Strona używa cookies (ciasteczek). Dowiedz się więcej o celu ich używania i zmianach ustawień. Korzystając ze strony wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.    X

Bezpieczeństwo w praktyce....czyli krótki przegląd zabezpieczeń w kilku sklepach

Załóżmy, że teoretycznie SSL i HTTPS jest niezłamane... Czy sklepy internetowe we właściwy sposób dbają o dane Klientów i pozwalają im dokonywać zakupów tak aby wszystkim wokół nie było wiadomo co kupują ?

Pomyślałem, że zrobię krótkie podsumowanie kilku wybranych serwisów z naciskiem na te sprzedające ebooki (bądź co bądź są twory elektroniczne, więc i sklepy powinny być raczej nowoczesne):

  • woblink.com - jest HTTPS, w mailu jest informacja co zostało zakupione + faktura z danymi (ale za to rejestrując się można podać tylko emaila)
  • virtualo.pl - przeglądanie częściowo po HTTPS, w mailu jest informacja co zostało zakupione (ale za to rejestrując się można podać tylko maila i nick)
  • eclicto.pl - nie ma HTTPS do przeglądania produktów (jest do części stron takich jak logowanie, itp.), w mailu jest informacja co zostało zakupione
  • Allegro - brak możliwości przeglądania w trybie HTTPS (tryb ten pojawia się przy części stron z danymi użytkowników), możliwość wyłączenia niektórych powiadomień mailem, ale w mailu "Kupiłeś przez Kup Teraz" jest informacja o zakupie i dane sprzedającego, a w mailu "Wybrałeś sposób zapłaty i dostawy Twoich zakupów" i "Sprzedający .... otrzymał Twoją wpłatę" informacja o danych osoby kupującej. Podobnie z serwisu ebooki.allegro przesyłana jest mailem informacja co zostało kupione + faktura z pełnymi danymi
  • gandalf.com.pl - nie ma HTTPS do przeglądania produktów (jest do części stron takich jak logowanie, itp.), w mailu jest hasło do konta i przesyłana jest faktura z danymi osoby kupującej
  • merlin.pl - brak HTTPS do przeglądania produktów (jest do części stron takich jak logowanie, itp.), mailem przesyłane są pełne dane kupującego + informacja co zostało zakupione
  • publio.pl - nie ma HTTPS do przeglądania produktów (jest do części stron takich jak logowanie, itp. ale tylko częściowy), w mailu jest informacja co zostało zakupione + link do strony, gdzie można pobrać ebooka (bez logowania !)
  • BezKartek.pl - HTTPS używa niepoświadczonego certyfikatu, w mailu przesyłana jest informacja o tym, co zostało zakupione
  • aros.pl - sprzedaje tradycyjne książki, HTTPS używa niepoświadczonego certyfikatu z dziwnym adresem serwera, w mailu jest informacja o tym, co zostało zakupione + link do strony, gdzie można sprawdzić dane osoby kupującej, nie trzeba się za to rejestrować

Powiem tak - w dobie stosunkowo łatwego do podsłuchania WIFI i innych ciekawostek czy naprawdę tak trudno wykupić jest poświadczony certyfikat + przesyłać mailem np. tylko numer zamówienia (albo przynajmniej dać użytkownikom opcję wyłączenia powiadomień) ?

Czy naprawdę należy się w tym momencie obawiać Wielkiego Brata w sytuacji, gdy sami podajemy wszystko na tacy ? Ktoś powie, że to nieistotne co czytamy, niemniej jednak wybór lektur może powiedzieć dużo o danej osobie. Podobnie możliwość pobrania plików podpisanych czyimś adresem email bez autoryzacji.... brrr....

Kurtyna.... 

internet bezpieczeństwo inne

Komentarze

0 nowych
budda86   9 #1 07.01.2014 12:19

Niedawno założyłem konto w księgarni Matras (http://www.matras.pl/) i w mailu potwierdzającym rejestrację otrzymałem moje hasło (!). Biorąc pod uwagę, że większość użytkowników używa wszędzie tego samego hasła, konsekwencje mogą być tragiczne. A podobno mamy XXI wiek.

ximian   1 #2 07.01.2014 14:07

Bezpieczeństwo praktycznie nie istnieje

W about:config w Firefox można zablokować połączenia szyfrowane, jeśli szyfr jest jakiś tam (tzn. tam się cyfry wpisuje i jeśli jest to stara wersja to blokuje) - poczta przestała chodzić :D [interia]

jaredj   10 #3 07.01.2014 17:54

Https przy przeglądaniu produktów byłby bez sensu, jeśli uznałeś to za wadę. Przesyłanie emailem hasła jest faktycznie bez sensu, o ile nie jest to hasło jednorazowe, które wygasa po np. 15 minutach i jest używanie tylko do zmiany hasła.
Dla mnie, jako człowieka na emigracji, największą wadą większości PL sklepów, jest brak możliwości płacenia paypalem. Można kartą, co nie jest najbezpieczniejsze, choć sam sklep nie uczestniczy w wymianie danych, ale w większości najbardziej popularne są przelewy, których z oczywistych względów używać nie mogę.
Używanie samodzielnie wygenerowanych certyfikatów to już w ogóle dyskwalifikacja.

sgj   11 #4 07.01.2014 23:46

@"Powiem tak - w dobie stosunkowo łatwego do podsłuchania WIFI i innych ciekawostek czy naprawdę tak trudno wykupić jest poświadczony certyfikat + przesyłać mailem np. tylko numer zamówienia (albo przynajmniej dać użytkownikom opcję wyłączenia powiadomień) ?"

Normalny człowiek wolałby mieć ma mejlu jednak pełne dane zamówienia, bo to się przydaje w razie problemów ze sklepem. W dodatku na większości serwerów pocztowych połączenie przy pobieraniu poczty jest szyfrowane przez ssl/tls.

koneton   6 #5 08.01.2014 12:25

Osobiście się z tym nie zgadzam.

Po pierwsze, do przeglądania produktów nie ma sensu używania szyfrowanego połączenia. Jeżeli nie chcesz by inni wiedzieli co oglądasz wystarczy zabezpieczyć WiFi. Podsłuchiwanie WiFi zabezpieczonej WPA/WPA2 nie jest proste (o ile hasło nie jest trywialne).

Po drugie, wysyłanie mailem hasła wcale nie jest złym pomysłem. W żaden sposób nie wpływa to negatywnie na bezpieczeństwo. Ważne by hasło nie było przechowywane po stronie serwera w postaci jawnej.

enedil   9 #6 08.01.2014 17:03

Używajcie OpenBSD, Tor'a, a książki kupujcie w księgarni na mieście.

  #7 10.01.2014 12:57

Gimbazjalny specjalista zabezpieczeń?

Rej93pl   2 #8 10.01.2014 21:28

Dziwne to ale fajny pomysł

wobes   4 #9 12.01.2014 23:54

@gimbazjum, dokładnie. Ten wpis nie ma nic wspólnego z zagadnieniami bezpieczeństwa.

Szyfrowanie podczas przeglądania produktów jest całkowicie bez sensu, niepotrzebne generowanie ruchu i obciążanie serwera.

@budda86, nie ma to żadnego wpływu na bezpieczeństwo. Jeśli chodzi o przesyłanie danych w mailach, to jaki serwer poczty używa dziś do SMTP i IMAP połączeń nieszyfrowanych? Jeśli taki istnieje, to sugeruję go kijem nie ruszać. A jeśli operator serwera poczty nielegalnie korzysta z danych ze skrzynek pocztowych, to nie ma znaczenia czy w mailu było hasło/dane/faktura czy nie, bo zawsze może i tak skorzystać z mechanizmu przypomnienia hasła czy jego zmiany w jakimś sklepie czy serwisie i i tak uzyska dostęp do konta, danych jego właściciela, zamówień itp. Jak ktoś chce mieć pewność co się dzieje z jego mailami po stronie serwera poczty to niech postawi swój własny i ma problem z głowy.

Jedyny zarzut, który faktycznie ma uzasadnienie, to ten dotyczący aros.pl, który używa certyfikatu wystawionego przez dostawcę hostingu.

  #10 18.01.2014 22:19

@wobes

Jak to mówią... "uczył Marcin Marcina..." ;-)

Jeśli myślisz, że serwery SMTP "renomowanych" dostawców poczty jak np. gmail wymuszają szyfrowanie połączeń między sobą to bardzo się mylisz. E-mail nigdy nie był i nie jest bezpiecznym sposobem przesyłu informacji. Nie masz żadnej gwarancji, że ktoś nie podsłucha Twojej komunikacji, dopóki sam nie zaszyfrujesz swojej wiadomości. I nie masz żadnego wpływu na bezpieczeństwo maili przychodzących do Ciebie dopóki nie postawisz własnego serwera SMTP. I nawet wtedy nie masz żadnego wpływu na to, co się dzieje z tymi mailami po drodze do Twojego serwera.

tl;dr: - przesyłanie hasła mailem to zło

  #11 19.01.2014 10:35

@enedil
Kupowanie książek w księgarni na mieście jest jeszcze gorsze, bo wszyscy dokoła zobaczą, co kupiłeś :p

Zopsesen   4 #12 19.01.2014 20:16

Hm... i pomyśleć, że ja sam udostępniam w sieci to, co czytam. Ba! Nawet oceniam te książki bardzo subiektywnie!

Jestem stracony. :D

Arros   3 #13 25.01.2014 10:01

Dam lepszy numer:

W cal.pl, rejestrując VPSa za 1,7k rocznie dostałem hasło otwartym tekstem (to raz). Hasło to brzmiało, cytuję: 5tgbnhy6 (sic!)
Kiedy zaginęło mi hasło do panelu, zrobiłem request na nowe. Dostałem je... TAK! Otwartym tekstem...

Ale to nie cała zabawa, może kiedyś to tutaj opiszę. :P