16 komentářů k článku Jsou čeští internetoví odborníci odolní vůči socialnímu inženýrství?:

  1. petr.steinbauer

    RE: Jsou čeští internetoví odborníci odolní vůči socialnímu inženýrství?
    Takovéto návyky Vás přece učí i služby velkého Google (Blogger takte žádá o přístup), nebo i třeba známy Facebook.com, Geni.com, Linkedin.com a desítky dalších služeb…
    To se pak není třeba divit, to je jen popisování faktu ;o)

    (řekl ten, kdo si před zjištění TwitterRaku změnil heslo na "123456" a po změně vrátil na své defaultní)

  2. Martin Soukup

    další služby, které bez toho nemohou fungovat
    Existují desítky velmi známých služeb, které ke své funkci potřebují uživatelovo jméno a heslo.

    Např. http://www.meebo.com/ si vezme vaše heslo do icq, nebo Fring vaše heslo do Skype. A Fring používá na svém iPhone i známý "odborník" Zandl! Kolik peněz má nabitých na svém Skype účtu?

    Já věřím, že to ty služby nezneužijí, ale jsou zabezpečeny dostatečně na to, aby jim tu databázi nikdo neukradl?

    1. tangero

      Re: další služby, které bez toho nemohou fungovat
      Tak jsem se podíval, kolik mám na Skype a přesně, jak jsem očekával, nula. Snad vás to uspokojí.

      A ano, hesla svěřuji řadě programů. Namátkou emailový klient, SIP klient, IM klient.

      Akorát nevím, proč vám ležím tak v žaludku, že si mne musíte brát do úst jak na Lupě, tak na Rootovi, přitom se ani neznáme :)

      1. Martin Soukup

        Re: další služby, které bez toho nemohou fungovat
        A není náhodou rozdíl, jestli svěřím heslo lokální aplikaci, anebo online službě?

        Kdybyste se pídil, jak Fring funguje, tak byste zjistil, že heslo musí být i na jejich vzdáleném serveru, kde je brána mezi Skype sítí a Fring protokolem.

        Je údělem celebrit, že si je do úst berou i lidé, které možná ani neznají :-)

        1. Anonym

          Re: další služby, které bez toho nemohou fungovat
          Není v tom rozdíl, protože aplikace může heslo odevzdat nějak do internetu stejně, jako online služba …

          Co se Fringu týká, jistě vím, že Skype heslo ukládá, jinak ani nemůže. A protože znám i osobně lidi z Fringu, nemyslím si, že jsou to takový poděsové, aby to někdy použili.

  3. Pavel Cvrček

    RE: Jsou čeští internetoví odborníci odolní vůči socialnímu inženýrství?
    Martine, jak rozpoznáváš lidi, kteří si před vyzkoušením uvedené služby změnili heslo, aby si ho poté vrátili zpět, a kteří ne? Je mi jasné, že to řada lidí neudělala, ale tvůj příspěvek zavání, jako by každý, kdo uvedenou službu vyzkoušet, se stal obětí sociálního inženýrství.

    1. Martin HassmanAutor příspěvku

      RE: Jsou čeští internetoví odborníci odolní vůči socialnímu inženýrství?
      Protože se jím minimálně z pohledu únosu identity (ke kterému mohlo dojít bez ohledu na změnu hesla) skutečně stal.

  4. Jan.Janousek

    RE: Jsou čeští internetoví odborníci odolní vůči socialnímu inženýrství?
    A co takový Facebook, nebo LinkedIn? O tom nikdo nemluví? Není tam sice zadání těchto údajů nutné, ale pokud chcete udělat import kontaktů, s kterým vás to otravuje pořád, tak musíte zadat přihlašovací jméno a heslo k emailovému účtu.
    Je toto bezpečné? Nebo je snad Linkedin, či Facebook považován za bezpečný? Ani si nemyslím…

    1. Martin HassmanAutor příspěvku

      RE: Jsou čeští internetoví odborníci odolní vůči socialnímu inženýrství?
      Není to bezpečné. Jedná se o problém, který je zmiňován v posledním odstavci zprávy.

  5. David Grudl

    Jak to řešit bez odeslání hesla?
    Podělím se o způsob, jak lze komunikaci se službou přes prostředníka řešit i bez odeslání hesla na prostředníkův server. Lze to bohužel použít jen v některých případech.

    K prostředníkovi se odešlou všechna potřebná data vyjma hesla. To neopustí klientův počítač, ale bude zapsáno ve fragmentu URI (tedy za znakem #). Server udělá potřebné operace a pro závěrečnou komunikaci se serverem služby vygeneruje JavaScript. Ten postaví přes DOM formulář, heslo si vezme z window.location.hash a odešle jej. Poté zpracuje výsledek a předá uživateli (nebo znovu prostředníkovu serveru pro finální zpracování). Podstatné je, jak jsem psal, že heslo neopustí klientův počítač.

    1. Martin Malý

      Re: Jak to řešit bez odeslání hesla?
      To mi připomíná tu scénku z Červeného Trpaslíka, kdy Lister vymýšlí komplikovaný způsob úniku z vězení („roztrháme prostěradlo, to svážeme, vyhodíme z okna, omráčíme stráže…“) a nakonec zjistí, že existuje jiná možnost, a dodává: „… anebo v nejhorším použijeme teleport!“

      Takže tohle je přesně stejná situace: Anebo v nejhorším použijeme OAuth!

      OAuth totiž slouží přesně k tomuhle účelu – abys nemusel na stránky prostředníka vkládat heslo. Funguje to tak, že tě prostředník nasměruje na danou službu, tam se přihlásíš (heslo tedy zase putuje mezi klientem a cílovou službou) a služba tě na základě tvého přihlášení pošle zpět k prostředníkovi s nějakým dočasným ticketem, který prostředníkovi umožní vyžádat si od služby nějaká data.

      Ale budování DOM stromu Javascriptem a onanování s fragmentem adresy zapadá mnohem líp do současného AJAXího trendu, takže se jistě ujme! :)

      1. David Grudl

        Re: Jak to řešit bez odeslání hesla?Re: Jak to řešit bez odeslání hesla?
        Jak samozřejmě každý divák nejen Trpaslíka pochopil, postup se týkal služeb, které OAuth nepodporují.

        1. Martin Malý

          Re: Jak to řešit bez odeslání hesla?Re: Jak to řešit bez odeslání hesla?
          … a to je právě ten rozdíl mezi postupem "jak by to šlo" a postupem "jak by se to mělo dělat".

    2. Gerlige

      Re: Jak to řešit bez odeslání hesla?
      dobre, mozna se ptam uplne spatne, ale to pak prece nejde si uzivcatele zapamatovat

      1. harvie

        Re: Jak to řešit bez odeslání hesla?

        no můžeš si pamatovat username a s trochou štěstí ti tvůj javascript nahlásí neověřitelnou informaci zda se podařilo uživateli přihlásit s jeho heslem. každopádně ale nelze zaručit, že jiný uživatel se k datům tohoto uživatele nedostane, pokud nepřidáš další způsob ověřování…

    3. harvie

      Re: Jak to řešit bez odeslání hesla?

      „K prostředníkovi se odešlou všechna potřebná data vyjma hesla. To neopustí klientův počítač, ale bude zapsáno ve fragmentu URI (tedy za znakem #).“
      A co podvodné službě které budu důvěřovat zabrání si jednou denně na 10 minut přidat do svojí stránky javascript, který si tu adresu (včetně toho za znakem #) přečte přímo z prohlížeče a pošle jí na svůj server?
      Stejně tak řeším problém, jak by uživatel mohl například do diskuzního fóra psát GPG šifrované zprávy bez použití pluginů v prohlížeči (tedy přenositelně) a bez možnosti ukradení soukromého klíče adminem webu…

Napsat komentář

Tato diskuse je již příliš stará, pravděpodobně již vám nikdo neodpoví. Pokud se chcete na něco zeptat, použijte diskusní server Devel.cz

Zdroj: https://www.zdrojak.cz/?p=230