V neděli jsem psal, jak jde na Alze nakoupit za cizí peníze. Článek mezitím přetiskla Lupa.cz a od Alzy se jim podařilo získat vyjádření. A je to pecka!
Pokud jste nečetli, tak v minulém článku jsem předvedl, jak lze primitivně ukrást cizí účet na Alze, zaplatit jeho platební kartou, převést kredity, získat spoustu osobních údajů atd. Alza k tomu vydala následující vyjádření (převzato z Lupa.cz):
Během včerejšího dne jsme nasadili novou verzi webu, kterou jsme připravovali delší dobu, a která řeší popsaný problém. Přihlášení do uživatelského profilu a nákup tak již probíhá šifrovanou cestou. Šifrovaný web (HTTPS) využíváme a budeme využívat pro sekce Moje Alza, nákupní košík a přihlašovací dialog, kde probíhají zásadní operace s uživatelskými účty. Navíc máme zavedena další bezpečnostní opatření, jako například ověření totožnosti kupujícího při nákupu placeném kartou.
Stačí minimální znalosti nebo schopnost postupovat podle jednoduchého návodu a "můžete" si pořídit nový notebook, aniž byste za něj platili. Tohle rozhodně není jen problém Alzy a naprostá většina eshopů má úplně stejnou slabinu. V poslední době tu hodně píšu o důležitosti https a je načase názorně si předvést, proč je to tak moc důležité.
Minifikujete javascript před publikováním na web? Ano? Výborně! A víte, že můžete ušetřit ještě mnohem více?
Řešil jsem teď problém, na kterém jde krásně vidět, jak se v cloudu některé věci řeší za opačný konec než obvykle. Protože je to poměrně typický příklad, předvedu vám na něm specifika vývoje v cloudu.
Hostujeme eshopy v Amazonu v Irsku a ve čtvrtek byl představen nový region v Německu. Je o pár milisekund blíže, takže se tam přestěhujeme. Díky cross-region replikacím je to otázka pár kliknutí a vše lze přestěhovat zcela plynule bez výpadku. Jedinou zradou je úložiště (AWS S3). Je sice nezávislé na regionu, ale má o něco lepší odezvu, když jsou všechna data primárně ve stejném regionu. A tady přichází problém.
