Nevim jestli dobré se chlubit útokem "hrubou silou" a vyuzivat neznalosti svátečných a neskutečných uživatlů. Informace, které jste tímto "útokem" zjistil museli být velice hodnotné. Mimochodem jste neobjevil nic nového tento způsob je používaný delší dobou. Přeji vám více štěstí v hackování....
Vazeni,debata bezi docela svizne a pravdu maji v podstate vsichni (kdo pisi k veci, ze...). Jde o stretnuti odlisnych pristupu k zivotu. Pan Hlavenka vola po implementaci "americkeho", ktery je odlisny od "naseho", ale brzo nas prevalcuje. Rozdily? Napriklad zaloby na tabakovy prumysl v U.S. U nas nepredstavitelne, nikoho by ve snu nenapadlo, vydavat se za TAKOVEHO KRETENA, tam normalni. Takze zpatky k veci: je to debata o tom, do jake miry chranit blbce. Opustme detaily, ty nas jenom zavadeji!BTW, ani debata o etice postupu p. Hlavenky neni na miste. Pokud mu slo opravdu o to, chranit blbce, nema smysl psat na zadny helpdesk. Kazdy blbec potrebuje PORADNE KOPNOUT, aby zareagoval - od toho je to blbec.Ale abych to jeste vice zamlzil: pane Hlavenko, problem je v tom, ze svou pomoc blbcum vnucujete lidem, kteri blbci nejsou! A nedivte se, ze se brani; pro Vase navstevniky je ten clanek opravdu ztrata casu!Dobra rada: prepiste to, zkratte to, dejte tomu titulek, aby sel na 62 bodu a dejte to do Blesku!
pro J. HlavenkuPřeji příjemné dobré ráno (odpoledne, podvečer, noc - záleží na vás). Teď jsem se koukal na underground.cz a klikl jsem na odkaz na hacknutou stránku post.sk, kterou v pátek 13tého hackli binary_division. A všiml jsem si, že ve skrytém textu je věta: zdravime p. "security experta" hlavenku, je hodne hustej Že by se k hacknutí post.sk a pravděpodobně i post.cz nechali inspirovat od vás?? :o))
Možná tam inspirace byla , ale postup byl určitě jiný. To, co jsem zkoušel na Post.cz já, nebylo žádné hackování - to ani neumím.
pro J. Halvenku:No, já už se lekl, jestli nejste člen "binary_division". To by potom byla bomba, dovedu si představit ty články ve světě na modro, Lupě, undergroundu a tak - "J Hlavenka, český Kevin Mitnick dopaden", nebo "člen binary_division J. Hlavenka polapen majorem Dastychem".:o))
To je dost, že si toho taky někdovšiml, o tomto problému jsme informovali (http://neoplanet.zde.cz)již před dost dlouhou dobou,rozhodně to nepodceňujte, protože jeto velmi jednoduché, rychlé a učinné,to mi věřte !
Tenhle zpusob vstupu pro zapomnetlive neni nic noveho. Hotmail jej pouziva jiz od sveho zalozeni a to uz je par let. Takze aby bylo jasno, to neni czech-made vynalez.
Jistě, to ani nepíšu: ale způsob, jaký jej má hotmail zavedený, dramaticky snižuje bezpečnostní rizika, která jsou (či byla) u Postu.
Jen se divím,že p.Hlavenka tento článeknenapsal dříve.Asi teď potřeboval zalepit místo na WEBu.Co zadám za kontrolní otázku je moje věc.Hacknout se dá skoro vše ...
Ještě dodatek - jsem takový imbecil, že nic jiného než prudit příspěvky neumím. No a to že jsem debil, jsem už sebekriticky přiznal v předchozím vstupu, takže se loučím s konstatováním - jsem vůl a pravděpodobně volem zůstanu.
Jsem přiblblý, vygumovaný, deprivovaný pako a musím to sebekriticky přiznat.
Tak schvalne, si hacknete sam sebe!!!
Pan Hlavenka při své deklarované snaze o nápravu bezpečnostní díry bohužel porušil zásadní věc - poslat svůj článek před zveřejněním autorům post.cz. Tím se značně zdiskreditoval.Ve svém článku nejen upozorňuje na problém, ale hlavně dává návod všem, aby si to vyzkoušeli. Je to podraz na všechny uživatele post.cz, kteří článek nečetli a nemohou tedy změnit heslo ani otázku.Kdyby pan Hlavenka autory na zveřejnění svého článku upozornil předem a oni přesto program neupravili, padala by vina na ně. Takto to vypadá, že věděl, že odstranění chyby je otázka chvilky a kdyby chybu odstranili před zveřejněním článku, byl by článek zbytečný. Musel by napsat jiný - o tom, jak rychle autoři na post.cz zareagovali.Jako novinář by měl vědět, že je rozdíl, když někdo upozorní na chybu soukromým mailem a nebo když navod na vyzkoušení chyby zveřejní v článku. Je ostuda autorů, že tuto chybu bagatelizovali, ale způsob zveřejnění článku bez upozornění je taky ostudný. Proto se mi výmluvy zdají velmi pokrytecké.
K tomu pár poznámek.První je, že se nejednalo o bezpečnostní díru v tom smyslu, v jakém je definována - tedy jako otevřená vrátka tam, kde mají být zavřená. Jak praví klasik, "nebyl to bug, ale feature", záměrně a s jasnou hlavou naprogramovaná část systému, takto fungující tři roky.Druhá je, že na tento problém Post.cz byl upozorněn, a to dokonce veřejně: na jaydee.cz o tom vyšel článek už snad před dvěma lety. Kolikrát tedy musí být provozovatel bezvýsledně upozorněn, aby už konečně směl být zveřejněn článek?A konečně - podívejte se na Internet, jak se postupuje, když někdo objeví skutečnou, předtím nezveřejněnou, bezpečnostní díru například ve Windows či Internet Exploreru. Okamžitě se to zveřejní - a dělají to i ta nejserióznější média.
1.Souhlasím, že programátoři problém podcenili, je to jejich ostuda, ale já se na problém dívám z hlediska uživatelů, kterým se někteří čtenáři Vašeho článku, po Vaší výzvě a návodu k luštění, hrabali v soukromé poště.Mohlo by mi to být jedno, protože u post.cz mail nepoužívám, ale nelíbí se mi Váš postup, protože jste na takto pojatý článek nikoho předem neupozornil.2.Na nový článek stačí upozornit provozovatele jen jednou - a to jste neudělal. Článek, který kdysi vyšel málokdo četl a dnes je zcela jiná situace.3.Teď porovnáváte hrušky s jablkama. V první poznámce sám píšete, že se nejednalo o bezpečnostní díru a teď svůj článek omlouváte, že i díry ve Windows zveřejňují seriozní média bez upozornění.Kdyby jste o takových dírách psal, bylo by to přece něco úplně jiného. V případě post.cz jste mohl předem upozornit konkretní autory, aby mohli varovat konkrétní uživatele. Koho upozornit předem v případě Windows - Microsoft ?Neberte to osobně, ale i když Vám někdo za zveřejnění tleská, já nemohu. Už jsem od Vás četl hodně dobrých článků a věřím, že jich ještě hodně napíšete, ale tento možná vyjit nemusel.V případě, že by autoři post.cz Vaše upozornění ignorovali, mohl být článek ještě bombastičtější - ale to jste asi nechtěl riskovat...
Vazeny Pane Hlavenko,verim, ze vas ponekud prizemni napadani "Klausem" nijak nerozhazelo, neb jako profik dobre vite, ze stale plati ono tak pravdive "za dobrotu na zebrotu".
Pockej az napadnu tebe!
Ach jo, já se prostě neudržím a pořád musím psát svoje stupidity po webech. Já jsem prostě webový ekvivalent sprayera.A navíc arogantní a namyšlený hňup, který sice ničemu nerozumí, nemá žádné zkušenosti, ale do všeho musí kecat.
Ale jenom kecejte, s chutí do toho - od toho diskusní fóra jsou. Kdyby to bylo ale k věci, k tématu a konkrétně - to by bylo radosti!
Ze by lahvicka?
send mail: from: user[LuuSER]@post.cz to: target[DeaD lUUser]@post.cz subject: pass_reply -------------------------- message:user login user password target´s login 137138139 eXample ??? LAMERS !!!--- GO !.........michal .......................sucker ......................pavel G00d 1ucK f0r H4CKinG Post... by Kont Thankssssss& }FAKE(luck DeaD f4ct0rY
No, nechci do toho moc kecat, ale tzv. "hackovani" POSTu timhle zpusobem je vec stara jiz nekolik let. Znam desitky lidi, kteri se podobnou cinnosti bavi... Ale co me zarazilo a proc vlastne pisu tenhle prispevek je fakt, ze pan Hlavenka zjevne podcenuje inteligenci "bezneho uzivatele". Narazky na to, ze POST pri registraci neinformuje o vyuziti kontrolni otazky jsou snad naprosto scestne - k cemu by asi byla? Pokud jde o helpdesk - mam s nima moc dobry zkusenosti. Zrovna minuly tyden, kdyz se na POSTu pos.... databaze, tak mi pomohli. No, hlavne ze dalsi "dira" byla ucpana.
Nedovolil bych se podceňovat inteligenci běžného uživatele, kdybych neviděl na vlastní oči, co jsem viděl: devět z deseti kontrolních otázek je snadno rozkódovatelných. Tím, že znáte desítky lidí, kteří se tím léta baví... se raději ani nechlubte. Nebyl zrovna tady na místě urgentní dopis na VOL/Globe, aby s tím něco udělali?Co se týká využití kontrolní otázky, tak právě naprosto zcestné je, že o způsobu jejího zveřejnění POST.cz neinformoval. Její typické použití (viz např. jak to má Expandia Banka atd.) je v telefonickém styku na helpdesku, ne že se zobrazí úplně každému na web stránce.
Ja zastavam nazor, ze inteligentni uzivatel si zvoli inteligentni otazku - treba jednoduchou, aby ho odpoved hned napadla. Ale taky bezpecnou - tj., aby nenapadla nekho jineho. Pokud si ale nekdo zvoli otazku treba JA? a odpoved JA, tak je u me magor a zaslouzi si smazani vsech dopisu a nejlip i upaleni za ziva. Expandia banku jsem, priznam se, nevidel, ale jinak - kdekoliv jsem se registroval a chteli po me kontrolni otazku, fungovalo to na stejnem principu jako u POST.CZ...
Mají i Magoři právo na život a na to, aby se jim pomáhalo? Nebo - kdo je trošku prostšího ducha, tak ať na to tvrdě doplatí?
Ja bych to takhle neextremizoval ) Kazdopadne - "za blbost se plati" No, OK.
JA pouzivam freemail na seznamu. Ten taky pouziva kontrolni otazku + odpoved, ale neni nutna a je tam vse vysvetleno. Uzivatele postu by se sami meli chtit informovat kdyz necemu nerozumi a ne vplnovat vse na co se ptaji bez rozmysleni. Kdyby se jich ptali na cislo jejich uctu a na heslo taky by ho tam asi napsali...(( A ti co vedi k cemu ta otazka a odpoved slouzi, by meli vybrat takovou dvojici, aby k sobe vubec nepatrila. Ja sem pouzival OTAZKU: Kolik? a ODPOVED: Ahoj. Kdo by to predvidal...))) Staci se jen trochu zajimat o to co vyplnuji...
uživatelé post.cz byli nuceni zadat kontrolní otázku a nebylo k tomu žádné vysvětlení. běžný uživatel nemá zájem se vyptávat helpdesku... chce svou schránku ihned a on-line. a ještě k té doplňující otázce - její smysl je v tom, že právě vás napadne odpověď a nikoho jiného. takže používat nesouvisející texty je nesmysl.
Tak jsem to zkoumal na svem ucttu a amusim konstatovat ze vami popsany princip nejak nefunguje...
Jasně, už je to spravené.
Post.cz má ještě jednu nepříjemnost, na kterou jsem je 3x upozorňoval a ani mi neodepsali. Když si načtete jejich stránku (funguje v MSIE i v Netscape), tak se vám občas stane, že při zadávání hesla přeskočí kurzor do kolonky s uživatelským jménem a napíšete tam viditelně své heslo. A když vedle vás někdo sedí nebo stojí a vy nekoukáte...Stalo se mi to alespoň 10x a to na různých počítačích, místech, OS, prohlížečích, docela nepříjemné dávejte si na to pozor.
to není nepříjemnost post.cz :o) souvisí to s tím, že vy umístíte kurzor do pole heslo ještě dříve, než se načte celá stránka. no a po načtení stránky se automaticky nastavuje fokus na určené pole -- v tomto případě uživatelské jméno. takže proto to přeskočení.
No nechapu, jak nekdo muze zadat navodnou otazku typu "Bydlim v Praze?" nebo jinou kokotinu. Takovemu cloveku je zneuziti jeho uctu skolenim, jak takove blbosti nedelat. To neni chyba POST, i kdyz by se spise melo zasilat heslo na email. Jinak receno blbec, ktery zamkne auto a necha stazene okenko, si dost koleduje o jeho vykradeni. Neverim, ze je tolik pitomcu na internetu.
S tím naprosto souhlasím.
Heslo na e-mail se nemůže zaslat, když člověk nemá přístup na e-mail, jelikož nezná to heslo )S tou návodnou otázkou to není tak jasný. Kdyby to bylo např. tak jako na Hotmailu, kde nejdříve musíte projít "prvním kolem lustrace", zodpovědět správně, kde bydlíte a atd., a pak teprve jde návodná otázka, tak je to v pořádku a ta návodná otázka může být mírně stupidní.
Abych rekl pravdu, mam pocit, ze cela tahle debata je celkem o nicem, ale je dobre, ze se zase objevilo neco na tema bezpecnosti.PROC? Kazdy, kdo trochu zna Internet a jeho protokoly vi, ze Internet je jak otevrena knizka, staci jen vedet, jak cist. Pokud nepouzivate SSL pri pristupu na web ci k mailu, SSH pri pristupu na vzdaleny pocitac nebo PGP pro bezpecne mailovani, tak VSECHNA Vase data (e-maily, hesla, loginy, ... a nekdy bohuzel i cisla kreditek) behaji po siti totalne nahe - nechranene. Je to jen otazka znalosti a moznosti se chytit pocitace, pres ktery Vase data bezi a ma co cist. Ale malokdo si to uvedomuje. Obecne je treba rict, ze povedomi o bezpecnosti (nebo nebezpecnosti ) Inetu je treba budovat specielne v jeho beznych uzivatelich stale a tim je ucit pouzivat (a vyzadovat) bezpecne (nebo aspon bezpecnejsi ) protokoly, sluzby, ...
Takze zaverem: to, ze nekdo muze cist muj email na Postu me fakt nebere (ostatne neni to nic noveho, minimalne lidi z Globe to mohou delat celou dobu ), ale dobre, ze nekdo upozornil na to (i kdyz podle meho nazoru ne uplne stastne, ale prejme Zive ty hity, ne??? ), ze pokud sam nemyslite na ochranu sveho soukromi, tak to nikdo jiny za Vas neudela.
...jak správně píšete, bezpečnost Internetu je otázka znalostí a možností. takže jistě je rozdíl, když má k cizím mejlům přístup desetileté dítě, které uhádne kontrolní otázku nebo internetový profík, který zná protokoly. do jednoho pytle bych to neházel.
Zmiňovanou kontrolu IP v praxi v podstatě nelze použít. Uživatelé z firem často přistupují k Internetu přes NAT, takže mají společnou IP, celá akademická síť je připojena jen přes několik transparentních proxy serverů - několik tisíc uživatelů pak má stejnou IP adresu.
Před půl rokem však byla mnohem větší díra v jiném českém freemailu. Ten si jednotlivé uživatele pamatoval pomocí IP adres místo session proměnných. Takže stačilo, aby ve firmě dva lidé v jeden okamžik používali stejnou službu, a ten co začal o chvilku později, pracoval s mailovým účtem svého kolegy.
Tím se bavili mí kamarádi na škole od doby co POST.CZ vznikl :))) Je celkem zábavné pročítat spolužačkám milostné dopisy :))
Já nevím, ale vy jako uživatelé opravdu máte jako odpověď na kontrolní otázku nastavené něco, co tam logicky patří???? Jestli ano, tak to jste u mě ňoumové!!! Já měl například dost dlouho nastavenou otázku: "Kolik je hodin?" a odpověď byla: "bryle". I tohle se dá samozřejmě prolomit, ale těžko se to dá uhádnout... Ale lidi jsou fakt naivní....
bezva, takže pokud byste heslo zapomněl, tak by vám vaše kontrolní otázka děsně pomohla :o))) není možné označit průměrného uživatele jako ňoumu, ale je potřeba přizpůsobit systém průměrnému uživateli. takže si tu vaši nadřazenost schovejte pro někoho jiného.
Ale pomohla. Když si založím konto (a mám jich několik jako každý) tak si na takový malinkatý papírek poznamenám heslo a kontrolní otázku..... A ten mám doma, bezpečně uložený, pro případ sklerozy... "Průměrný uživatel" může učinit totéž...
hmmm... doma vám bude platný, až budete někde na cestách, v internetové kavárně... a nebudete si moci vzpomenout :o) jistě, hesla, která používáme často si pamatujeme, ale pokud si např. přesměrováváte poštu a free-mailu prakticky nepřistupujete, pak se opravdu můžete dostat do výše uvedené situace.
Takto nefunguje pouze post ale jak byloreceno i centrum. A neni to chyba freemailu ale nezodpovednych lidi volici ci hloupa hesla a jeste hloupejsi kontrolni otazky. Rekl bych, jinak to resit nejde.
Jste ve spolecnosti a vsimnul jste si ze si Vas znamy nezapnul rozporek.Vetsina lidi to dotycnemu nenapadne naznaci, aby mu zajistila dostatek casu pro napravu.Ostatni budou rvat na cely sal ze ma dotycny rozporek dokoran a jeste k tomu vsemu by mel radost z toho ze nahodou si ten den rozporek zapnul ...Pan Hlavenka dle reakci bohudik nereprezentuje v tomto ohledu vetsinu.
Krásný případ. Akorát že s rozepnutým puntem chodí po světě Post.cz ne jeden večer, ale tři roky :))A upozornění se mu už dostalo - například to o něm už bylo publikováno na Internetu. A nezapl si ho. Takže musí přijít upozornění před veřejností.
hurá získal jsem email erotika@post.czsuper
'Mistre',myslim, ze nejsem jedinny, kdo o zminovanem problemu vi uz delsi dobu. Zajimalo by mne, proc jste s tim prisel az (nebo prave) ted. Jako uzivatel Postu.cz mam vice starosti spise s obcasnou nefunkcnosti ruznych casti systemu. Zaujalo mne, jak rychle na clanek Post.cz zareagoval. Nechtel byste ho kritizovat casteji? Treba by to vedlo k zlepseni funkcnosti...
Hello!Mam dojem, ze nekdo psal,z e spousta uzivatelu post.cz ma jmeno stejne jako heslo.. (nemuzu ten prispevek najit..) = tak jsem udelal pruzkum a asi vas kdo toho chcete zneuzivat moc nepotesim - ano takovi uzivatele jsou, ale neni jich nastesti tak moc - 1.7%.. Ale stejne do noveho systemu pridame kontrolu a podobne veci zakazeme..Bye
díky, že jste si můj dlouhý příspěvek přečetl. jsem rád, že s tím něco hodláte udělat. jinak 1.7% mi připadá docela hodně.
Jednak mi opravdu připadá trochu divné, že autor nejdříve nekontaktoval Helpdesk (to že většinou jinde nefunguje nebo že o tom autoři musí vědět je sice pravda, ale takhle to vypadá jako výmluva. Tady by se asi vylpatilo poslat jeden alibistický mail.)Navíc k té bezpečnosti - na post.cz jsem dostakl několik mailů od někoho, koho vůbec neznám, a řekl bych, že byly docela soukromé. A jednalo se buď o překlep nebo spíš o "odhad" něčí emailové adresy, který se ukázal jako špatný.A ještě k těm návodným otázkám: uvádíte příklad, jak se dostat do něčí schránky, nevíte čí, a jako doboru návodnou otázku uvádíte rodné číslo. Řekl bych ale, že mnohem horší by bylo, kdyby se do mé schránky dostal někdo, kdo mne zná - a tam je velice pravbděpodobné, že mu nedá zase takový problém zjistit mé rodné číslo, adresu apod. Z tohohle důvodu si podobné údaje jako návodnou otázku zásadně nedávám. A navíc ty příklady - bagr bagruje apod. - to rozhodně autoři otázek nemohli myslet jako zabezpečení, já bych na takovouhle otázku (i kdybych si jí napsal sám) musel mít alespoń 10 pokusů v případě, že bych alespoń tušil, co jsem tam napsal.A ještě něco k time-outům - když někdo nepoužívá talčítko odhlásit, tak se pak nemůže divit, že se mu někdo do pošty dostane. Já mám třeba mail puštěný na pozadí celý den a rozhodně se nechci každých deset minut přihlašovat. Možná bych dal uživatelům na výběr v nastavení uživatele - chcete, aby automatické odhlášení proběhlo za 30 minut nebo 10 sekund? Ať si ti lenoši, co jsou líní jednou kliknout, zrochu užijou, ne?
Rodné číslo znají asi jenom hodně blízcí lidé k dotyčnému - nebo pak ti, kterým to vyplní v dotaznících, ale jakékoli zneužití zde už je "na paragraf", to je jasné.Může jít i o kombinování těch bezpečnostních zámků: například tam bude uvedeno Rodné číslo, ale uživatel ví, že za něj ještě musí napsat, řekněme, své křestní jméno.
proč si pořád všichni myslíte, že se to mělo poslat nejdříve na HelpDesk... ZKOUŠELI JSTE TO UDĚLAT? MYSLÍTE SI, že by to mělo nějaký smysl??? tomu nevěřím.
Nejde o to, jestli by to mělo nějaký smysl, ale o to, že je to slušnost. Kór jestli nemám předchozí zkušenost s tímto konkrétním HelpDeskem. Nemůžu přeci podle kvality ostatích usuzovan na kvalitu tohohle. A i z taktického hlediska je to úplně něco jiného, pokud můžu napsat "poslal jsem to na HelpDesk, a nic", tak není o čem diskutovat. Ale takhle, bez toho alibi, to opravdu může vypadat trochu divně.
Schvalne udavam mail na post, protoze ma odpoved je kapku jina.Co se ale tyce tech odpovedi na otazky, tak je to pravdive. Neni nic snazsiho, nez se dostat nekomu na post. nedavno jsem checknul postu jedne kamosce. Navic stejne heslo pouziva i na dalsich 3 uctech, takze mam dokonaly prehled o jejim zivote. Ne, takovy nejsem... Jen jsem ji upozornil.
Tohle neni jediny problem. Asi pred ctrnacti dny mi na muj ucet zacaly chodit maily bez tela. Hlavicky byly sice v poradku, ale obsah nikde, prazdno. Kdyz jsem si ztezoval dostal jsem nasledujici odpoved:****************Dobry den, tento problem byl zpusoben vypadkem casti databaze. Nasi technici tentoproblem jiz odstranili. Bohuzel zpravy, ktere takto dorazily /bezcitelneho textu/ jiz bohuzel nebude mozne obnovit. Za tuto neprijmenost seVam velice omlouvame. Dekujeme Vam za pochopeni a prejeme hezky den. S pozdravem Vas Helpdesk***********************Nadhera ze? Taky mi zmizely prilohy u mailu starych asi rok, a to nebylo nic vetsiho, nez dohromady asi 200 kb. Taky parada. Navic jsem si zkusebne ve ctvrtek poslal maily na svoje jine adresy ( placeny provider, ktery vetsinou funguje ) a dodnes nedorazily.
HAHAHAHAtrochu vam to trvalo ale nakonec cpress zase zvitezil.
Pane Havelka, mohl jste to říci raději tvůrcům post.cz. Bylo by to etičtější! Je to to samé jako kdybych řekl všem lidem v ČR jak vykrást váš byt, nebo jak bez problémů odemknou zámek vašeho auta. A nebo jako kdybych řekl všem lidem v ČR jak zjistit heslo na Váš bankovní účet. Je to horší jako uveřejnit - jak zjistit seriové čísla ke komerčním programům. (Ja vím v tom druhém případě poškodíte velké korporace). V tom Vašem případě jste poškodil jen malé uživatele. Jen kvůli tomu aby jste získal větší čtivost vašeho časopisu. Takže tohleto je zvěrsto! Nic jiného! Pro vás má větší cenu osoba Billa Gatese než nějaké JANY X z Horní dolní. Peníze = zákon. Že?Pokud tomu tak není tak bych rád kdyby jste zveřejnil stejně jako hesla malých uživatelů na těchto stránkách PRODUCT KEY pro Windows 2000. A vlastně ukážete stejným způsobem nedokonalou ochranu instalačního CD. Myslím ale že to neuděláte a raději budete pochlebovat člověku s příjmem 500 dolarů za vteřinu. A poškozovat lidi s příjmem 100 dolarů za měsíc. Takže zkuste ukázat špatnou ochranu SW těch bohatých...Tak ukážete svojí sílu!
Souhlasím - pokusil jsem se na to upozornit napsáním fiktivního příběhu o pár příspěvků výše, ale pointu pravděpodobně nikdo nepochopil.
Co vím, tak Centrum je na tom snad ještě hůře. Přes www.centrum/xxx (kde xxx je přihlašovací jméno uživatele, neboli ta část emailu před zavináčem) se dostanete na jeho osobní stránku, kde si můžete přečíst jeho oblíbený denní tisk, zjistit zda sleduje akciový trh (co je komu do toho, že?) a v neposlední řadě se dozvíte i kolik má ve schránce zpráv a kolik z nich je nepřečtených. Pokud se mu pokusíte dostat do mailu, tak v případě, že při registraci vyplnil kontrolní otázku a odpověď (u Centra to myslím není povinné) a zadáte špatné heslo, jste na kontrolní otázku dotázáni taktéž. Pak už je to brnkačka s 10-20% šancí na úspěch...
Taky mě dokáže maximálně iritovat to, že na centrumu je nádherný nápis https autentifikace a autorům vůbec nic neříká pojem certifikační autorita. FUJ !
... a prave proto existuje signatura, pripadne toto muzete (pristup na osobni stranku bez hesla) zcela zakazat, stejne tak jako zobrazovani poctu mailu.
Asi jste mě nepochopil. Jde zde o to, že mail.centrum.cz sám sebe považuje za certifikační autoritu. (Ani nevím, jestli na toto jde podat trestní oznámení.)
NetCentrum se nepovazuje za certifikacni autoritu, to je trial certifikat ktery si kazdy muze udelat sam. Bohuzel cesta k ziskani "ostreho" certifikatu je dosti trnita a byrokraticka a vzhledem k prakticky nulovemu vyuziti HTTPS pristupu jsou prioritnejsi veci :| Ale neni to idealni situace, to souhlasim.
Bohuzel cesta k ziskani "ostreho" certifikatu je dosti trnita a byrokraticka a vzhledem k prakticky nulovemu vyuziti HTTPS pristupu jsou prioritnejsi veci :| Ale neni to idealni situace, to souhlasim.
Self-signed klíč je v pohodě. Pravděpodobnost man-in-the-middle útoku během jeho importu je prakticky nulová (no, podle toho, kde sedíte). Pokud jste opravdu paranoidní, tak bych jednoduše zavolal na hotline a ověřil si fingerprint. Kéž by všechny weby, které pracují s osobními údaji nabízely alespoň SSL se self-signed klíčem!
..akorát teda když už si ho centrum samo podepisuje, tak by mohli používat nějaký, který již nebude expirován.. :)
Existuji pouze dva druhy klicu - jeden generovany volne siritelnym programkem s expiraci 3 mesice (pouzivany nyni) a druhy ziskany od certifikacni autority za stoh papiru (s delsi expiraci atd).
Nechci se chlubit ale tot je pro me tri ctyri roky stara vec, mozna si jeste dnes vzpomene nekdo kdo mel mail Ares@post.cz, Hesrkules@post.cz, Xena@post.cz ale prestalo me to bavit. Nejlepsi bylo kdyz "byvali uzivatel" napsal:"Pomoc nefunguje mi heslo" no a supervizor odepsal na mou novou adres: "To je jasne kdyz mate heslo stejne jak overovaci heslo" To uz se ovsem byvali uzivatel nedocetl Jo kdo chce kam pomozme mu tam.Dadly
hmmm... to se opravdu není čím chlubit. každý, kdo o té bezpečnostní díře věděl, tak si ji buď nechal pro sebe a nehrabal se v cizí poště ani postiženým neměnil hesla nebo -- napsal o tom na post.cz (kde to hodili za hlavu). člověk, který se tím chce chlubit, asi není normální.
Nema cenu se hajit mate pravdu, byl jsem pubertak co sahnul potreti na internet a popravde mi to bylo jedno. A je mi to jedno i ted, ale jetstli ja jsem tak trochu blb tak tim urazite taky ty co maj na strosti ochranu, a hlavne ty co si zakladaji ucty na podobnych servrech. Takze na tom nejsem asi tak spatne. Dadly
nejsem priznivcem clankuu p. Hlavenky, ale s timto clankem souhlasim. nejde o to, ze by se p. Hlavenka v cteni cizich mejlu vyzival, ale ze na problem upozornil, coz nakonec povede k naprave systemu.proste nekteri lide kradou a nekteri hackujou. a je dobre na bezpecnostni problemy upozornit. podle mnjie je pochopitelna i akceptovatelna forma, kterou to autor clanku ucinil.e.
Post.cz by mel upozornit uzivatele ze doslo k naruseni bezpecnosti a nabidnout zmenu hesla. Jinak stara hesla budou fungovat dal, a uzivatele si novym opatrenim Post.cz nepomuzou.
Asi nejsem normální, ale nikdy mě nezajímal email, který není můj. Nikdy jsem neotevřel dopis určený manželce. To samé očekávám od ostatních. Ale musím se zastat p. Hlavenky asi vám uniká smysl článku. Co dělal post.cz celou dobu?, když stačil jeden článek a chyba byla odstráněná! Panu Hlavenkovi patří dík za jeho článek. P. Hlavenka nedejte se odradit urážkami a posměšky anonymních autorů.
Taketo a podobne chyby zaraduju server do nizsej triedy navzdory jeho "tradiciam" a poctom clenov. Asi pred rokom sa im dokonca miesali hlavicky emailov s cudzim telom. Odvtedy pouzivam post.sk a post.cz vyhradne na ucely tyku kos, hack, xxx, atd.
Všichni poslouchejte !!!Když přijdete k vile našeho pana prezidenta a nemáte klíče, bezpečák odblokujete tím, že posvítíte světlem o délce vlny 520 nm, které používá skoro každý do prvního okna zleva v prvním patře. A je to chyba firmy, pracující na zabezpečení objektu. Kdyby bylo potřeba posvítit třebi světly postupně (560, 590, 610 nm), bylo by to těžší. A proto tam všichni běžte! Vaše Živě.btw: ... co dodat... je to hnus.
No já nevím, spíš než návod na lamování je to návod pro uživatele, že si mají opravit kontrolní otázku.Tj. analogie bych viděl spíš takhle:Pokud máte doma starý zámek (na takový ty velký klíče), stačí vám na jeho otevření zahnutý hřebík. Prostě ho tam vrazíte a otočíte. Pořiďte si raději patentní.Konec analogie
Srovnáváte NEBE A DUDY, ale totálně. Uvádíte jakýsi krkolomný postup (světlo 520 nm - co to je, kolik lidí v ČR ví, že světla vůbec nějaká "nm" mají?), zapomínáte, že ještě musíte zlámat pár zámků atd. atd.To, co bylo (naštěstí už není) na Post.cz je, jako když si objednáte bezpečnostní službu, a ona udělá to, že otevře dveře vily dokořán, nakreslí na chodníky šipky "tudy k miliónovým pokladům" a na dveře dá cedulku "jsme týden na dovolené, psi jsou s námi a ochranka tu žádná není".
V tom s Vámi musím souhlasit také. Pokud však jsem všímavým sousedem, vezmu mobila, zavolám majiteli vily, aby sjednal nápravu a nezveřejním to ve všech novinách.
ale na post.cz o tom VĚDĚLI!!! jenom to házeli za hlavu, dokud na to někdo neupozornil takovýmto způsobem. mezi tím se vesele hackovaly schránky a úchyláci se bavili.
jsem rád, že tento článek konečně objevil ve čteném médiu a že s tím post.cz konečně něco udělal. (a ani to netrvalo tak dlouho, že? :o) kecy o tom, že se připravovala novější verze a že do té doby to nějak vydrží... (opravdu se jedná o problém starý už tři roky), nemají žádný smysl. myslím, že otázka bezpečnosti má vysokou prioritu a že s tím šlo něco udělat mnohem dřív. není možné se krýt tím, že uživatelé se hloupí... ok, jsou nezkušení a když jim někdo vnutí kontrolní otázku, tak tam holt něco napíšou. ale proč bylo vlastně vymyšleno heslo? aby chránilo!! a co je kontrolní otázka? minimálně nápověda k heslu nebo ještě spíš takový bypass.ještě jednou opakuji, že jsem rád, že se tento článek objevil, protože na stejný problém jsem upozorňoval jeden náš nejmenovaný on-line obchodní dům a tam mi řekli, že sice jo, není to moc bezpečné, ale na velkých serverech se to taky používá. a tady končila sradna, protože to nebyl žádný free-mail, ale uživatelské účty s úplnýma a správnýma adresama a bylo možné na ně objednávat. jasně, dalo se to stornovat, ale není to příjemné, že :o)a ještě k tomu hackování cizích schránek -- stejně jako jeden z přispěvatelů musím napsat, že jsem se tím taky jeden čas bavil, takové duševní cvičení, hádanky :o) v cizích e-mailech jsem se nehrabal -- do toho mi nic není, že :o) a vůbec mi nepřipadá nic špatného na tom, že byl v článku uveden návod. taky uvedu jeden -- zadejte platné uživatelské jméno a jako heslo zadejte přesně totéž. často se ani nedostane na kontrolní otázku a budete přímo vpuštěni na účet :o) takže post.cz si pomohl jen částečně. chtělo by to ještě kontrolovat příliš jednoduchá hesla.no nic, díky pane Hlavenka, že jste rozpoutal tuto diskusi, že se s tím konečně něco začíná dělat a jdu mejlnout všem, kteří se odkazovali na velké servery, které to tak taky dělají, že už to tak nedělají :o)
Je to chyba postu nebo těch uživatelů, kteří si zadávají jednoduchá hesla?
jasně, že obou, ale od post.cz bych očekával profesionalitu :o)
Je to chyba obou. Když se registrujete na post.cz, nemáte vůbec ánunk o tom, kde bude ta návodná otázka a odpověď použita - nikde není žádná nápověda a výsledek zjistíte, AŽ se registrujete, až vám vznikne účet, a to ještě musíte postup vyzkoušet - tedy lognout se a dát nesprávné heslo.Stačilo tam dát jenom důrazné upozornění, týkající se možných bezpečnostních rizik.
V tom máte pravdu
Suhlasim s ok. Naburavat e-maily je podobne zverstvo ako niekomu vyberat z obycajnej postovej schranky listy. Je to tiez velmi jednoduche - urcite poznate plechove postove schranky v panelakoch - staci asi len kus drotu.Ale co je to za cloveka co by nieco take robil??? Asi len podobny uchylak ako ten co cita cudzie e-maily.Mimochodom - dat si do kontrolnej otazky RC asi tiez nie je uplne OK. Pouziva sa v kope formularov, byva v roznych dbazach a formularoch (napr. poistovne, privatizacne fondy atd.) ku ktorym moze mat niekedy pristup naozaj hocikto.
To víte, že to je zvěrstvo, zcela souhlasím. Krást je taky zvěrstvo - proto taky existují bezpečnostní zámky a policie atd. Je dobře, že to na Postu rychle spravili.
Pane Havelka, mohl jste to říci raději tvůrcům post.cz. Bylo by to etičtější! Je to to samé jako kdybych řekl všem lidem v ČR jak vykrást váš byt, nebo jak bez problémů odemknou zámek vašeho auta. A nebo jako kdybych řekl všem lidem v ČR jak zjistit heslo na Váš bankovní účet. Je to horší jako uveřejnit - jak zjistit seriové čísla ke komerčním programům. (Ja vím v tom druhém případě poškodíte velké korporace). V tom Vašem případě jste poškodil jen malé uživatele. Jen kvůli tomu aby jste získal větší čtivost vašeho časopisu. Takže tohleto je zvěrsto! Nic jiného! Pro vás má větší cenu osoba Billa Gatese než nějaké JANY X z Horní dolní. Peníze = zákon. Že?
Máte pravdu a omlouvám se, že jsem předem na helpdesk@post.cz nezaslal upozornění.Nicméně si nemyslím, že by tvůrci postu o tomto problému nevěděli - jsou to šikovní programátoři i podnikatelé, z takovéto "hlouposti" bych je nepodezříval. To není nějaká skrytá bezpečnostní díra, ale věc, která přece musela jim být úplně jasná.
Už jsem si myslel, že se neomluvíte. Tedy to, že jste na chybu upozornil není špatné, špatné je, že jste nedodržel standardní postup: lidem na Globe jste měl poslat článek s tím, že "tohleto" vyjde na Živě další den o půlnoci, máte tedy (řekněme) 12 hodin na to abyste to odstranili.Jak by se líbilo Vám, kdyby toto provedl někdo u Vašich webů? Oznámil by všem bez toho, že by Vás upozornil dopředu, na nějakou bezpečnostní díru. A než byste to stihli opravit, řekněme 100 lidí by si vyzkoušelo jaké to je podívat se na zoubek některému Vašemu serveru?
Jistě bych neskákal radostí, kdyby někdo napsal: hele, na Vltavě mají tu a tu díru, nakupte tam za pět procent skutečné ceny.Ale, nezlobte se, mlátit do hlavy bych za to mohl jenom sám sebe, ne toho, kdo by to zveřejnil. Práce časopisu není vychovávat všechny kolem sebe a napravovat jejich bezpečnostní díry - navíc, jak jsem psal, tohle NEBYLA typická bezpečnostní díra (tj. programátorská chyba), ale koncepční idiocie, která musela být jejich tvůrcům jasná. Navíc, jak tady například píše Jaydee, už o tom jednou psal - a bylo ticho po pěšině.
Ale já s Vámi téměř ve všem souhlasím. To, že jste na chybu upozornil bylo správné, to, že se teprve poté chytli v Globe za hlavu a opravili to svědčí o tom, že to mělo ten kýžený účinek. Souhlasím i s tím, že opravdu se jednalo o (jak pěkně píšete) koncepční idiocii. Jenže to nic nemění na tom, že jste měl nejdřív udělat to co jsem napsal (tedy poslat jim článek, dát jim několik hodin na opravu a teprve poté ho zveřejnit). Vaše přirovnání s Vltavou a pěti procenty je poněkud z jiného soudku (mimochodem, když tam taková chyba bude a někdo za těch pět procent nakoupí, pošlete mu ty knihy, cd atd.?). Pokud by na Vltavě taková chyba byla, je to váš problém a jestliže by to někdo zveřejnil bez toho, že by Vás nebo programátory z CP na to nejprve upozornil, nebudu s tím mít jediný problém a to ze zcela prostého důvodu. Je to Vaše chyba, můžete si za ní vy a především není to problém kdy by se zasahovalo do osobních věcí jiných uživatelů. Jiná věc by samozřejmě byla, kdyby byla někde přístupná databáze nakupujících na Vltavě (díky nějaké bezpečnostní díře). Potom bych řekl: je špatné, že to někdo napsal aniž by Vás na to dopředu upozornil. Jsou tam data uživatelů, kteří o ničem nevěděli, za nic nemůžou a teď k nim má každý na českém Internetu přístup.Konečně omluvil jste se, všechno je v pořádku.
Jsi fakt tak dobrej az ti zavidime. Na to´s prisel vcera, vid´ Vim to 3 roky a nikdy bych to nezneuzil!Jsi fakt asi KOKOT, doufam ze ti zakazou na ZIVE psat...
Kráva se mně líbí víc než debil Takže podle vás je špatný ten, kdo na chybu upozornil, nebo ten, kdo ji vyrobil?
To se mi snad zda ! Zive upozornilo na nedostatek a jeste mu za to lidi nadavaji ? Vedel jsi to 3 roky a nikdy bys to nezneuzil ? To jsou pekny kecy. Prilezitost dela zlodeje. Kokot ses jedine ty.Jen at je vic takovych clanku ! Nebyt tohoto clanku, nedelo by se totiz vubec nic...a POST by pokracoval v pohode dal.Asi jste si vazeni kritici pana Hlavenky nevsimli, jaky poprask vyvola nejaky nedostatek treba u Hotmailu - a neni divu.
Ale no samozrejme! Nechapu, proc lidi kritizuji tenhle clanek, kdyz v podstate splnil SVUJ UCEL - chyba byla odstranena. Pan Hlavenka tezko muze jit a prikazat, aby to zmenili, tak jako na svych webech, tak o tom napsal a chyba je pryc. Neni prave toto naopak TA zurnalistiky, ktera tu na ceskem internetu chybi?
podle reakci hexena a kingicka usuzuji ze jsou to pekni amateri. Podle vseho mam pred nimi v tomto nekolik let naskok
Díky za další konkrétní připomínky. Člověk co se označuje za Klause dost často opruzuje i na Lupě podobnými off-topic výlevy - asi jde o jednu a tutéž osobu.Samozřejmě, pane Klausi, že máte před všemi námi obrovský náskok. Jakpak by ne.
Proc vy opruzujete na Zive ?))))))))
Teď ses ukázal, VK. Odeslat poštu, s falešnou adresou odesílatele dokáže každý, kdo zná aspoň zběžně protokol SMTP. Že je špatně (naivně) navržený a tudíž zneužitelný se ví už hrůzu let. Když si to dám do spojení s Tvými dřívějšími řečmi o amatérismu, vidím, že jsi stejný hochštapler, jako Tvůj velký nechtěný jmenovec.
muzes si to samozrejme myslet...ja te za to posilat do blazince nebudu..
TAKZE JEDEN ON-TOPIC....zive je zrejme podobna pakaz neschopnych programatorualespon NYNI (SNAD) dokazete pochopit proc se tu skryvam za klause...VK
Myslím, že už tím, že se vydáváte v mailu za jiného autora (za mou osobu), jste se dobře "zařadil". Je mě vás líto.
Klaus je tak ješitnej, že to bude asi Václav...
To jsem opravdu nechtel se vydavat za Vas. uf to mi muzete OPRAVDU verit. Za nejakeho homelasa z hlavniho nadrazi klidne ale za Vas ne Ale slo o ukazku kde vsude se daji najit ruzne DIRY. Zamette si pred vlastnim prahem. Asi se ted zamerim na hledani podobnych veci na Zive. Post to rad announcuje Tesim se . A co vy?BTW: je mi vas ale opravdu lito. Delat krale mezi amateri neni takovy problem. Clovek pak snadno nabyde presvedceni, ze je opravdu kral. Neni to ovsem pravda.
KDo najde chybu at ji pise na hlavenka@hlavninadrazi.cz
Václave , já alespoň nepíšu anonymně a nevydávám se za jiné osoby. To se tak stydíte za vaše vlastní jméno?Samozřejmě bychom mohli na Živě rozeznávat lidi před cookie (ty, kteří už někdy v diskusi publikovali) a předvyplnit jim jejich políčka - jenomže právě toto považujeme za narušování soukromí.Jinak budu rád, když i u nás bezpečnostní chyby naleznete. Rádi se zlepšíme.
Tak napr: hlavn stranka : Pocet volnych mist v IT-1 !!!zvlastni?
a ty si zase uplnej mamrd
a ty jsi...hlavenka
Největší KOKOT jseš myslim ty, když o tom 3 roky víš proč si nikoho neupozornil, proč si tím nic nedělal??? Nebýt Hlavenky tak to tak pujde ještě další tři roky nebo co? On má zásluhu na tom, že tahle díra byla konečně opravená, chápete???
Tak tohle sem nezral - tahle "chyba" snad musi bejt jasna kazdymu, kdo si na postu zaklada mejl a nechapu co tady proboha resite. Kdyz je nekdo tak blbej, ze si da k.otazku "Mam auto?" tak je holt blb a neni co resit. Podle me se nejedna o chybu Postu ale jen o celkove ne zrovna stastnou koncepci, protoze nekteri lidi proste nedomejslej.A timto clankem nam p.Hlavenka opet objevil novy svetadil - tusim, ze to byla Amerika...
Ale jistě že jsem neobjevil nový světadíl. O něčem ale svědčí to, že to na Postu tři roky takto beze změny běželo a v momentě, kdy se objevil tento článek, tak tato funkce byla zastavena. Takže to "neobjevení Ameriky" něco přineslo, nemyslíte?
Gratuluju panu Hlavenkovi za jeho slechetny cin zachrany statisicu uzivatelu post.cz a za to, ze objevil tento security-bug post.cz az nyni ;)) rada ostatnich (zase ne tak neznamych) serveru uz o tom psala dost davno, napr. u nas 5.cervna 1998 :)))
Jaydee, já vím, že jsi hvězda (bez ironie...). Ale až po tomto článku se konečně u Postu namáhali to konečně změnit - a o to konečně šlo, aby byl český Internet zase o kousek bezpečnější.
ano, zive je samozrejme mnohem vyznamnejsi a ctennejsi server, jen clanek tohoto typu mohlo uverejnit jiz pred 2+ lety.
Určitě, souhlasím. Jenomže před 2+ lety byl ještě Post.cz relativně málo významný, "amatérský" (omlouvám se Globe, pokud jsem je tím urazil) server, patřící mladé české firmě. Prostě takové to běžné české internetové "kvašení", kdy se věci zkouší, chyby se dělají a taky se promíjejí.Jenomže dnes, jak píšu, je Post.cz majetkem významného evropského telekomu, který jej spolu s providerem koupil za 8 miliard korun českých. A neschopnost projít si své vlastní weby a implementovat na nich ty nejzákladnější bezpečnostní funkce je u takto významné společnosti už těžko odpustitelná. Proto i tento článek.
A o cem svedci fakt, ze na problem upozornujete az po 3 letech?
Pojďte všichni, až pan Havelka bude v práci budeme všichni zkoušet jestli nám nepasuje klíček do dveří jeho domu, nebo třeba budem zkoušet jestli má dobře zabezpečený auto. Jestli mu hacknem zámek u auta určitě nám to udělá radost! A budem řádit jako on.Není to obdobné? Na soft a na hardware platí (dle jeho minulých článku) stejné zákony.
Osobně si myslím, že když půjdu po ulici a bude se mi zdát, že někdo nemá zamčený auto, udělám jen dobře, když zkusím, jestli je opravdu otevřený. Pak bych to měl samozřejmě ohlásit.
Teď jsem zkoušel "hacknout" svoji schránku a při zadáni nesprávného hesla mi nenabídl kontrolní otázku. No a behem asi 3 let nebo více, co mám schránku na POSTu, se mi do ní naštěstí nikdo nenaboural, taky možná částečně proto, že moje RČ není všeobecně známo. :o))
Jenom dodam, ze namisto hloupeho hadani login name, je daleko lepsi se precist par inzeratu na seznamce, vybrat si ty, ktera maji ucty na post.cz a vesele "hakovat". Dotaz na autora clanku: Upozornil jste provozovatele Post.cz na tento nedostatek pred vydanim clanku ?!?
Takito clanok by som vedel pochopit v neakom bulvarnom platku typu Bosorka, alebo Zralok.Na Zive je to skor k smiechu.
Chtel bych touto cestou podekovat p.Hlavenkovi, neb mam ve sve Kontrolni otazce RC a prepokladam, ze to asi bude malokdo vedet, pokud nezna moje prihlasovaci nickname .. coz si nemyslim. Na adresu ostatnich jen muzu dodat...ze kdo si zada kontrolni otazku s odpovedi ano-ne..tak je potom totalni trotl, ktery by mel nadale pouzivat sluzeb Ceske posty nez emailu a nebo se nesmi divit. Tezko rici, ale jak byste tedy, p. Hlavenko, resil problem uzivatele se zapomenutim hesla do posty ... cca ve 22.30 hod (kdy temer zadny help-on-phone nefunguje) a uzivateli ceka neodkladny mejl v poste. Ja bych rekl, ze je to celkem solidni moznost opravy, zalezi jen na inteligenci uzivatele.
A myslite si, ze je moudre nechat po inetu kolovat svoje RC? V zivote bych takovy udaj nikomu nedal jen tak! Co kdyz nekdo hackne Post a prohlidne si databazi uzivatelu? WOW, nechci ani domyslet.
Na Postu už tenhle článek četli, protože po zadání chybného hesla se objeví následujíci:Chyba prihlaseni - nespravne jmeno a/nebo heslo..Kontaktujte prosím helpdesk@post.cz Horká linka POST.CZ : 02/35 36 50 00 linka: 333 ( od 8:00 - 16.30 ) Přihlaste se znovu na POST.CZ
Chtel bych touto cestou podekovat p.Hlavenkovi, neb mam ve sve Kontrolni otazce RC a prepokladam, ze to asi bude malokdo vedet, pokud nezna moje prihlasovaci jmeno..coz si nemyslim. Na adresu ostatnich jen muzu dodat...ze kdo si zada kontrolni otazku s odpovedi ano-ne..tak je potom totalni trotl, ktery by mel nadale pouzivat sluzeb Ceske posty nez emailu a nebo se nesmi divit. Tezko rici, ale jak byste tedy, p. Hlavenko, resil problem uzivatele se zapomenutim hesla do posty ... cca ve 22.30 hod (kdy temer zadny help-on-phone nefunguje) a uzivateli ceka neodkladny mejl v poste. Ja bych rekl, ze je to celkem solidni moznost opravy, zalezi jen na inteligenci uzivatele.
Jak jste si možná při čtení článku všiml, nekritizuji kontrolní otázku jako takovou, ale kritizuji způsob jejího "nasazení". Tj. možnost zadávat x-krát heslo bez odblokování, povinnost zadat tuto otázku, neupozornění na možná nebezpečí atd.Vžijte se do kůže statisíců normálních uživatelů internetu - úplných laiků; neměřte podle sebe, profíka.
Omlouvám se za ostřejší výraz, ale jinak se to nedá pojmenovat.To už vážně nemáto o čem psát ???P.S. Moje adresa je skutečná a kdo se do ní nabourá způsobem popsaným v tomto článku má u mě flašku.
Ponechám na ostatních, jestli jsem debil nebo ne. Zkuste se ale zamyslet nad účelem tohoto článku: upozornit na bezpečnostní díru velkou jako vrata, upozornit jak uživatele (aby si dali komplikovanější otázku a odpověď) a koneckonců i správce systému, že tam tu díru mají. A ti to okamžitě a ke spokojenosti změnili - což je dobrá a správná reakce.
Pane Hlavenko, problem je podle me naprosto jinde. Kdyz jste prednedavnem psal clanky ohledne hackovani serveru, postavil jste se proti hackerum a jejich nazoru, ze takto upozornuji na potencialni diry v systemu. Nyni jste udelal v podstate totoznou vec a najednou je situace jina? To jste nemohl upozornit spravce soukrome? Uvedomujete si vubec, ze jste timto zpusobem dal do ruky nastroj tisicum, mozna desitkam tisic (nevim kolik lidi tento vas platek cte) dosud nevedomych lidi nastroj jak otravovat zivot nevinnym uzivatelum?Znalejsi o vami popisovane moznosti "nabourani se" vedeli davno a tusim, ze vetsina techto znalejsich lidi je natolik soudna, aby nedelali opravdu hnusne veci. Ty nastanou az ted... Za tento clanek bych vas byt vasim sefem _okamzite_ na minutu vyrazil. S vetsinou vasich clanku nesouhlasim, ale timhle jste se mi opravdu zhnusil... hlavne, ze jste ziskal solokapra a ten zbytek uz vas prece nemusi zajimat. Gratuluji k "bleskove" zprave.
vazne si nekdo mysli, ze Post.cz za dobu sve existence nedostal zadne upozorneni ohledne takove zvrhlosti jako povinna kontrolni otazka??? minimalne jedno dostal - ode mne (to jsem jeste mel e-mail na postu :o) - a vite jaka byla reakce? to je prece veci uzivatelu, jakou si tu otazku daji. takze tento clanek byl nutny aby se to zmenilo a spravci Post.cz meli dost casu na to, aby s tim neco udelali. branit se tim, ze vetsinu uzivatelu to nenapadne a ted jsme jim to prozradili... to je blbost. a konec koncu - uz to opravili a slo to :o) nekdy je holt potreba pouzit hrubou silu :o)
Clanek ma sice velmi "uderny" nadpis, ale jeho odborna a informacni hodnota je opravdu velmi velmi nizka. Byla vubec ztrata casu na nej klikat. Dany "princip nabouravani" je notoricky znamy a je spis veci BLBOSTI nekterych uzivatelu, ze si zadavaji tak "hloupa" hesla, otazky a odpovedi.zadavat az do "aleluja".
Jak vidět, ztratil jste cenné dvě sekundy tím, že jste na něj klikl, ale nevadilo vám ztrácet minutu psaním příspěvku. Jenom poznamenávám, že právě na základě tohoto článku - a nikoli na předchozích tříletích zkušenostech s provozem - Post.cz tuto díru zalepil.
Z rychlosti Vaseho serveru jsou to skutecne malokdy 2 vteriny. Spis nic. Vyzivam spravce vetsich proxy serveru, at panu rediteli poslou logy pristupu k zive, schvalne, kolikrat se vraci 500stovka ))
Ak sa akokolvek zamyslam nad ucelom tohto clanku, tak podla mna by to cele malo vyzerat trochu inak:1. p. Hlavenka napise administratorovi post.cz, pocka na odpoved (rozumnu dobu), ak odpoved neprichadza moze napisat clanok ako je tento na pritlacenie admin-a k stene.2. Informuje verejnost o probleme a "poradi postihnutym".To co sa objavilo v tomto clanku je troska brutalnejsia forma "ochrany uzivatelov"P.S. v poslednej dobe uz vacsinou citam len komentare k clankom, a asi nie som sam, mohli by ste sa zamysliet aj nad tymto???
Máte pravdu, že měl nejdříve následovat mail na helpdesk (mimochodem, tyto helpdesky většinou moc nefungují...u Atlasu můžete posílat na jejich helpdesky desítky mailů a nikdy se nedočkáte odpovědi. Jak je tomu u postu, nevím). Nicméně co se týká toho "poradění postihnutým": myslím, že právě toto se stalo. Jednak jasně píšu, jak si mají lidé udělat návodnou otázku, a jednak samozřejmě také rychle zareagoval Post - dnes už do účtů tak snadno nikdo nepronikne.
Není pravda, že byste se u Atlasu nedočkali odpovědi z helpdesku. Možná mám velké štěstí, ale jednou jsem dostal odpověď druhý den a podruhé ještě ten den... Nekecám. A byla vstřícná.
pravda pravdoucí, helpdesk na atlasu fakt funguje a když sem jim před časem poslal nic neříkající pochvalný mail, na který bych opravdu nečekal odpověď, dostal jsem ji ve smylu, že jsou rádi a bla bla... takže helpdesk na Atlasu opravdu plní svou funkci na 150%
ano
Dovoluju si souhlasit s panem Hlavenkou. A dovoluju si vyjadrit poteseni nad tim, ze na rozdil od nasich bank, ktere byly konfrontovany Novou s dirou v jejich bankomatech, a ktere delaly jakoby nic, Post zareagoval a diru odstranil.
Tak a máte po ptákách, na POSTu už to změnili. Teď při špatně zadaném hesle nebo username musíte telefonicky kontaktovat helpdesk
naprosta traparna ... zive perli ...
Neobhajuji POST.CZ, ale vas prispevek ma stejnou logiku, jako kdyz chodite po parkovisti a zkousite, zda nejaky majitel nenechal otevrene dvere nebo zda tam nepasuje vas klicek. Muzete zkusit i domovni schranky u vchodovych dveri do domu ...
No ale pan Hlavenka ma radost. Upozorni na nedostatky konkurence, lide ctou jeho clanek, imprese rostou, docela jsem se divil ze v tomhle clanku neni banner...
To už je úplně "zvrácená mysl". Jednak post.cz není žádná konkurence - freemail neděláme, a jednak: co má tedy podle vás Živě dělat? Psát co nejnudnější a nejnezajímavější články, pak budete uspokojený?
Ten banner tam pochopitelne je.
Ale na Nove jsi se koukal, jak se vybrakuje penezni automat. Tak tohle necti.
Přísloví říká "příležitost dělá zloděje". Je to, jako kdyby váš výrobce aut udělal auto, které sice má bezpečnostní zámek, ale je možné je otevřít kopnutím do blatníku.
Tak tohle je pjekne stary!!!Taky by me zajimalo k cemu Vam to bude srat se do cizich e-mailu. Jak by se to libilo Vam??? Nereknu, kdyz si chcete hlidat pritelkyni, ktera si tajne domlouva rande pres internet :)) ale cizi maily e e e
Ha, ha, ha ... Parohatej žárlivče, stejně ta tvoje píchá s jiným.... )))))))))))
Tak to je moc pěkná odpověď!
Jenze clovek ma mit rozum. Heslo je od toho, aby chranilo. Navodna otazka a odpoved taky. Kdyz si sekretarka napise heslo na monitor, tak je blba.
P.S.: ja taky , protoze jsem si odskocil na nastaveni sve schranky a zjistil, ze mam tak hloupou odpoved, ze ani nevim, zda mam tento prispevek poslat.
Jo, tuhle u nas v baraku spravovali jedny firme alarm. Stali jsme na chodbe (jsme cizi), u alarmu servisman, vedle nej pracovnice firmy. Servisman: A ted zadejte to nove hesloPracovnice: Myslite to 23568?Servisman: Ano.Ona je krava, on je ale blbej taky.
Stejně už to nefunguje. Můžete zase zkusit šťourat do soukromí někoho jiného zase jinde. Je sice hezké, že Živě na toto upozorňuje, ale dávát na to i návod mi nepřipadá zrovna fér. Nechápu radost toho, kdo se raduje ve šťourání v soukromí druhé osoby. Podle mě je to úchylka. Jak by se asi dotyčný divil kdyby si někdo naopak pohrál s jeho poštou ? A posílat ještě z cizí adrsy dopisy ? To je s prominutím svinstvo.
Už jsem psal, nejde o šťourání ze zlomyslnosti, ale třeba o diskreditování důležitých osob. Samozřejmě je to svinstvo - takže podle váš je zlý ten, kdo na to upozornil, nebo ten, kdo to nechal na svém serveru po několik let provozovat? A musel přijít až článek na Živě, aby to po těch třech letech stopli?
Vite, jaky je rozdil mezi Vami a panem Neffem? Tomu, kdyz jsem napsal po te slavne linuxove afere, ze je vul, odepsal, ze mam pravdu. Kdyz to budu chtit rici Vam, vyvratite to nejakou stupidni odpovedi. I kluci s Underground.cz pokud najdou takovouhle chybku, upozorni na to spravce aplikace, pockaji, pokud chybu opravi, tak pak o tom napisi clanek. Pokud je to ignorant a chybu neopravi, tak ten clanek napisi, ale neverim, ze kolega Panoch by tak neucinil... To, co jste udelal, povazuji za stejne neeticke jako novinarske hieny, co nataceji cloveka, co se prave upalil na namesti. Nejde o to, ze zesmesnite spravce daneho systemu, ale ohrozil jste majitele tech uctu. JSTE peknej VUL, mily pane rediteli Hlavenko!
Nejdříve ta stupidní odpověď: hyena se píše s tvrdým y.A teď pokus o normální. Když si vše přečtete pořádně, zjistíte, že to na Postu nebyla chyba, o které by její správcové a tvůrci nevěděli. Byla to "feature", záměrně zaprogramovaná vlastnost systému, byť nedomyšlená. Něco jako auto s airbagem v kufru. Skutečně si myslíte, že v tomto případě je etické říkat tvůrcům systému - pánové, airbag patří na přední desku, ne do kufru, spravte si to, než to o vás napíšu!?
Radost lidí, kteří oběvili, že lízátko je sladké, je legrační. Mám hodně dlouho účet na mailcity.com (tak alespoň čtyři roky) a jako návodnou otázku, (které byly všechny dost osobní) by popravdě odpověděl jenom Lojza z Horní Dolní. Jsem zvědav jak tento národ bude zacházet se svými privátními klíči. A mimochodem pro Zdenka: k 99% poštovních účtů se přihlašuješ v čistým textu. To znamená, že všichni na segmentu, pokud najdou ten správný IP datagram, mají Tvé uživatlské jméno a heslo a přitom se nemusí obtěžovat cokoli hádat.
To je fakt, sám jsem to zkoušel a jde to. Donutilo mě to prostudovat celej TCP/IP protokol. Docela je zajímavé se dostat přes arp-éčko a částečně TELNET, FTP i do cizího komplu . Stačí senhnat IP z toho získat Ethernet number,..... Je to dětsky snadné, ale musí se to našrotit z té normy. Fakt.To co tu popisuje pán Hlavenka jsem dělal taky. Dělalo mi to jednu dobu docela i radost, ale pak ve mně něco ruplo (myslím, že to bylo v hlavě) a já si uvědomil, že čtu cizí majly a že nejsou určeny pro mne. Tý, brďo, jak já jsem se před sebou samotným styděl, bylo mi z toho i smutno, rudnu ještě teď když si na to vzpomenu co jsem provedl. Všem co jsem to provedl se dodatečně omlouvám. Jinak nevím jak to napravit.
nemusi se nic srotit znormy, ani studovat cokoliv... staci pouzit nejakej aspon trochu user-friendly sniffer a v nem se akorat proklikat k loginum a heslum -- takze to (bohuzel) zvladne kazda 2. lama
Hello!Zive a autor clanku u mne opet o malicko klesl v cene..Dekuji za upozorneni - podle tohoto clanku se uz moc nepobavite Uznavam, ze jsem podobnym problemum v posledni dobe nevenoval prilisnou pozornost, ale je to proto, ze je ve vyvoji nova verze systemu POST.CZ a soucasna proto bezi, dela se nutna udrzba, ale ne zasadnejsi zmeny v kodu..V blizke budoucnosti se muzete tesit na novy system, ktery chybu zminovanou v tomto clanku (a mnoho jinych) odstrani a prinese mnoha zlepseni.HowghP.S. Bavte se dobre ;_)
Lidi, kteří musí vzít dlažebku a hodit ji do McDonalda, a lidí, kteří v životě nepoznají větší zábavu než se bourat do cizích mejlových schránek, mě příliš nezajímají. Bohužel to ale ukazuje, že si stále nejsme vědomi důležitosti ochrany soukromých dat. V tom jsme, škoda tomu, naprosto srovnatelní s ostatním světem. Howgh
Ono tady nejde o nějakou "zábavu". Na freemailech má své účty i spousta důležitých lidí pro své soukromé účely - kdo z nás je tam ostatně nemá, že? Vloupání do těchto účtů může být dost účinná zbraň konkurenčního boje, nebo třeba politického boje (má tam jistě mail řada politiků, poslanců atd.), prostě možnost k diskreditaci. Nejde jenom o nějaké dětské voyeurství.
plne s vami souhlasim s tim, ze se musi udelat maximum pro ochranu osobnich udaju. ale to maximum musi delat kazdy, jak programator aplikace, tak i uzivatel. pokud si firma, poslanec, prezident a ja nevim kdo jeste zridi schranku na freemailu, musi pocitat s tim, ze jeho data nebudou v takovem bezpeci, jako u nej na vlastnim serveru. a pokud si pres tuto schranku zacne vyrizovat dulezite nebo dokonce tajne veci, je to naivka. tim samozrejme nechci svalovat vinu od programatora k uzivatelovi, ale chci rict, ze oba dva maji na zabezpeceni svuj dil a system je tak bezpecny, jako jeho nejslabsi clanek.
hlavenka@post.czale to zase neni dulezity clovek..jen doufam, ze tam maji ucty ty animals z Inpegu? ted maji ale nove nana_blba@inpeg.cz, tupec_piorecky@kriminal.cz
No a vam neni divne, poridit si na freemailu schranku pro vyrizovani dulezitych veci? Ja vzdy videl ucty na POSTu a podobnych jen jako hracky, ktere pouzivam jen tehdy, kdyz ocekavam v reakci na vyplneni nejakeho dotazniky SPAM a pro dulezite veci pouzivam ucty s ponekud vyssi ochranou.
No, pokud budu vyrobce aut a budu vsem vypravovat, ze tenhle model, ktery se vyrabi nekolik let, je sice fakt zivotu nebezpecnej, ale je ve vyvoji novy, a to bude delo, nevim, jestli to bude akceptovatelne. V pocitacove technice se bohuzel ustalil nazor, ze ne vse vzdy musi fungovat a když to prostě nefunguje, tak je to normální. Kdy už výrobci softwaru pochopí, že uživatel se nechce potykat s problemy, ktere ma odstranit programator.
Pane Panochu,neočekával jsem, že když zkritizuji vaše dílo, že u vás třeba "stoupnu v ceně". Ani si nemyslete, že mě to "baví" - upozornil jsem pouze na špatnou koncepci, která se dotýká několika SET TISÍC lidí používajících český Internet, téměř bez jejich vědomí či uvědomění. Kdyby šlo o nějaký amatérský servřík, tak neřeknu - a vymlouvat se na "chystanou novou verzi", to je výmluva, která patří téměř ke standardní výbavě každého tvůrce webu při vytknutí chyby. Všichni pořád "chystají nové verze", a všichni uvedou "v blízké budoucnosti" novou verzi Přitom aspoň tu chybu zmírnit je zásah na pět minut: UPOZORNIT výrazně uživatele při registraci, k čemu kontrolní otázka slouží, kdy se zobrazuje a vyzvat je, ať si zvolí takovou, která je téměř neodchytitelná (např. svou ulici s číslem domu, rodné číslo, rodné příjmení matky atd.).
Pokud uvádíte, že by pro zabezpečení byla vhodná otázka směřující na odpověď typu rodné číslo, rodné příjmení matky, ulice s číslem domu a podobné typy otázek, tak se dopouštíte stejné naivnosti jako ve vašem článku zmiňovaní naivní uživatelé postu. Je jasné že pokud chci získat citlivé informace na nějakého člověka, snažím se dostat do jeho blízkosti a pokouším se o něm něco dozvědět. Pak vámi zmiňované informace typu rodné číslo apod. jsou pro mne jednoduše zjistitelné, stačí zavést kamarádskou řeč... Nepracují snad zpravodajské služby podobným způsobem? Navíc chci naznačit, že nejnebezpečnější jsou vždy pro mne osoby, které mne znají a ty podobné informace (rodné číslo...) znají.
Tuhle zábavu jsem delal v práci více jak pred rokem.S kolegy jsme delali závody, kdo nabourá víc účtů. Jeste větší sranda odepisovat z techto mailů.
Je 27.9.2000 po půlnoci a fakt to funguje. Nejsem Jana2, jak je v e-mailu, ale jsem tam přihlášen. Takže zkuste JANA2, heslo něco, třeba kashfůa a vypište si Kontrolní otázku. Pokud sledujete erotické reklamy, tak Vás to trkne na první pohled (ty volej 0609 xxxxxx a pod. na Nově).No pokud budete reagovat, hned si to můžete ověřit v Janině e-mailu.PS: Janě se omlouvám, byla háknuta na druhý pokus. Není to osobní.
Ja osobne na Centru nevedu svuj emailovy ucet (tedy mozna ho mam registrovany, ale urcite ho nevyuzivam , avsak rada mych znamych ano a pokud jde o tu bezpecnost - myslim, ze v NetCentru by se nekdo mel nad timto zamyslet. Priklad - pracujete v emailu, ale nejste doma, ale napriklad v internetove kavarne. Odejdete a nekdo jiny si sedne k vasemu pocitaci. Nebude vsak pro nej problem dostat se do vaseho emailoveho uctu a pekne se vam tam postarat, nebot staci do prikazoveho radku napsat: mail.centrum.cz/ a uz se vam vypisuji relevantni adresy a ja nevim, jaky je timeout na Centru, ale vim stoprocentne, ze po pulhodine po skonceni prace se jeste da na ten ucet dostat, resp. mam to vyzkousene na vlastni kuzi, protoze me osobne se to podarilo (ne v kavarne, ale to je detail :o))) Jo a jeste neco - i u Centra je mozne Xkrat dokolecka zadavat heslo. Ja to zkousel 10x-20x po sobe a pochopitelne me server neodpojil ani nic, proste jen vesele reloadoval stranky, generoval imprese na bannerech a umoznil mi stale a stale zkouset nova hesla...
Je videt Vreco, ze opravdu ucet na Centru nepouzivas - jinak by jsi vedel, ze je na kazde strance odkaz "Odhlasit", kterym se okamzite odhlasis a historie je nanic.
Jinak k tomu odpichovani - to je pitomina: Bud odpichnes IP ze ktereho pripojis spojeni - takze muze jeden clovek zabranit prihlaseni vsem lidem z celeho Cesnetu, nebo se budes ridit podle Forwarded-for - pak ma utocnik 3*2^32 pokusu, nebot tam si muze kazdy napsat co chce.
Jo, to nevim, ale ja mluvim ze zkusenosti uzivatelu, kteri ten ucet normalne pouzivaji! Rekni mi, kolik lidi pouziva funkci odhlasit? BTW: kdyz se do toho uctu pres pitomou URL dostanu dyl jak pul hodiny po skonceni prace v nem mi prece jenom pripada docela hodne! Jinak nemluvim ze zkusenosti, kdy se dostal nekdo na muj ucet, ale kdy ja jsem se dostal na neci ucet timhle zpusobem...Pokud jde o to odpichovani - da se to preci vyhodit na chvili, proste na hodku se tam clovek nedostane, utocnika to odradi, na zkouseni zapomene, a podobne... Nebo pak existuji jeste i cookies... V tomto "odpichovani" souhlasim s Jirkou Hlavenkou
Nejlepsi je tohle resit pomoci cookies, po tretim prihlaseni nastavit cookies MATE SMULU
a cookie odstranit?
Jo odstrani, pri spatnem pokusu se nastavi cookie platna po dobu spusteni prohlizece, a pri dalsim spatnem pokusu se zvysuje, pri tretim pokusu ma uzivatel smulu a musi restartovat browser.
A co kdyz je ma vypnute? A co kdyz nepouziva vubec browser? Proste rozumne odblokovani uzivatele neni mozne, je mozne pouze castecne omezit lamery.
Jinak k tomu odpichovani - to je taky blbost: Bud odpichnes IP ze ktereho jde TCP spojeni - takze muze jeden clovek zabranit prihlaseni vsem lidem z celeho Cesnetu (diky transparentni proxy), nebo se budes ridit podle Forwarded-for - pak ma utocnik 3*2^32 pokusu, nebot tam si muze kazdy napsat co chce. Prvni moznost by byla katastrofa, druha ma skoro nulovy efekt a rozhodne nestoji za to programovani.
Ale panove, panove, ja Vam klidne svuj mail na centru dam - dost pochybuji, ze se tam dostanete - a kdyz ano, klidne si to uzijte - nic duleziteho tam stejne nemam (a to mam samozrejme freemailovych schranek vice). ALE O CO V TEHLE DISKUZI JDE - O BEZPECNOST NA FREEMAILOVYCH SERVERECH - PRO JIRKU HLAVENKU - VAZNE JSTE U ME TROSKU KLESL NEUPLNYM CLANKEM!! VID STEJNE JAKO POST JE NA TOM I CENTRUM - TAKE NABIDNE KONTROLNI OTAZKU HNED, ALE O NIC LEPE NA TOM NENI ANI HOTMAIL (JAK JE NEKDE ZMINENO, POKUD DANEHO CLOVEKA ASPON TROSKU ZNAM, TAK V HOTMAILU PRI ZADANI SPATNEHO HESLA NEJDRIVE VYPLNIM NEJAKE DEMOGRAFICKE UDAJE (COZ JE PRO PRIPAD CESKE REPUBLIKY CELKEM SNADNE - MAJI TO TAM ROZDELENE NA KRAJE = URCITY KRAJ PRI NEJHORSIM UHODNETE - A UZ JSME U KONTROLNI OTAZKY - p.s. PRI ZAKLADANI UCTU V HOTMAILU VAS TAKE NIKDO NEUPOZORNI NA TO, K CEMU TA OTAZKA SLOUZI) - A NENI NA TOM STEJNE JENOM HOTMAIL, ALE I DALSI ZAHRANICNI SLUZBY... MYSLIM SI, ZE DOKONALA OCHRANA SAMOZREJME NEEXISTUJE, ALE VIM O PAR "FINTACH", KTERE MOHOU UTOCNIKA ASPON TROSINKU ODRADIT (ALE jen takoveho JAKO JSTE VY - mimochodem, "jen trosku lepsi "hacker" se k emailum dostane o hodne snaz - a to nemluvim jen o postu") POKUD BUDE MIT NEKDO (napr. panove z postu) o nejakou tu "finticku" zajem, at daji vedet (JEN tak trochu pro zamysleni - nahodneho "hackera" (typ Jiri Hlavenka a post) lze odradit i jinak, nez jen represivnimi opatrenimi (odriznutim IP apod.)...
Pan Hlavenka napsal dle mého velmi zajímavý postřeh z oblasti využívání přístupových hesel na webu. Server post.cz zdůraznil proto, jelikož jsou zde kontrolní otázky vyžadovány a bez jejich vyplnění Vás to dál nepustí.Nemám rád lidi ze společnosti Merlin s.r.o. a Vás obzvlášť ne. Jenom se vytahujete, že jste nejlepší společnost a ve skutečnosti děláte software, ve kterém je obrovské množství chyb. Uvědomte si, že Vaše společnost v blízké budoucnosti stejně zkrachuje a žádné umělé navyšování základního jmění Vám v tom nepomůže!!!
Potvrďte prosím přezdívku, kterou jsme náhodně vygenerovali, nebo si zvolte jinou. Zajistí, že váš profil bude unikátní.
Tato přezdívka je už obsazená, zvolte prosím jinou.