Diskuze: Bezpečnosť nadovšetko

ITnetwork Bezpečnosť nadovšetko

Avatar
buri
Člen
Avatar
buri:

Ahojte,

Tak v prvom rade musím povedať že tento web začína byť čím ďalej tým viac a viac zaujimavý a je super že sa niečo takéto buduje.

Avšak veľmi ma mrzí že web o IT ako takom zaostáva v takej banálnej veci ako je starostlivosť o bezpečnosť vlastných uživateľov. Hovorím konkrétne o absencií SSL certifikátu (keby aspoň ten zadarmo DV cert. od startssl.com). Keď už nikde inde, tak aspoň v login formulári a taktiež posielanie 'reset hesla' do emailu je tiež nič moc (dúfam že aspoň ten token na request nového hesla má časovo obmedzenú platnosť). Ale celý web nie je odveci šifrovať, kvôli PHPSESSID cookie (nezabudnite flag: secure, inak httponly chválim).

Osobne od istého času sa odmietam logovať na nešifrované HTTP weby hlavne zo śkoly kde máme logovanú/moni­torovanú celú sieť (aj keď mám vlastné VPN ale to len tento rok akosi asi omylom povolili vonkajšie 465 a 993 porty mimo 80 a 443 :D)

Znie to moc kriticky ale v skutočnosti mi ide o návrh na zlepšenie. :)

Odpovědět  +6 27.9.2015 2:36
Prvý dojem klame!
Avatar
David Čápka
Tým ITnetwork
Avatar
Odpovídá na buri
David Čápka:

Ahoj, mám dojem, že se to tu již řešilo. SSLko je v plánu, takhle by nám sem asi mohl napsat každý uživatel a vymyslet si nějakou věc, která tu ještě není. Nemyslím si, že by zrovna tohle byl takový problém, ještě nedávno SSL nepoužíval ani Facebook a nezdá se, že by to někomu vadilo. Když tak řešíš bezpečnost, určitě máš na tento web nastavené jiné heslo než které používáš např. pro banku, v profilech osobní informace nejsou, nevidím tedy ani žádnou velkou hrozbu kdyby se něco stalo.

EDIT: Platební brána je samozřejmě v SSL, toho sis asi všiml.

Editováno 27.9.2015 8:53
Nahoru Odpovědět  +3 27.9.2015 8:51
Miluji svou práci a zdejší komunitu, baví mě se rozvíjet, děkuji každému členovi za to, že zde působí.
Avatar
buri
Člen
Avatar
Odpovídá na David Čápka
buri:

Ahoj,

Ja som to samozrejme nemyslel nejak útočne. Len čisto ako návrh na zlepšenie.
Samozrejme ja mám všade iné minimálne 32-miestne náhodne generované heslá zložené z najrôznejších znakov z ASCII tab. (>32 & <7E). Ale toto chovanie nemôžeš očakávať od všetkých a ver mi keby na to prišlo a podarilo by sa niekomu vydolovať heslá z tohoto webu tak (ako hovoril Grudl v jednej prednáške) snáď nechceš písať všetkým email o zmene ich hesiel všade kde ho používali :) (za predpokladu že nepoužívaš silnú šifru ale aj keby, to tiež nemusí byť teoreticky dostačujúce pretože minulosť je sviňa, čo nie je prelomiteľné časovo teraz môže byť o pár rokov). Ale dobre, asi som moc paranoidný. :D

Platobnú bránu v našich štátoch beriem cez SSL/TLS ako samozrejmosť narozdiel od USA, takže to nejak neriešim. A hej chápem že tu moc nie je čo šifrovať (až na tie heslá ak ich niekto používa na viacerých weboch a to netreba podceňovať) ale mimo toho predsa len to webu (aspoň u mňa) dodáva väčšiu dôveryhodnosť. A oháňať sa väčšími portálmi ako "to oni dodnes nemali a vraj to nikomu nevadilo" nie je výhovorka. Ja tam SSL používam zopár rokov, dalo sa manuálne zapnúť.

No každopádne nechcem aby tento príspevok vyzeral nejak moc útočne, ide mi čisto o dobro tohoto portálu a nech je internet čo najbezpečnejšie miesto ako to ide :-}

Nahoru Odpovědět 27.9.2015 13:35
Prvý dojem klame!
Avatar
David Čápka
Tým ITnetwork
Avatar
Odpovídá na buri
David Čápka:

Posunul jsem to v todocku nahoru, do 2 měsíců by to tu melo byt :-)

Nahoru Odpovědět  +7 28.9.2015 16:01
Miluji svou práci a zdejší komunitu, baví mě se rozvíjet, děkuji každému členovi za to, že zde působí.
Avatar
David Novák
Tým ITnetwork
Avatar
Odpovídá na buri
David Novák:

Náhodně generovaná, 32-místná hesla? Ještě řekni, že nepoužíváš správce hesel a všechno si to pamatuješ :D

Nahoru Odpovědět  +1 28.9.2015 19:26
Chyba je mezi klávesnicí a židlí.
Avatar
buri
Člen
Avatar
Odpovídá na David Novák
buri:

Samozrejme že pouźívam správcu hesiel s AES-256 šifrovaním + na šifrovanom disku. :D Pravdaže aj to je riziko ale stále menšie ako mať všade rovnaké krátke heslo ktoré sa dá uhádnuť prinajmenšom hrubou silou.

Nahoru Odpovědět 28.9.2015 19:32
Prvý dojem klame!
Avatar
David Novák
Tým ITnetwork
Avatar
Odpovídá na buri
David Novák:

A to provozuješ nějakou ilegální činnost? Nebo máš nějaká životu důležitá data..? :D

By mě zajímalo, co tě vede k takovému "hrocení" bezpečnosti..

Nahoru Odpovědět  +4 28.9.2015 19:35
Chyba je mezi klávesnicí a židlí.
Avatar
buri
Člen
Avatar
Odpovídá na David Novák
buri:

To nie a popravde pár ľudí mi povedalo že to už moc hrotím. :D Ale tak posledné mesiace sa o bezpečnsoť ako takú zaujímam (v IT) a lepšie byť pripravený na horšie časy teraz ako zvykať si potom. :D Beriem to ako bežnú súčasť života a potom sa nemusím báť napr. o odcudzenie účtu niekde a pod. (samozrejme to beriem s rezervou, nič nie je 100%). A tak potom beriem na zodpovednosť aj moje aplikácie ktoré vyvíjam napr. zákazníkom. Samozrejme im tam nedám už MD5 ani SHA1 hash na heslá, taktiež často implementujem len zo zvyku nejaké OTPčko a keď je možnosť tak aj rozosielanie interných emailou cez PGP a pod. :D

Nahoru Odpovědět 28.9.2015 19:47
Prvý dojem klame!
Avatar
Taskkill
Redaktor
Avatar
Taskkill:

Nic proti bezpečnosti, to ni v nejmenším :) ALE hodně dlouho čekám až mi někdo z lidí co používají geniální a superUltraMega zabezpečení vysvětlí jak je AES, Serpent a nebo mečoun ochrání před baseballovou pálkou v rukách neoblomného "hackera" ... a co víc... jsou způsoby jak z tebe to tvoje dokonalý heslo vymámit po dobrém... (viděl jsem film o týpkovi co hackoval nejmenovaný geometrický útvar ;) a tak na něj na asociála jednoho ujetýho nasadili sexy kočku s blond vlasama a postavou modelky, ta holka s ním pár týdnů chodila/seděla/le­žela - prostě trávila čas :D a tak se stalo, že jednoho krásnýho dne už nebylo to jeho skvělý heslo jenom jeho)

 
Nahoru Odpovědět 28.9.2015 19:53
Avatar
BlugW
Redaktor
Avatar
Odpovídá na Taskkill
BlugW:

Ještě aby ne :D Byl by pruser kdyby se zjistilo že "nemá rád ženy" :D

Editováno 28.9.2015 19:56
Nahoru Odpovědět  +2 28.9.2015 19:55
Pořiď si mac na www.appletrh.cz. Novinky a zajímavosti ze světa Apple na https://www.applemagazin.eu
Avatar
buri
Člen
Avatar
Odpovídá na Taskkill
buri:

Dobre ale to sú už psychologické ťahy a hej máś pravdu ale ak by to partner vyžadoval tak by som dal maximálne heslo na konkrétnu službu ale určite nie do celého správcu hesiel. Nech by som bol nadržaný ako chcel, treba byť v istých veciach zásadový a to som (teda aspoň doteraz som bol :D). Ale toto sú veci ktoré idú zatiaľ mimo mňa, teraz sa zameriavam o bezpečnosť čisto v digitálnych komunikáciách. :D

  • BlugW: Tomu sa hovorí dvojfaktorová authentifikácia (aj keď len s dvomi pokusmi) a má to svoje výhody :D
Nahoru Odpovědět  +1 28.9.2015 20:19
Prvý dojem klame!
Avatar
Marek Z.
Redaktor
Avatar
Odpovídá na David Novák
Marek Z.:

Ono se celkem často říká. že ideální ochrana hesel je ta, že si žádné nepamatuješ.
Pouze to jedno hlavní přes, které přistupuješ k ostatním. Počítáno s tím, že vývojář aplikace je správně ukládá, apod..

Editováno 28.9.2015 20:36
Nahoru Odpovědět 28.9.2015 20:35
Chybami se člověk učí, běžte se učit jinam!
Avatar
buri
Člen
Avatar
Odpovídá na Marek Z.
buri:

Presne. Avšak nevidíš backend aplikácie a nevieš či vývojár ukladá heslá v md5, alebo nedajbože v plaintext-e alebo v bcrypt-e. Ten SSL ešte vidíš ale ani to nemusí (a nie je) byť 99.99% ochrana (napr. downgrade na SSL namiesto TLS protokolu a pod.). Takže, preto je vždy lepšie mať všade iné heslá pretože vždy to postihne tým pádom len tú jednú službu.

Nahoru Odpovědět  +1 28.9.2015 20:51
Prvý dojem klame!
Avatar
Luboš Běhounek (Satik):

Koukám, že jsem pravý opak, ještě donedávna jsem měl tady na itnetwork heslo "123456" :D

Nahoru Odpovědět  +1 29.9.2015 8:36
:)
Avatar
buri
Člen
Avatar
Odpovídá na Luboš Běhounek (Satik)
buri:

Toto heslo je jedno z prvých na zoznamoch pri brute force útoku :D

Nahoru Odpovědět 29.9.2015 11:46
Prvý dojem klame!
Avatar
Odpovídá na buri
Michal Štěpánek:

Trošku mi objasni, co by mi mohl kdo udělat, kdyby se dostal k mému přihlášení tady na síti? Mohl by napsat mým jménem např. "neslušný" příspěvek? Nebo co horšího by se mohlo stát?

Nahoru Odpovědět 29.9.2015 14:34
Nikdy neříkej nahlas, že to nejde. Vždycky se totiž najde blbec, který to neví a udělá to...
Avatar
Odpovídá na buri
Luboš Běhounek (Satik):

Nemám tu taková práva, aby vadilo, když by se mi někdo na účet dostal, tak to heslo tady moc neřeším :)

Nahoru Odpovědět 29.9.2015 15:50
:)
Avatar
buri
Člen
Avatar
Odpovídá na Michal Štěpánek
buri:

Nepremýšlaš dobre. Nejde o to čo TU spravia. AK ti odchytia heslo pri nešifrovanom spojení na cudzej sieti ALEBO sa tvoje heslo dostane von skrz ukradnutú databázu kde sú heslá ukladané zlým spôsobom a ak si uživateľ ktorý používa dokopy 1-3 heslá na všetko na internete, tak máš po vtákoch :) Ale nejde o teba, ide hlavne o bezpečnosť bežných ľudí alebo ľudí ktorý o takýchto veciach ani len netušia.

Nahoru Odpovědět 29.9.2015 19:31
Prvý dojem klame!
Avatar
Odpovídá na buri
Michal Štěpánek:

Ty musíš mít strašnej život. Nemáš ty zaheslovanej i zámek u dveří na záchod?

Nahoru Odpovědět 30.9.2015 8:42
Nikdy neříkej nahlas, že to nejde. Vždycky se totiž najde blbec, který to neví a udělá to...
Děláme co je v našich silách, aby byly zdejší diskuze co nejkvalitnější. Proto do nich také mohou přispívat pouze registrovaní členové. Pro zapojení do diskuze se přihlas. Pokud ještě nemáš účet, zaregistruj se, je to zdarma.

Zobrazeno 19 zpráv z 19.