Hirdetés
Új hozzászólás Aktív témák
-
#91
Realradical
őstag
st3v3np3t3r
#90
Realradical
őstag
válasz
st3v3np3t3r
#90
üzenetére
Hack this mathafacka
-
#90
st3v3np3t3r
nagyúr
st3v3np3t3r
nagyúr
Na, ehhez is csak gratulálni tudok...az új és színvonalasabb oldal egy nyers szórólap mintakép
-
azbest
félisten
ne a kérdést, hanem a rá kapott választ nézd a linkeken
A lényeg, hogy van élet kliens oldali dinamikus oldalakon túl is, nem muszáj js és cookie nélkül működésképtelen oldalakat gyártani. Természetesen nem írok 100 oldalas tanulmányt egy kommentre, aki akar jobban utána tud nézni a lehetőségeknek.
De ha már... a session fixation ettől független, a coockie kapcsán is ugyanúgy lehet/kell plusz ellenőrzés. És igen, linkelnek összetettebb és bonyolultabb megoldásokat, ami a hibásan konfigurált céges környezetből is mehet. A sokjegyű hexa kódok megjegyzéséhez sok szerencsét, de a session fixationon linken írnak egyszer használatos kódos megoldást is. Ha meg a felhasználó nyilvános helyen belépve hagyja a nyitott böngészőjét, akkor hülyeség ellen senki sem fogja megvédeni (persze lehet klikkenként 2 faktoros azonosítást is kérni).
Megoldás mindenre van, csak idő és pénz kérdése. Ezen szoktak spórolni a cégek. -
0xmilan
addikt
Vicces, hogy mindkét linkeld forrásod azt támasztja alá, hogy sessionID-t vagy bármi szenzitív adatot nem ajánlott GET paraméterként küldeni.
És nem, nem csak az a hátránya, hogy ott lesz a browser historydban. Lsd. session fixation az első linkeden."Nameg a session-t védeni is lehet, például azt ellenőrizve, hogy nem más netkapcsolatról akarja -e használni éppen."
Az általad linkelt oldalról:
"Keep in mind that users behind corporate proxies may hop between IP addresses between requests, so locking a session to an IP address may accidentally alienate people.""De harmadik fél akkor sem látja"
HTTPS-t feltételezve.
"Ha meg valaki hozzáfér a saját gépedhez, akkor az már régen rossz."
Ezzel nem vitatkozom, de olyan gépeknél amit többen használnak vagy egyszerűen csak mások is láthatják a képernyőt már nem biztonságos. -
A weboldal elemzése az említett pizzériánál is hasznos tud lenni, ahogy a legtöbb weboldal esetén is. Segít felderíteni, hogy hol vannak hibák az oldal designjában, esetleg félreérthető, zavaró pontok. Legyen az a menurendszer, a rendelés menete, de akár a képek elhelyezése. Tehát nem arról szól a dolog mindenkinél, hogy hova lehetne még egy mozgó vackot bevágni, hogy megvakuljon a látogató.
Látom divatos mostanában ez a ködbox, árnyékbox dolog, lassan nekem is fel kell vennem a repertoáromba.
De nem, nem ellentmondásként írtam, inkább kiegészítés, nyomatékosítás, hogy ez tetszik vagy sem, de a user oldalán is felelősséggel jár, bármennyire is ilyenkor mindenki a másikra mutogat (nem te, de ez nem is privát beszélgetés). -
"Tiszta html oldalt elvárni a mai világban szerintem csak egy illúzió.": annyiból igen, hogy mindenki elkapta ezt a "ha nem építesz adatbázist, nem vagy ember" betegséget. Meg annyiból is, hogy mindenki azt hiszi, hogy csilivili weboldalt kell csinálni.
Hát nem.
Oké, hogy azoknál a weboldalaknál, ahova rendszeresen visszajársz vásárolni, lehet/kell regisztrálni. Mint a posztban emlegetett pizzéria. De a weboldalak zöme nem ilyen. Például ha karosszérialakatost keresnél, mint én tettem pár napja, akkor ott elég, ha van pár fotó a referenciamunkáiról, elérhetőség, cím, max. egy térkép. ehhez se kuki nem kell, se js, se html. akkor se, ha az elmeroggyant webdizájnerek szerint ennek úgy kell kinézni, mit egy 80-as évekbeli tvshopnak.
"Eleve korlátozott funkciói lennénekegy ilyen oldalnak.": a funkció mihez képest korlátozott? ahhoz képest, amire valójában szükség van, nem korlátozott. Ahhoz képest, amit a bolondok hisznek, hogy kell, valóban korlátozot, de kit érdekel?
"Másrészt azt elvárni egy vállalkozástól, hogy pl ne vezessen statisztikát a weboldaláról, mert te tiszta html oldalt akarsz, egy álszent dolog.": a fenti vállalkozás nem a weblapjára beérkező lekérésekből él, hanem abból, hogy lángvágót meg hegesztőt manipulál a csápos emelőn. nemhogy nem abból él, nem is fogja megnézni, mert se ideje nincs rá, se tudása nincs hozzá. ismét nem zárnám ki, hogy van, akinek erre szüksége van, de a többségnek nincs. A pizzériának se, mert a kajafutárnak kiadott pizzák darabszámából sokkal pontosabban tudni fog mindent az üzletéről, mint a webjéről. Abból sincs túl nagy baj, ha a weboldala nem kap nemzetközi találatokat, miután a meleg pizzát nem szokás külföldre szállítani.
"Viszont az sem normális dolog, hogy általánosan kijelentjük, hogy minden felelősség az adott weboldal/üzemeltető terhe": ezt erre a mondatomra írtad válaszul: "így bizonyos mértékben az üzemeltetők is sárosak."? mert ha igen, kénytelen vagyok beállni azok táborába, akik szerint ködboxolsz és nem beszélsz magyarul. ez utóbbi esetben magadra is hagylak, az árnyékbox tipikus jellemzője, hogy egyedül vívják nem létező ellenféllel szemben.
-
lappa86
aktív tag
Mondjuk elég látványosan csak mellébeszélsz, és még most is csak ködbirkózol olyan dolgokon, amiket a topikban senki (köztük én sem) állított, és hát az is elég feltűnő, hogy kettőnk közül nem én küzdök olvasási nehézségekkel. De ha neked ez így jó, ám legyen, további kellemes időtöltést!
-
azbest
félisten
az ügyesebb frameworkok vagy rendszerek azt is tudják kezelni, ha le van tiltva a cookie és js. Arra az esetre például nem cookie-be teszi a session azonosítót, hanem az url végére teszi egy változóba [link].
Persze ennek is megvan a hátránya, az előzményekben a böngészőben látszik a session. De harmadik fél akkor sem látja [link].
Nameg a session-t védeni is lehet, például azt ellenőrizve, hogy nem más netkapcsolatról akarja -e használni éppen. Ha meg valaki hozzáfér a saját gépedhez, akkor az már régen rossz. -
azbest
félisten
A legtöbb funkció szerver oldalt megoldható. A dizájnhoz sem kellene js, manapság már a csilivili effekteket is lehet html5-tel kezelni. A divatos frameworkok eleve úgy indítanak, hogy minden alapvető funkcióhoz be kell tölteni egy általános js fájlt. A statisztikákhoz sem kell js. Nem a kliens böngészőjében kell futtatni a logikát, az egyébként sem megbízható. Igazából a cookie sem szükséges a session követéshez, csak lehet nem annyira menő nem a legframeworkosebb megoldást használni.
De persze a next-next-finish varázslós szakemberek olcsóbbak.
-
Tiszta html oldalt elvárni a mai világban szerintem csak egy illúzió. Eleve korlátozott funkciói lennénekegy ilyen oldalnak. Másrészt azt elvárni egy vállalkozástól, hogy pl ne vezessen statisztikát a weboldaláról, mert te tiszta html oldalt akarsz, egy álszent dolog. Mindenki a pénzből él.
A kényszerítés nézőpont kérdése, senkinek nem tartanak pisztolyt a fejéhez, hogy regisztráljon egy webshopban. Nagyon kevés azon termékek köre, ami csak egy adott webshopban kapható. A regisztráció megkövetelésének több oka is lehet, nem mindenki azért csinálja, mint a facebook, de abban egyet értünk, hogy sok olyan webshop van, ahol ez felesleges (bár az utóbbi években, mióta elterjedt a bérelhető webshop, idehaza elég kevéssel találkoztam, a legtöbb valami régebbi, CMS mellé pakolható shop, ahova eleve nem regisztrálnék be számomra érzékeny adatokkal).
Félreértés ne essék, nem védem a pizzériát, mert igenis baromi felelőtlen dolog volt egy sok éve magára hagyott és biztonsági hibáktól hemzsegő weboldalt üzemeltetni. Viszont az sem normális dolog, hogy általánosan kijelentjük, hogy minden felelősség az adott weboldal/üzemeltető terhe és a user lesz*rom módban felelőtlenül csinál mindenfélét, aztán mutogat a weboldalakra, a facebookra, a googlere, a biztosítóra, a bankra, bárkire és bármire, de magát egy cseppet sem érzi hibásnak. Kb. mint a nyaralós postok a facebookon, amik körbejárják fél Európát, de ha üres lakásra jönnek haza, akkor meg megy a csodálkozás. (IRL körben megtörtént, nem hoax forrás...)
lappa86: Látom, hogy szeretsz válaszolni, viszont nem megy az olvasás - még a saját hozzászólásaidé sem -, így szerintem ne erőltessük ezt a beszélgetést...
-
lappa86
aktív tag
1) Milyen info fals? Hogy személyes adatok kerültek ki? Ott van a cikkben, amit véleményezünk éppen. Nem kell sokáig keresni, ott van a legelején.
2) Hol írtam, bocsi, "szajkóztam", hogy "milyen jó az egy jelszó mindenhova"? Segíts nekem, pontosan hol található ez a hozzászólásaimban, mert én sajnos nem találok még csak hasonlót sem.
3) Miért ködbirkózol a saját hülyeségeiddel és adsz a számba olyan dolgokat, amiket le se írtam? És miért nem érted meg, hogy én csupán arra akartam rávilágítani, hogy szerintem értelmetlen a legtöbb webshopnál a kötelező regisztráció*, hiszen biztonsági kockázattal jár, de a legkevésbé sem utaltam arra, hogy nem hülye az, aki mindenhova ugyanazt a jelszót használja, de attól még illik tudomásul venni, hogy vannak ilyenek, és felelős vállalkozás hozzájuk is igazodik azzal, hogy nem kér regisztrációt egy pizzarendeléshez. (VIGYÁZAT! Többszörösen összetett mondat, nehogy azt olvasd ki belőle, hogy "milyen jó az egy jelszó mindenhova", mert még mindig nem erről szól!)
* Szerencsére azért vannak kivételek, ahogy a #71-ben írják, könyvet például már egészen jól lehet a kiadóktól regisztráció nélkül rendelni, illetve a legnagyobb hazai szállásfoglalónál sem kötelező a regisztráció, szóval azért bizakodom, hogy talán elindul egy folyamat.
-
#77
asdfghasdfgh
újonc
asdfghasdfgh
újonc
Itt egy interjú a hackerrel:
http://hackerfeleseg.hu/2017/02/24/exkluziv_interju_a_hackerrel -
az, hogy a weboldalak zöme használhatatlan javascript, cookie nélkül, illetve többségük regisztráció nélkül, az az üzemeltetők sara.
és mivel a júzerek rá vannak kényszerítve arra, hogy mindenhova regisztráljanak, így bizonyos mértékben az üzemeltetők is sárosak.
miért nem lehet egy sima weboldalt sima html-ként megcsinálni?
-
Min írtam a Joomla 1.5 is használ salt-ot, tehát ez az info fals. Másrészt nem mindegy, hogy egy utolsó pizzaoldalhoz férnek csak hozzá, vagy ugyanazzal a jelszó és felhasználónév párossal a fél életedhez. De felőlem használd szajkózd nyugodtan, hogy milyen jó az egy jelszó mindenhova és hárítsd másra a felelősséget...
-
Kicsit a nyúl viszi a vadászpuskát esetéről beszélsz. Hosszú óta hangoztatják a biztonsági szakemberek, hogy ne használjon senki sehova azonos felhasználónév és jelszó párost. Az, hogy ennek ellenére azonos kombinációt használsz nem a weboldal üzemeltetők felelőssége, hanem a tiéd, a te döntésed.
-
Male
nagyúr
Mondjuk ha többször rendelsz (ami egy pizzériánál esélyes), akkor jó a regisztráció, ha meg nem akarsz regelni, akkor telefonálsz.
Abban ettől még igazad van, hogy rengeteg helyen teljesen felesleges a regisztráció erőltetése, legalábbis a vevő szempontjából, mert úgyis csak egyszer fog vásárolni... egyébként ezt kérni is szokták a boltok tőlem, hogy reg. nélküli vásárlás opció legyen a webhopjukban, tehát a boltosok is gondolnak azért erre, ha nem is mind. -
lappa86
aktív tag
"Részben van benne ráció, de a saját jelszavad és saját adataid védelme elsősorban a te felelősséged."
Ez nem teljesen így van, a weboldalak üzemeltetőinek is felelőssége, hogy ne használjanak elavult rendszereket, illetve hogy az adatokat titkosítva tárolják. Ennél a törésnél semmi nem volt titkosítva, a jelszavak mellett személyes adatok is kiszivárogtak, és ez ellen nem tudsz védekezni semmilyen jelszóval. És nem tudhatod, hogy miből lesz baj. A személyes ismeretségemben történt egy olyan eset, hogy egy sportolói adatbázist törtek fel (mivel sportoló, ezért az oldalon meg volt adva név, lakcím, születési idő, az anyja nevét meg kinézték a facebookról!), és a nevében vásároltak műszaki cikkeket áruhitelre.
"Hiába veszik tudomásul, a kiemelt rész eleve elcseszett hozzáállás és gondolkozás mód. Ezt kellene már az emberek fejébe verni."
De hogy akarod egy falusi Marika néni fejébe verni, aki mondjuk imádja a romantikus regényeket, és havonta 20-30 könyvet rendel sok-sok különböző helyről, hogy használjon minden egyes oldalra más és más jelszót? A weboldalakat nem a hozzánk hasonló expert userekre kell fejleszteni, hanem a többségre, és a többségnek sosem lesz százféle jelszava, ezért a weboldalaknak kellene alkalmazkodniuk hozzájuk.
És még mindig nem értem, miért szükséges a webshopok 90%-ára regisztrálni egy vásárláshoz.
-
nubreed
veterán
Részben van benne ráció, de a saját jelszavad és saját adataid védelme elsősorban a te felelősséged.
És az is, hogy ki mennyire gondolkozik tudatosan mikor IT biztonságról van szó, most csak mezei user szemszögből. Ez olyan dolog, amit még gyerekkorban kellene elsajátítani legkésőbb az általános iskolás info órák keretében."Tudomásul kell venni a webshopok üzemeltetőinek, hogy a legtöbben ugyanazt a jelszót/jelszavakat használják mindenhova, ezért kibaszott nagy felelősségük van abban, hogy ezek ne kerülhessenek ki (megfelelő védelem ÉS lehetőség a regisztráció nélküli vásárlásra.)"
Hiába veszik tudomásul, a kiemelt rész eleve elcseszett hozzáállás és gondolkozás mód. Ezt kellene már az emberek fejébe verni.
-
lappa86
aktív tag
Továbbra is azt tartom a legnagyobb biztonsági problémának, hogy minden utolsó szar honlapra (amiket persze legtöbbször sehogyan sem védenek) regisztrálni kell ahhoz, hogy használhassam. MIÉRT? Miért van szüksége egy pizzériának regisztrációra ahhoz, hogy én meg tudjak rendelni egy vacsorát? Miért kell az ország másik végében lévő antikvárium honlapján regisztrálni ahhoz, hogy kihozzanak nekem egy 30 éves könyvet? Aztán meg ha feltörik ezeket (mert látjuk, feltörik), akkor egy rakás más helyre is megvannak a jelszavak. Tudomásul kell venni a webshopok üzemeltetőinek, hogy a legtöbben ugyanazt a jelszót/jelszavakat használják mindenhova, ezért kibaszott nagy felelősségük van abban, hogy ezek ne kerülhessenek ki (megfelelő védelem ÉS lehetőség a regisztráció nélküli vásárlásra.)
-
#67
st3v3np3t3r
nagyúr
st3v3np3t3r
nagyúr
Nem mint ha a törlésnek már lenne valami féle jelentőssége, a hacker felteszi máshová...Ennyi...
-
#66
ChuckyCheese
tag
ChuckyCheese
tag
Kretén paraszt.. Ennél jobb élmény sose érje ezután!
-
#63
st3v3np3t3r
nagyúr
nubreed
#60
st3v3np3t3r
nagyúr
Egyenlőre nincs 100% bizonyíték hogy a pizzás oldal lett volna a célpont, az oldalt üzeneltető host servert hekketék meg, úgy jutottak el a pizzáshoz...csak nem tudom miért kellett ezt konrétan kiírni, egy tapasztalt hekker csendben marad, nem dicsekszik a meghekkelt oldalon...ez tuti valami egoista ember műve lehetett...
-
#62
kihaén
újonc
st3v3np3t3r
#52
kihaén
újonc
válasz
st3v3np3t3r
#52
üzenetére
.
-
nubreed
veterán
Aki meghackelte, nagyon jól tudta azt, hogy az emberek egy része (hadd ne írjam le, hogy a többsége) ugyanazt a jelszót/felh.nevet/emailcímet használja regizéskor több oldalra is. Kellett egy könnyű célpont, aminek tökéletesen megfelelet a pizzás oldal, ez volt az entry point, a többi már meg már a bónusz.
-
#58
CactuS
Arcképgyáros
st3v3np3t3r
#52
válasz
st3v3np3t3r
#52
üzenetére
A bejelentés után ~ fél évvel hívtak, hogy akkor ők most meg indulnának a helyszínre szemlézni, csak nem tudják, hogy hova kéne menni. Mondtam, hogy egyrészt a bejelentéskor megadtam a címet, másrészt a cégjegyzékben szerepel, harmadrészt már olyan nagyon nincs mit szemlézni fél év után. Abban maradtunk, hogy oké, akkor majd lezárják ismeretlen tettes ellen és küldik a papírt (megnéztem most, nemsokára lesz három éve ennek).
lezso6: Azt elhiszem, annyira közel sem értek ehhez, de ha már kódolva tárolták, akkor már nem áll meg amit a hackerek írtak. Vagy lehet annál a hostingnál még a régi általam linkelt Plesk futott? Mert ott tényleg plain textben tárolták a jelszavakat.
-
#54
tjsz
senior tag
st3v3np3t3r
#41
tjsz
senior tag
válasz
st3v3np3t3r
#41
üzenetére
"Ebben az országban mindenen spórolnak a cégek, csak azon nem amin igazán kéne..."
Ezek szerint te nem dolgoztál külföldön vagy külföldi (multi-kulti) cégnek.
-
#52
st3v3np3t3r
nagyúr
CactuS
#47
st3v3np3t3r
nagyúr
Az érdekes...3éve nyomoznak? Vagy csak azt állítják? Nem mind1... Ha 3éve visszatekintek IT szemszögből, a rendőrség szinte tehetetlen volt egy kibertámadással szemben,nem mint ha most tudnának tenni bármit is az előre lépés ügyében sajnos a mai digitális világban csak offline adattárolás a hacker biztos, ami a hálóra van kötve, az már pontenciális célpont... Egy erős kibervédelmi rendszer meg arany áron van... Kis és középcégeknek még hitelre is elég nehéz beszerezni...
Na mind1... A végére kíváncsi leszek...Most olvasom...nem a pizzéria volt maga a célpont, hanem a honlapot is üzemeltető hosting cég...
De lehet hogy ez már frissített infó, lehet lesz még több áldozata is tamadásnak...
-
MK VII
veterán
Na látod ezen nem lepődnék meg, ha valamelyik okostóni bosszút állt volna rajtuk..
Talán a legszarabb pizzéria a városban a Cézár.
Párszor bennem is megfordult, hogy valamit kéne tenni a Cézár ellen, mert amit művelnek az a pofátlanság netovábbja.. Részletekbe nem megyek bele. Aki ismeri a veszprémi pizzériákat és tudja, hogy mi volt nemrég ami kitudódott az tudja miről beszélek.. -
dqdb
nagyúr
Kivéve, ha olyan vírusirtót használsz, ami SSL védelem címszóval mitm támadást hajt végre ellened minden egyes hálózati kapcsolat során, és a biztonságot hangoztatva a gyártónak sikerült olyan implementációt összehozni, hogy egyszerűen "elfelejtik" ellenőrizni az eredeti tanúsítványt, amit ugyebár elrejtenek előled.
-
gyugyo79
addikt
Én nagyon ellene vagyok az összes ilyen weboldalnak meg időben se tudom ezért az 1.5 J. - t hova rakni de gondolom az eleje nagyon. Viszont valaki mondja már meg ekkor (vagy esetleg még most se) még legalább egy alap PASSWORD() függvény sem volt használva a jelszavakhoz? Mert értem én, hogy az se védelem de ! = plain txt - el. De azért akik az alapot csinálták \ ják azért nem azok a "web fejlesztők" akik utána felhasználják én azt gondoltam, hogy ez a része legalább a kornak megfelelően "web fejlesztő" biztos.
Én amúgy se értettem sose, hogy mi szükség lehet egy jelszóra amiért az szerver oldalon így van letárolva miért nem elég ha megváltoztatható ha kell...
Mire megírtam választ is kaptam. Így viszont furcsa.
-
Így visszakeresve elvileg már az 1.5 is is "sózza" a jelszavakat: "Joomla! 1.5 uses md5 to hash the passwords. When the passwords are created, they are hashed with a 32 character salt that is appended to the end of the password string. The password is stored as {TOTAL HASH}:{ORIGINAL SALT}."
Elvben a virtuemart is a joomlára támaszkodik a jelszó tárolásban, így végképp nem értem, hogy hogyan került plain text-be a jelszó.
st3v3np3t3r: senki - legalábbis én - biztosan nem állítottam, hogy nincs felelőssége a pizzériának abban, hogy sebezhető weboldalt használt, webarchive szerint sok-sok éve már. Itt még mindig arról van szó, hogy egy webshop üzemeltetése nem feltétlenül naih bejelentés köteles. A gyakorlati büntetésre kíváncsi vagyok, nekünk egy nagyon érintőlegesen hasonló - minimális adatvesztéssel - járó ügyünk van, azt a "nyomozást" nem bírták lezárni ~ 3 éve már...
-
#46
st3v3np3t3r
nagyúr
st3v3np3t3r
#45
st3v3np3t3r
nagyúr
válasz
st3v3np3t3r
#45
üzenetére
Ez az adatkezelés,adatvédelem azért nem olyan egyszerű és könnyű mint ahogy egyesek gondolják...
-
#45
st3v3np3t3r
nagyúr
DeltaPower
#44
st3v3np3t3r
nagyúr
válasz
DeltaPower
#44
üzenetére
Mint írtam... Ha kivételek közé is tartozik akkor is hibázott...
Infotörvény 6pont-7...nos, nem tartotta be eleve a biztonsági követelményeket,így a btk 219.1/b pontja értelmében az adatkezelö/feldolgozó vétség miatt minimum 1év szabadságvesztésre számíthat.... -
#44
DeltaPower
addikt
st3v3np3t3r
#39
DeltaPower
addikt
válasz
st3v3np3t3r
#39
üzenetére
Ügyfélkapcsolat címén az adatkezelést nem kell az adatvédelmi
nyilvántartásba bejelenteni, ha:
az adatokat közvetlenül az érintettektől veszik fel, - regisztráció során a user adja meg
- az adatkezelés célja az érintett számára ismert, - ászf-ben meg szokták adni
- a kezelendő adatok fajtája, az adatkezelés időtartama (adattörlés) előre
meghatározott, - ászf-ben meg szokták adni
- az adatokat csak az előre meghatározott céllal összefüggésben
használják fel, - rendelésre illetve hírlevélre ha kér (szintén ászf)
- az adatok nem kerülnek ki az adatkezelő kezeléséből (ide nem értve az
adatfeldolgozónak történő adatátadást), - a feltörés nem szándékos átadás
- az érintetteket minderről megfelelően tájékoztatják. - "az ászf-et elolvastam és elfogadom" checkboxEgy megfelelően kivitelezett webshopnál pont hogy nem kell bejelenteniük.
-
#43
lezso6
HÁZIGAZDA
st3v3np3t3r
#41
válasz
st3v3np3t3r
#41
üzenetére
Ez oldal 8 éve is ugyanígy nézett ki. Akkor jó volt a Joomla 1.5. Csak azóta nem költöttek rá.
-
#41
st3v3np3t3r
nagyúr
CactuS
#40
st3v3np3t3r
nagyúr
Persze olvasom
de látom nem érted mire akarok kilyukadni ugye... Mindenki a hackert szidja! Valahol jogos, amit tett az etikátlan,ha egyszer meglesz vaskos büntetést fog kapni amiért nyilvánosságra hozta. Másrészről hibás a weboldal üzegeltetője is(tök mind1 ki), mivel az infotörvényben meghatározott feltételeknek nem felelt meg, ha egyáltalán lehet hinni annak amit a Hacker kiírt, hogy titkosítatlanul voltak tárolva a személyes adatok(mint pl. Jelszó, de miért is személyes adat a jelszó, mert természetes személyhez köthető közvetlen vagy közvetett úton)... Most már érted? Ebben az országban mindenen spórolnak a cégek, csak azon nem amin igazán kéne... Sokan nem fogják fel egy ilyen incidens valódi károkozását... Azt hogy,hogy csinálta már tök lényegtelen,mert már csak találgatás. Ez akkor lett volna érdekes ha lebukik akció közben... Remélem lesz majd friss hír az esetről, már ha tettek bejelentést a rendőrségen...mert a cikk erre sem tért ki hogy a hatóságok indítottak-e eljárást az ügyben vagy nem... -
#40
CactuS
Arcképgyáros
st3v3np3t3r
#39
válasz
st3v3np3t3r
#39
üzenetére
Még mindig erről a szerencsétlen pizzériáról beszélsz... Olvasod azt, amit írok? Vagy csak tolod a ctrl+c, ctrl+v-t?
Az infótörvényt meg sem említettem, nem tudom miért akarsz engem mindenáron meggyőzni, de nagyon lelkes vagy.
-
#39
st3v3np3t3r
nagyúr
CactuS
#37
st3v3np3t3r
nagyúr
Nos akkor mégegyszer....
NAIH GYIK 11.pontja
11. Be kell-e jelenteni a nyilvántartási rendszerbe
a) az olyan adatkezelést, amely az adatkezelővel ügyfélkapcsolatban lévő
személyek adataira vonatkozik?
Ügyfélkapcsolat címén az adatkezelést nem kell az adatvédelmi
nyilvántartásba bejelenteni, ha:
az adatokat közvetlenül az érintettektől veszik fel,
- az adatkezelés célja az érintett számára ismert,
- a kezelendő adatok fajtája, az adatkezelés időtartama (adattörlés) előre
meghatározott,
- az adatokat csak az előre meghatározott céllal összefüggésben
használják fel,
- az adatok nem kerülnek ki az adatkezelő kezeléséből (ide nem értve az
adatfeldolgozónak történő adatátadást),
- az érintetteket minderről megfelelően tájékoztatják.Talán ha még sem volt neki kötelező bejelenteni, akkor is megszegte az infotörvényt,mivel a személyes adatokat nem tárolta megfelelő módon, tehát így is,úgy is bajban van a pizzéria...
-
Én nem azt mondtam, hogy egy pizzéria vagy ők mentesültek a naih bejelentés alól, nem értem, hogy miért kevered ide a don pepet. Én azt mondtam, hogy önmagában az, hogy webshop nem jelenti azt, hogy bejelentési kötelezettsége van. Ott a GYIK a naih oldalán.
-
-
haxiboy
veterán
Valami script kiddie letöltött valamit a hackforumsról és most vagánykodik.
Tény hogy itt az 1.5 joomla a ludas mert annyi az exploit mint égen a csillag, na meg nem szép dolog a mai világban plain textben bármit tárolni nemhogy jelszavakat.
Példát kéne statuálni egy jó kis büntivel (amit még kibírnak mondjuk bevétel % alapon) súlyosbító körülménnyel hogy bár tudtak a dologról nem szóltak róla.
Talán akkor más cégek elkezdenének odafigyelni hogy ne büntessék meg. Én kapásból a saltolást is kötelezővé tenném. Na meg az ssl-t ha már itt tartunk. Ma már olyan könnyű a Man in the middle vagy session hijack hogy egy telefon is elég hozzá nem kéne szopatni az usert.
-
#31
st3v3np3t3r
nagyúr
CactuS
#29
st3v3np3t3r
nagyúr
Amúgy ha de a DonPepe, se a PizzaCasa pizzéria nem mentesült az adatvédelem/adatkezelési bejelentési kötelezettség alól, akkor miért pont a Cézár mentesülne?
Aki adatot tárol és feldolgoz valamilyen formában, arra vonatkozik az infotörvény és a hatóságnak nyilvántartásba kell venni! Csak egy pici pizzéria ezen akart spótolni.de a spórolás megbosszulta magát... -
#29
CactuS
Arcképgyáros
st3v3np3t3r
#28
válasz
st3v3np3t3r
#28
üzenetére
Önmagában az, hogy webaruház, még nem jelent bejelentési kötelezettséget.
Szerk:Megnéztem, még mindig ott vannak a kivételek a naih honlapján.
-
#28
st3v3np3t3r
nagyúr
CactuS
#27
st3v3np3t3r
nagyúr
Mivel a pizzéria webáruháznak minősül így köteles a NIAH felé bejelentést tenni mint adatkezelő és feldolgozó... De eleve az infotörvényt is megszegte, mert maga az adatkezelés módja nem felelt meg a biztonságos adatkezelésnek, a hacker állítása szerint nem voltak titkosítva a jelszavak sem, meg az egyéb személyes adatok sem...ha már személyes adatokat tárol(név,cím,telefonszám,email,jelszó,születési dátum,stb) egy cég vagy természetes személy, jelen esetben a pizzéria, már bejelentési kötelezettsége van, mert személyes adattal vissza is lehet élni. Jelen helyzetben a pizzéria is nagy bajban van, az is bejelentés köteles, ha hírlevelet küld egy oldal!
-
#27
CactuS
Arcképgyáros
st3v3np3t3r
#26
válasz
st3v3np3t3r
#26
üzenetére
Naih-hoz nem kell feltétlenül minden esetben bejelentkezni. Vannak kivételek, vagyis 2016-ban még biztosan voltak.
-
#26
st3v3np3t3r
nagyúr
MasterDeeJay
#25
st3v3np3t3r
nagyúr
válasz
MasterDeeJay
#25
üzenetére
Nos, ha már adatról van szó, akkor nézzük:
- Volt-e a pizzéria weboldalát üzemeltető személynek vagy cégnek engedélye az adattárolásra? Egyáltalán be volt-e jelentve az Adatkezelő hivatalnál hogy adatot kezelnek? Nem? Akkor a pizzéria is bajba kerül, nem csak a hacker,feltéve ha megtalálják, bár kétlem, ha csak nem hagyott hátra D.F.-et...ha nem, akkor soha nem lesz meg, mivel f*hungary@to*** mail címet adta meg, így vagy
T.A.N.-on kersztül csinálhatta vagy
szerintem inkább intraneten(belső hálózatról,pl nyílt wifin) keresztü. Kisebb a kockázat,tehát a gép IP-je D.F. hiányában nem lesz meg...bár ha kezdő, a célpontból ítélve talán az, biztos hogy hagyott hátra valamit...Én pl nem kínlódtam volna WAN-on keresztül. Sajnos a felmérés valós lehet, minden 3.dik router sebezhető beállítási hiányosságok miatt. Alapértelmezett jelszó használata,nincs wifi elszigetelés(bár ezt kevés router tudja)...
Nagyon sanszos hogy a szerver és a wifi egyazon routerről ment...szerintem...
-
#25
MasterDeeJay
veterán
Na hát brutális teljesítmény volt "feltörni" egy pizzázó ezer éves elavult weblapját.
Feltételezem tizenéves gyerek csinálta poénból hogy henceghessen az iskolában. Csak annyi esze nincs hogy ha elkapják ilyen baromságért akkor azt életre megemlegeti meg a környezete is. -
Na, ez engem is érint. Mondjuk ott a jelszavam 11111111 volt, szóval...
-
#23
bambano
titán
Realradical
#22
válasz
Realradical
#22
üzenetére
fenti auditálásnál kaptam egy kérdőívet, ami arra volt kihegyezve, hogyha az ügyvezető igazgató notebookján futtatjuk azt a bizonyos szoftvert, akkor a gyereke otthon hozzáfér-e.
egy lendülettel ment a kérdőív a darálóba...
-
#21
dragon1993
addikt
dragon1993
addikt
Auditálás ?
A valóságban kapnak egy 80-100k-s árajánlatot, ha felveted nekik, hogy havi 1k a frissítés már mást keresnek mert lehúzod őket, de a másol oldal se szent dolgoztam olyan rendszeren amit egy 2 éves is feltörne, mert egy elsőéves egyetemista írta aki azt se tudta mi az az sql injection, persze ilyenkor lehet mondani, hogy miért nem írod újra, a válasz az, hogy a főnök szerint működik, te tedd bele az új feature-t és kuss.
-
nem akarom konkrétan leírni a történetet, hogy ne lehessen guglival egyszerűen megtalálni, de aki ismer, emlékszik, hogy mit csinálok, az össze fogja tudni legózni.
nemrég kitalálták, hogy bizonyos szoftvereket auditáltatni kell. majd kiderült, hogy az auditori feladatokra pályázni kell, és valahogy úgy alakult, hogy egy cég felel meg. ez még csak egy kis magyar életkép, börleszk azután lesz belőle, hogy kiderült, túl sok mindenkire vonatkozik az auditálási kötelezettség, így elkezdték lazítani a feltételeket, majd a vége az lett, hogy ÖNBEVALLÁS alapján adták ki az auditálási bizonyítványt.
szerinted te megbuknál egy olyan auditon, amit önbevallás alapján készítenek el két megyével arrébb?
-
#17
st3v3np3t3r
nagyúr
st3v3np3t3r
nagyúr
"Az internet sok gyerek számára az önmegvalósítás eszköze. Lehetővé teszi, hogy felfedezzék, kik is ők, és mivé akarnak válni, ez azonban csak akkor működik, ha megmarad magánjellegűnek és névtelennek, ahol lehet úgy hibázni, hogy közben senki sem figyel meg. Attól tartok, az én generációm volt az utolsó, amely élvezhette ezt a szabadságot." - Edward Snowden
-
Real_Gabe
tag
Nem olyan rég a pizzadicasa.hu volt trójaival fertőzve. Legalább egy hónapba telt nekik míg javították az oldalt és nem kapcsolták le közben!
Nekem az Eset azonnal jelzett és tiltotta az oldalt. Mivel kb. 2 hét elteltével is vírusos volt az oldaluk, Facebook-on rájuk írtam és azt mondták, hogy tudnak a dologról és dolgoznak rajta!
De le nem kapcsolták volna az oldalt, had fertőződjön a kedves vendég, ha nincs megfelelő védelme! -
#6
MrSealRD
veterán
LurkerSheik
#3
válasz
LurkerSheik
#3
üzenetére
Azt elírtam. Auditálást akartam írni... Időként tesztelni kell a meglévő rendszereket, mert az IT világ igen nagy sebességgel halad körülöttünk és ha megállunk akkor nagyon csúnya vége lehet a dolognak...
(#4) CactuS : A pálcatörés oka, hogy ismerem az ilyen "kis" cégek hozzáállását. Fontosabb a főnöknek, hogy X6 legyen M packetel, mint az, hogy rendben legyen a cég... Árajánlatnál kiakadnak mi kerül valami annyiba amennyibe. Utána keresnek valakit aki megoldja okosba töredék pénzből. De utólag ennek is megvan az ára... Ráadásul az a tudat van bennük, hogy egyszer megcsináltatják és azt hiszik, hogy az utána perpetum mobile és nem kell csinálni semmit. De ez sem másabb mint bármely használati eszköz. Időnként szervizelni kell.
Egyébként a google tárolt változatában az oldal forrásában még most is megtalálható a hacker által beírt szöveg, amiben ott a neve és az linkek ahonnan elérhetők az adatok. Szerencsére már nincs a linkeken semmi...
-
#4
CactuS
Arcképgyáros
LurkerSheik
#3
válasz
LurkerSheik
#3
üzenetére
Az eredeti weboldal kódjából van:
<meta name="generator" content="Joomla! 1.5 - Open Source Content Management" />Sajnos ez tényleg elég régi volt, már nagyon régen nem támogatott az 1.5-ös Joomla. De akkor sem feltétlenül kellene ilyen szinten pálcát törni egy kis cég felett, ahogy a #1-ben leírja a kolléga. Lehet, hogy ők rendesen fizettek érte valakinek, csak az a valaki végzett hanyag munkát.
-
#3
LurkerSheik
senior tag
MrSealRD
#1
Az adutiálról én sem tudom mi is lenne, mellesleg biztosan ugy tortenhetett, ahogy te elkepzelted.
En is rengeteg helyen hasznalok univerzalis felhasznalonevet es jelszot, amit nem sajnalok ha barmi folytan odalesz.
A 'regisztralj facebookoddal' oldakra persze sokan igy lepnek be az egyszerusege vegett... -
Gondolom a jelenlegi weboldalt szomszéd pistikével csináltatták és jóformán senki sem üzemeltette a rendszert. Örültek mert megúszták néhány tízezerből...vagy pár pizzából... Nem értem miért lepődnek meg? Abba bele sem megyek, hogy adutiáltatták-e egyáltalán? Mert szerintem azt sem tudják mi az.
Új hozzászólás Aktív témák
- Interactive Brokers társalgó
- Tudjuk, de nem tesszük: a magyarok többsége nem törődik adatai védelmével
- Visszakerült a GOG az eredeti társalapítóhoz
- Vírusirtó topic
- Házimozi belépő szinten
- WoW avagy World of Warcraft -=MMORPG=-
- NVIDIA GeForce RTX 5070 / 5070 Ti (GB205 / 203)
- HDD probléma (nem adatmentés)
- Milyen billentyűzetet vegyek?
- DUNE médialejátszók topicja
- További aktív témák...
- 2 monitor + dual kar csomagban (LG 25UM58-P ultrawide + BenQ XL2411T 144Hz) hibátlan
- Eladó újszerű iphone 11 Pro Max 64Gb
- Fuvarozást-költöztetést-lomtalanítást-szállítást, vállalunk! ORSZÁGSZERTE!
- iPad Air 11 M3 128 GB WiFi felbontott, kipróbált, makulátlan vadonatúj állapotban, 2 év garanciával
- HP Zbook 15 G8 Fury i7/32GB/500+1TB SS/ Quadro 4GB
- HIBÁTLAN iPhone 15 Plus 256GB Green-1 ÉV GARANCIA - Kártyafüggetlen, MS4264, 92% Akksi
- Apple iPhone 13Pro 256GB Kártyafüggetlen 1év Garanciával
- BESZÁMÍTÁS! MSI B350M R5 1400 8GB DDR4 240GB SSD 1TB HDD GTX 1060 3GB Rampage SHIVA DeepCool 400W
- RAPOO 7100P 1000DPI optikai rádiós 5GHz egér
- Dell S3221QSA 32 4K UHD Ívelt Monitor 27% ÁFÁS
Állásajánlatok
Cég: PCMENTOR SZERVIZ KFT.
Város: Budapest
Cég: Laptopszaki Kft.
Város: Budapest