Data: 2009-12-27 14:32:23 | |
Autor: Sslaus | |
lokaty.open.pl a bezpieczenstwo | |
Jak to jest, że na stronie http://lokaty.open.pl można się zalogować, a formularz przesyłany jest ze strony po http a nie https... chyba niezbyt często spotykane na stronach z produktami finansowymi...
Czy nie jest to aby przypadkiem poważna luka w bezpieczeństwie tego serwisu? Oczywiście można korzystać z https i tak zapewne należy robic, ale skoro open nie dba o bezpieczeństwo "tu", to nasuwa sie pytanie czy dba gdzie indziej? pozdrawiam |
|
Data: 2009-12-27 06:20:05 | |
Autor: Bungiel | |
lokaty.open.pl a bezpieczenstwo | |
On Dec 27, 2:32 pm, "Sslaus" <sslaus_popraw_aby_dos...@gmail.coom>
wrote: Jak to jest, że na stroniehttp://lokaty.open.plmożna się zalogować, a Sęk w tym, że formularz logowania na stronie głównej JEST wysyłany po https. Sprawa pojawia się i wraca co jakiś czas, pewnie ktoś to już prostował. https zawiera atrybut action formularza i jest to poprawne jeśli chodzi o bezpieczeństwo danych logowania. Idealnie nie jest, bo nie widać kłódki itp. co może zmylić większość użytkowników, których część wyraża swoje wątpliwości co jakiś czas na tej grupie. Inna sprawa to średnia jakość kodu strony, co jest nieco żenujące.. Ale cóż, takie rzeczy można wytykać i mbankowi i aliorowi i pewnie innym (akurat te 2 oglądałem wcześniej). |
|
Data: 2009-12-28 00:46:30 | |
Autor: Arek | |
lokaty.open.pl a bezpieczenstwo | |
Bungiel napisał(a) w wiadomości:
<08bbe13f-6b4b-4089-9bb9-7a7fb953338b@r5g2000yqb.googlegroups.com>...
Pozwolę sobie zapytać: "średnia jakość" dotyczy funkcjonalności jako takiej, użytych metod (np. świadczących o amatorszczyźnie) czy aspektów stricte bezpieczenstwa? Arek |
|
Data: 2009-12-28 03:47:19 | |
Autor: Bungiel | |
lokaty.open.pl a bezpieczenstwo | |
On Dec 28, 12:46 am, "Arek" <abc...@poczta.onet.pl.usun_cde.invalid>
wrote: Bungiel napisa (a) w wiadomo ci: Miałem na myśli całość kodu po stronie klienta. Ale tak jak wspomniałem, na tę przypadłośc cierpi wiele (większość?) banków w Polsce. |
|
Data: 2009-12-27 15:07:24 | |
Autor: ffiona | |
lokaty.open.pl a bezpieczenstwo | |
Użytkownik "Sslaus" <sslaus_popraw_aby_doszlo@gmail.coom> napisał Jak to jest, że na stronie http://lokaty.open.pl można się zalogować, a formularz przesyłany jest ze strony po http a nie https... chyba niezbyt często spotykane na stronach z produktami finansowymi... Ja mam przy logowaniu https://lokaty.open.pl/logowanie/. Ale za to mam pytanie: co tam w ogóle można zrobić oprócz podglądu lokat, zmiany hasła i złożenia wniosku o nową lokatę? Chyba nic więcej. To i bezpieczeństwo nie bardzo potrzebne. Pozdr. A. |
|
Data: 2009-12-27 15:16:31 | |
Autor: Sslaus | |
lokaty.open.pl a bezpieczenstwo | |
Użytkownik "Sslaus" <sslaus_popraw_aby_doszlo@gmail.coom> napisałTak jak pisałem, można przez https, można bez... Ale za to mam pytanie: co tam w ogóle można zrobić oprócz podglądu lokat, zmiany hasła i złożenia wniosku o nową lokatę? Chyba nic więcej. To i bezpieczeństwo nie bardzo potrzebne. po pierwsze są to informacje poufne i powinny być możliwie dobrze zabezpieczone po drugie, to mylisz się, bo jeśli jakas lokata ma przycisk "przedłuż" to mozesz ją przedłużyć i wskazać dowolny rachunek, na jaki mają być wypłacone pieniądze. |
|
Data: 2009-12-27 15:25:00 | |
Autor: ffiona | |
lokaty.open.pl a bezpieczenstwo | |
Użytkownik "Sslaus" <sslaus_popraw_aby_doszlo@gmail.coom> napisał po drugie, to mylisz się, bo jeśli jakas lokata ma przycisk "przedłuż" toJa pytałam, a nie twierdziłam;-) To tego nie wiedziałam, bo jeszcze nie miałam takiego przycisku. Pozdr. A. |
|
Data: 2009-12-27 15:20:58 | |
Autor: Kamil Jońca | |
lokaty.open.pl a bezpieczenstwo | |
"Sslaus" <sslaus_popraw_aby_doszlo@gmail.coom> writes:
Jak to jest, że na stronie http://lokaty.open.pl można się zalogować, Wg mnie _formularz_ jest przekazywany sslem. KJ -- Uwolnić słonia !!! |
|
Data: 2009-12-27 15:35:48 | |
Autor: MarcinF | |
lokaty.open.pl a bezpieczenstwo | |
Kamil Jońca wrote:
Wg mnie _formularz_ jest przekazywany sslem. nie o to chodzi, chodzi o to ze zwykly uzytkownik nie odrozni oryginalnej strony od podrobki, a w podrobce haslo raczej nie poleci sslem do prawdziwego serwera |
|
Data: 2009-12-27 06:48:13 | |
Autor: Bungiel | |
lokaty.open.pl a bezpieczenstwo | |
On Dec 27, 3:35 pm, MarcinF <ma...@interia.pl> wrote:
Kamil Jońca wrote: W tym wątku chodzi dokładnie o to, o czym pisał Kamil. Pojawił się zupełnie bezpodstawny zarzut odnośnie bezpieczeństwa logowania na stronie lokaty.open.pl i sprawa została wyjaśniona. Ty piszesz o zupełnie innej sprawie. |
|
Data: 2009-12-27 15:56:13 | |
Autor: Sslaus | |
lokaty.open.pl a bezpieczenstwo | |
Użytkownik "Bungiel" <dochtorek@gmail.com> napisał w wiadomości Kamil Jońca wrote: W tym wątku chodzi dokładnie o to, o czym pisał Kamil. Pojawił się To prawda, ale problem związany z autentykacją, też jest interesujący i chyba dość istotny i jestem wdzięczny za jego poruszenie. Dziękuję wszystkim za odpowiedzi. pozdrowienia |
|
Data: 2009-12-27 16:03:35 | |
Autor: Kamil Jońca | |
lokaty.open.pl a bezpieczenstwo | |
"Sslaus" <sslaus_popraw_aby_doszlo@gmail.coom> writes:
Użytkownik "Bungiel" <dochtorek@gmail.com> napisał w wiadomościProblem z .. czym? http://sjp.pwn.pl/lista.php?co=autentykacja http://sjp.pwn.pl/lista.php?co=uwierzytelnianie KJ -- kondensator - kondensatorych - kondensatoremu (odmiana słowa "kondensator" według MS Word 6.0) |
|
Data: 2009-12-27 16:20:54 | |
Autor: Sslaus | |
lokaty.open.pl a bezpieczenstwo | |
Użytkownik "Kamil "Jońca"" <kjonca@poczta.onet.pl> napisał w wiadomości news:87y6kotq60.fsfalfa.kjonca... "Sslaus" <sslaus_popraw_aby_doszlo@gmail.coom> writes: prawda prawda, masz oczywiście rację. znalazlem tez inne ciekawe slowo w tym slowniku, swoją drogą bardzo ładnie brzmiące. http://www.sjp.pl/co/czepialstwo .... http://www.sjp.pl/co/pozdrowienie |
|
Data: 2009-12-27 21:13:23 | |
Autor: MarcinF | |
lokaty.open.pl a bezpieczenstwo | |
Bungiel wrote:
W tym wątku chodzi dokładnie o to, o czym pisał Kamil. Pojawił się Ok, troche wybieglem do przodu, ale nie powiedzialbym zeby zarzut odnosnie bezpieczenstwa byl bezpodstawny, bo strona logowania zaladowana po http nie daje uzytkownikowi pewnosci komu wysle swoje haslo. A jesli ktos moze podsluchiwac nieszyfrowana sesje to czesto moze rowniez zmodyfikowac kod strony albo poprostu przekierowac polaczenie na inny serwer. |
|
Data: 2009-12-27 15:41:43 | |
Autor: Kamil Jońca | |
lokaty.open.pl a bezpieczenstwo | |
MarcinF <marfi@interia.pl> writes:
Kamil Jońca wrote: Ale z postu autora wątku nie wynikało, że o to mu chodzi. KJ -- GNU is Not Unix |
|
Data: 2009-12-27 15:23:43 | |
Autor: MarcinF | |
lokaty.open.pl a bezpieczenstwo | |
Sslaus wrote:
Jak to jest, że na stronie http://lokaty.open.pl można się zalogować, a formularz przesyłany jest ze strony po http a nie https... chyba niezbyt często spotykane na stronach z produktami finansowymi... mozna sie czepiac bo bardzo ulatwia przechwycenie hasla przez podrobke tej strony |