Let's Encrypt je nová certifikační autorita nabízející HTTPS zdarma a s jednoduchým nasazením. Jednoduché ale jen pokud máte jednoduchý web - například při škálovaném webu je paradoxně nasazení mnohem komplikovanější než už klasických autorit. Pokud ovšem nepoužijete trik!

Read More

Seznam.cz v posledních tiskových zprávách (nepřímo) uvedl, že bezpečnost jeho uživatelů pro něj není prioritou a raději se soustředí na vývoj svých aplikací na věštění. Chtěl bych s tím něco udělat a osvědčilo se názorně předvést jednoduchost zneužití, takže si ukážeme, jak lze hravě ukrást účet na Seznam.cz.

V únoru jsem tu předváděl, jak snadno lze zneužít platební kartu na Alza.cz - následně měli zabezpečení vyřešené za týden a s nimi i další eshopy - snad to nyní půjde podobně. V případě Alzy šlo o primitivní pasivní poslouchání komunikace. Tentokrát bude postup trochu složitější, ale o to nebezpečnější. Nebudu se spoléhat na nezabezpečené wifi, ale aktivně útočit na routery u vás doma.

Disclaimer: Budu názorně předvádět krok za krokem, jak ukrást cizí účet. V žádném případě to ale neznamená, že byste postup měli opakovat, protože by to byl trestný čin – to že někdo nechá otevřené hlavní dveře od domu ještě neznamená, že si z něj můžete odnést televizi. V tomto postupu dělám simulaci na svém vlastním routeru, takže nikdo nepřišel k újmě.

Read More

V neděli jsem psal, jak jde na Alze nakoupit za cizí peníze. Článek mezitím přetiskla Lupa.cz a od Alzy se jim podařilo získat vyjádření. A je to pecka!

Pokud jste nečetli, tak v minulém článku jsem předvedl, jak lze primitivně ukrást cizí účet na Alze, zaplatit jeho platební kartou, převést kredity, získat spoustu osobních údajů atd. Alza k tomu vydala následující vyjádření (převzato z Lupa.cz):

Během včerejšího dne jsme nasadili novou verzi webu, kterou jsme připravovali delší dobu, a která řeší popsaný problém. Přihlášení do uživatelského profilu a nákup tak již probíhá šifrovanou cestou. Šifrovaný web (HTTPS) využíváme a budeme využívat pro sekce Moje Alza, nákupní košík a přihlašovací dialog, kde probíhají zásadní operace s uživatelskými účty. Navíc máme zavedena další bezpečnostní opatření, jako například ověření totožnosti kupujícího při nákupu placeném kartou.

Read More

Stačí minimální znalosti nebo schopnost postupovat podle jednoduchého návodu a "můžete" si pořídit nový notebook, aniž byste za něj platili. Tohle rozhodně není jen problém Alzy a naprostá většina eshopů má úplně stejnou slabinu. V poslední době tu hodně píšu o důležitosti https a je načase názorně si předvést, proč je to tak moc důležité.

Read More

Pokud přistupujete k administraci či jiným citlivým online systémům bez https, tak jste HODNĚ odvážní. Zabezpečené spojení je dnes naprostá nutnost. Odradit vás od tohoto zabezpečení mohla cena, protože certifikáty nejsou nelevnější, ale tomu je konec. Nabízíme důvěryhodné certifikáty od 99 Kč na adrese https://crt.simplia.cz/

Read More

Email je neuvěřitelně nespolehlivý komunikační kanál. Nejen že nemáte zaučeno doručení vaší zprávy, ale hlavně ani nevíte, zda vám skutečně píše ten, kdo myslíte. Řešení je přitom jednoduché a jde zařídit během dvou minut.

Read More

Před časem jsem měl školit u mého oblíbeného eshopu (toho, o kterém tu píšu pořád) zaměstnance s novým způsobem vyřizování objednávek. Bylo to poprvé, kdy se mi sešli úplně všichni na jedné hromadě (třicet kusů a přitom jich před rokem bylo kolem deseti), tak jsem chtěl využít příležitosti a rovnou provést menší bezpečnostní školení. Ale vykládat takhle nudnou látku místnosti plné ženských bez sebemenšího zájmu o zabezpečení by mělo asi podobný efekt jako dávat Radkovi H. recenzovat iPad. Rozhodl jsem se proto pro menší bezpečnostní experiment - zkusím se co nejjednodušeji dostat do jejich administrace (samozřejmě bez použití našich hesel apod :)).

Read More

V poslední době se pořád mluví o zabezpečenosti webových aplikací, serverů, hostingů, eshopů, … Většina lidí ale ani netuší o čem mluví, když situaci komentuje, takže si uděláme bezpečnostní rychlokurz :)

Na začátek ale říkám, že o bezpečnosti dohromady nic moc nevím. Na to jsou jiní. Ale nějaký manažerský úvod snad zvládnu.

Read More

Narazil jsem teď na článek o e-shopech na iDnesu a jako obvykle jsem se u toho krásně rozčílil. Hned se s vámi tudíž musím podělit. Jde o článek Vánoční nákupy přes internet plaťte na dobírku. Nenaletíte.

Celý článek působí dojmem, jako by ho psal řadový zákazník ze svého pohledu a navíc na to dostal dotaci od Apeku.

Read More