zrobić oprócz podglądu lokat, zmiany hasła i złożenia wniosku o nową lokatę? Chyba nic więcej. To i bezpieczeństwo nie bardzo potrzebne.
Pozdr.
A.

Użytkownik "Sslaus" <sslaus_popraw_aby_doszlo@gmail.coom> napisał

Jak to jest, że na stronie http://lokaty.open.pl można się zalogować, a formularz przesyłany jest ze strony po http a nie https... chyba niezbyt często spotykane na stronach z produktami finansowymi...

Czy nie jest to aby przypadkiem poważna luka w bezpieczeństwie tego serwisu?

Oczywiście można korzystać z https i tak zapewne należy robic, ale skoro open nie dba o bezpieczeństwo "tu", to nasuwa sie pytanie czy dba gdzie indziej?

Ja mam przy logowaniu https://lokaty.open.pl/logowanie/.

Tak jak pisałem, można przez https, można bez...

Ale za to mam pytanie: co tam w ogóle można zrobić oprócz podglądu lokat, zmiany hasła i złożenia wniosku o nową lokatę? Chyba nic więcej. To i bezpieczeństwo nie bardzo potrzebne.

po pierwsze są to informacje poufne i powinny być możliwie dobrze
zabezpieczone
po drugie, to mylisz się, bo jeśli jakas lokata ma przycisk "przedłuż" to
mozesz ją przedłużyć i wskazać dowolny rachunek, na jaki mają być wypłacone
pieniądze.

Użytkownik "Sslaus" <sslaus_popraw_aby_doszlo@gmail.coom> napisał

po drugie, to mylisz się, bo jeśli jakas lokata ma przycisk "przedłuż" to
mozesz ją przedłużyć i wskazać dowolny rachunek, na jaki mają być wypłacone
pieniądze.

Ja pytałam, a nie twierdziłam;-) To tego nie wiedziałam, bo jeszcze nie miałam takiego przycisku.
Pozdr.
A.

"Sslaus" <sslaus_popraw_aby_doszlo@gmail.coom> writes:

Jak to jest, że na stronie http://lokaty.open.pl można się zalogować,
a formularz przesyłany jest ze strony po http a nie https... chyba
niezbyt często spotykane na stronach z produktami finansowymi...

Wg mnie _formularz_ jest przekazywany sslem. KJ

--
Uwolnić słonia !!!

Kamil Jońca wrote:

Wg mnie _formularz_ jest przekazywany sslem.

nie o to chodzi, chodzi o to ze zwykly uzytkownik nie odrozni oryginalnej
strony od podrobki, a w podrobce haslo raczej nie poleci sslem do prawdziwego serwera

On Dec 27, 3:35 pm, MarcinF <ma...@interia.pl> wrote:

Kamil Jońca wrote:
> Wg mnie _formularz_ jest przekazywany sslem.

nie o to chodzi, chodzi o to ze zwykly uzytkownik nie odrozni oryginalnej
strony od podrobki, a w podrobce haslo raczej nie poleci sslem do prawdziwego serwera

W tym wątku chodzi dokładnie o to, o czym pisał Kamil. Pojawił się
zupełnie bezpodstawny zarzut odnośnie bezpieczeństwa logowania na
stronie lokaty.open.pl i sprawa została wyjaśniona. Ty piszesz o
zupełnie innej sprawie.

Użytkownik "Bungiel" <dochtorek@gmail.com> napisał w wiadomości

Kamil Jońca wrote:
> Wg mnie _formularz_ jest przekazywany sslem.

nie o to chodzi, chodzi o to ze zwykly uzytkownik nie odrozni oryginalnej
strony od podrobki, a w podrobce haslo raczej nie poleci sslem do prawdziwego serwera

W tym wątku chodzi dokładnie o to, o czym pisał Kamil. Pojawił się
zupełnie bezpodstawny zarzut odnośnie bezpieczeństwa logowania na
stronie lokaty.open.pl i sprawa została wyjaśniona. Ty piszesz o
zupełnie innej sprawie.

To prawda, ale problem związany z autentykacją, też jest interesujący i chyba dość istotny i jestem wdzięczny za jego poruszenie.

Dziękuję wszystkim za odpowiedzi.

pozdrowienia

"Sslaus" <sslaus_popraw_aby_doszlo@gmail.coom> writes:

Użytkownik "Bungiel" <dochtorek@gmail.com> napisał w wiadomości

Kamil Jońca wrote:
> Wg mnie _formularz_ jest przekazywany sslem.

nie o to chodzi, chodzi o to ze zwykly uzytkownik nie odrozni oryginalnej
strony od podrobki, a w podrobce haslo raczej nie poleci sslem do
prawdziwego serwera

W tym wątku chodzi dokładnie o to, o czym pisał Kamil. Pojawił się
zupełnie bezpodstawny zarzut odnośnie bezpieczeństwa logowania na
stronie lokaty.open.pl i sprawa została wyjaśniona. Ty piszesz o
zupełnie innej sprawie.

To prawda, ale problem związany z autentykacją, też jest interesujący

Problem z .. czym?
http://sjp.pwn.pl/lista.php?co=autentykacja
http://sjp.pwn.pl/lista.php?co=uwierzytelnianie

KJ


--
kondensator - kondensatorych - kondensatoremu
   (odmiana słowa "kondensator" według MS Word 6.0)

Użytkownik "Kamil "Jońca"" <kjonca@poczta.onet.pl> napisał w wiadomości news:87y6kotq60.fsfalfa.kjonca...

"Sslaus" <sslaus_popraw_aby_doszlo@gmail.coom> writes:

Użytkownik "Bungiel" <dochtorek@gmail.com> napisał w wiadomości

Kamil Jońca wrote:
> Wg mnie _formularz_ jest przekazywany sslem.

nie o to chodzi, chodzi o to ze zwykly uzytkownik nie odrozni oryginalnej
strony od podrobki, a w podrobce haslo raczej nie poleci sslem do
prawdziwego serwera

W tym wątku chodzi dokładnie o to, o czym pisał Kamil. Pojawił się
zupełnie bezpodstawny zarzut odnośnie bezpieczeństwa logowania na
stronie lokaty.open.pl i sprawa została wyjaśniona. Ty piszesz o
zupełnie innej sprawie.

To prawda, ale problem związany z autentykacją, też jest interesujący

Problem z .. czym?
http://sjp.pwn.pl/lista.php?co=autentykacja
http://sjp.pwn.pl/lista.php?co=uwierzytelnianie

prawda prawda, masz oczywiście rację.
znalazlem tez inne ciekawe slowo w tym slowniku, swoją drogą bardzo ładnie brzmiące.
http://www.sjp.pl/co/czepialstwo

....

http://www.sjp.pl/co/pozdrowienie

Bungiel wrote:

W tym wątku chodzi dokładnie o to, o czym pisał Kamil. Pojawił się
zupełnie bezpodstawny zarzut odnośnie bezpieczeństwa logowania na
stronie lokaty.open.pl i sprawa została wyjaśniona. Ty piszesz o
zupełnie innej sprawie.

Ok, troche wybieglem do przodu, ale nie powiedzialbym zeby zarzut
odnosnie bezpieczenstwa byl bezpodstawny, bo strona logowania zaladowana
po http nie daje uzytkownikowi pewnosci komu wysle swoje haslo.

A jesli ktos moze podsluchiwac nieszyfrowana sesje to czesto moze rowniez
zmodyfikowac kod strony albo poprostu przekierowac polaczenie na inny serwer.

MarcinF <marfi@interia.pl> writes:

Kamil Jońca wrote:

Wg mnie _formularz_ jest przekazywany sslem.

nie o to chodzi, chodzi o to ze zwykly uzytkownik nie odrozni oryginalnej
strony od podrobki, a w podrobce haslo raczej nie poleci sslem do prawdziwego serwera

Ale z postu autora wątku nie wynikało, że o to mu chodzi.

KJ

--
GNU is Not Unix

Sslaus wrote:

Jak to jest, że na stronie http://lokaty.open.pl można się zalogować, a formularz przesyłany jest ze strony po http a nie https... chyba niezbyt często spotykane na stronach z produktami finansowymi...

Czy nie jest to aby przypadkiem poważna luka w bezpieczeństwie tego serwisu?

mozna sie czepiac bo bardzo ulatwia przechwycenie hasla przez podrobke tej strony