Új hozzászólás Aktív témák
-
dragon1993
őstag
A kis webfejlesztő cégek rengeteg előre telepíthető webshopot/weblapot adnak el, ezzel nem lenne gond alapból, de azzal inkább, hogy az ügyfelek nem hajlandóak fizetni a karbantartásért és a frissítését.
Egyszer megkaptam feladatba (2016), hogy Joomla 1.0 alá keressek plugint
[ Szerkesztve ]
-
Na ilyenkor kell nyilvánosságra hozni a listát, kénytelenek lesznek a biztonságra is figyelni.
-
Mercel
senior tag
Tovább kéne passzolni a Zindex-nek a .hu-s listát..
Majd ha két napig virít címlapon a lista azzal, hogy értelmes ember ott semmilyen netes vásárlást NE folytasson Ne adjon meg adatot akkor kicsit észbekapnak.
Többek között e hozzáállás miatt hanyagolom a magyar webshopokat.
Max úgy használom őket, hogy ha van nekik az ami nekem kell annyiért amennyit hajlandó vagyok kifizetni érte akkor telefon és bemegyek érte személyesen ahol készpénzzel fizetek.Ez mondjuk arra is jó, hogy a helyszínen derül ki, hogy ja nem annyiba kerül /ja nem az a verzió ja / nincs is valójában.
Marcel
-
devast
addikt
Nyilvánosságra hozod a listát mi lesz ? Ezek nem multi cégek, akiknek millió értelmiségi ügyfele van. Ott sz*rnak bele a listádba ahol az informatikai biztonságba. Legalábbis itthon tuti Esetleg határozottan letagadnak mindent, majd hitelrontásért/becsületsértésért még fel is jelentenek, miközben a politikus/alvilági haverjaikkal fenyegetnek. Így szeretlek Magyarország
-
Taszillo
tag
Szerencsére magyarországi webshopokban nem jellemző a kártyás előre fizetés, így súlyos anyagi visszaélni való sincs igazán. Legrosszabb esetben a mail cím felkerül valami spammer listára.
A kolléga megvádolta a nyomtatót öngyilkosságra való felbujtással: "Rendeljen cián patront!”
-
sztanozs
veterán
Én is egy kicsit szkeptikus vagyok, de a nyilvánosságra hozatal - főleg egy ilyen "*csába" reakció után - szerintem etikus. Főleg, hogy állítólag a "szakértő" is felhívta már korábban erre a webshop üzemeltetőket.
Monjuk nem tudom, hogy magyar gomb-matrica-webshop.hu bt. mit fog kezdeni egy angol levéllel.JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...
-
Tigerclaw
nagyúr
Ideje lenne már vizsgálni a webshopok biztonságát valami hatóságnak, vagy amelyik kártyát akar elfogadni, annak a bank és a kártyatársaság is ellenőrizné a biztonságát.
Az a baj a világgal, hogy a hülyék mindenben holtbiztosak, az okosak meg tele vannak kételyekkel.
-
dajkopali
addikt
-
buherton
őstag
válasz Tigerclaw #10 üzenetére
Vagy ami szerintem jobb lenne, ha valamilyen library-t adának ki a bankok/kártytársaságok, amit csak be kell emelni a weblapra és a megfelelő textboxokat megadni neki.
Csak sajnos ahogy a te ötleted úgy ez is biztosan fizetős lenne .
Esetleg még az jöhetne szóba, hogy az állam csinál egy online ellenőrző oldalt, mint pl. a domain.hu esetén a domain-kre és azt bárki számára elérhetővé tennék.
tely, baly, fojó, mennyél, mingyárt, telyföl, tolyás, malyd, kapú, egyenlőre, ejsd, jáccani, ahoz, fúj, hüje, muszály, alat, álok, lasan, fojtatás, ál, fontós, költsön, eggyüt, lyob (jobb?), mek, mongyak, milyért - !!! Tanúlyunk már meghejjessen irni... !!!
-
NandoXXL
senior tag
válasz dajkopali #11 üzenetére
Jogosan küldetek el. Aki telefonon kiadja a cég adatkezelési folyamatait hibát követ el. Nem tudom mit kérdeztél, de ez másnak az állásába kerül ha bizalmas adatokat ad ki, a belső rendszerekről. Vagy te kiadod egy telefonhívásra az oldal adatait?
Következő cikk mi lesz? A kis vállalkozások kiadják telefonon a sebezhetőségeiket.....
-
dragon1993
őstag
Ha van egy textbox akkor már mind1 hiszen betesznek egy js-t ami lelopja a textbox tartalmát.
A paypalnél pl nem a webshop oldalán adod meg a kártyadataidat hanem a paypalen. A kártyaadatok ott nem jutnak el konkrétan a webshophoz.
PayPal-t konkrétan nem integráltam de máshol így megy.
[ Szerkesztve ]
-
bambano
titán
azon kellene még elgondolkodni, hogy akinek a birtokában van egy ilyen lista, követ-e el törvénysértést, ha nem értesíti a hatóságokat erről?
mert ha kiteszi az index-re vagy továbbadja, azzal szinte biztosan törvényt sért.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
twollah1976
őstag
Hol van ez a lista?
Mostanaban eleg sokat vasarolok a neten.\m/ Minden lehetséges, kivéve forgóajtón átsíelni... \m/
-
addikt
Erre van egy egyszerű megoldás: nem kell webshopban előre bankkártyával fizetni, hanem kiszállításnál vagy személyes átvételnél az üzletben.
Ilyen kis weshopokban ez általában lehetséges. Ha nem lehetséges pl., akkor én személy szerint más webshop után nézek. Kivéve az Amazont, de az nagy cég és ott nem lehet másképp fizetni.
Nexus 5x > Pixel 4a 5G \\ AMD Ryzen 5800X3D - Gainward RTX 3070 Phoenix \\ Asus Zenbook 14 Oled UM3402YA \\ Playstation 5 \\ DJI Mavic Mini \\ Nintendo Switch Neon v2 \\ Steelseries Arctis Nova 7 \\ Steam/Origin/Epic Games Store/GoG/Ubi Connect: Hopkins955
-
-
kovsol
titán
Abban az esetben ha a webshop banki felületre, vagy paypalra irányít át és ott fizet az ember, majd az visszairányít a webshopba akkor is veszélyben lehetnek az adatok? Ilyenkor úgy gondolnám, hogy a bank oldalán zajlik a dolog, és az biztonságos. De lehet én vagyok túl naiv.
[ Szerkesztve ]
May the Force be with you!
-
blash
tag
Ezert hasznalok eldobhato vagy direkt erre hasznalt email cimet. Bar ez sokszor kenyelmetlen lehet, mikor tovabbi emailekben ertesitenek. De talan a legjobb lehet az olyan szolgaltato, peldaul a gmx.com, ahol tobb aliast lehet letrehozni, s csak a vasarlasra idejere keszitesz egy aliast.
[ Szerkesztve ]
-
dragon1993
őstag
-
cabal
tag
Ahogy már felvetették, a bankkártyás fizetés az esetek túlnyomó részében nem a webshopban zajlik, hanem a bank erre a célra kialakított felületén. Szóval bankkártya adatok nem kerülnek a webshop birtokába. Így le sem tudják lopni azokat. (Max. akkor, ha regisztrációkor kérik a kártyadatokat. Te meg hülye vagy ha megadod egy nevenincs bt-nek...)
Alig pár helyen találkoztam olyan megoldással, ami magyar webshopnál nem így működött, de azok meg ált. nemzetközi cégek, ahol gondolom az anyacég normái az irányadóak. (pl. hervis, decathlon)
Amúgy meg vannak olyan fizetési szolgáltatók akik pl. közted és a bank között lehetnek és ők adják az API-t a fizetéshez, de ehhez elég komoly biztonsági és egyéb banki szabályokat kell betartaniuk. (Pl. PCI DSS)[ Szerkesztve ]
''A világon az emberi ész van a legjobban szétosztva. Mindenki meg van győződve róla, hogy neki egy kicsivel több jutott.'' /Hofi/
-
NandoXXL
senior tag
válasz BlackPriest #18 üzenetére
Ki beszélt adatvédelmi nyilatkozatról? Ne állíts be hülyének, mert senki nem írt az adatvédelmi nyilatkozatról. Majd ha veszed a fáradtságod és elolvasod a cikket utána írj.
Arról írt a cikk hogy felhívták az üzleteket, és a szerencsétlen telefonost vegzálták, idézek 'felhívtunk a listán található .hu, vagyis magyar regisztrációjú, valóban kicsi cégek közül párat, és elmeséltük, hogy mit olvastunk' '– a kezdő általános tájékoztatás után érdeklődtünk, hogy az online felületen a felhasználók milyen adatokat adnak meg –'
'megalapozott a gyanúja, hogy az oldalak kódjaiban található nyomok fertőzöttségre utalnak. Sokakat figyelmeztetett, de az általa említett sérülékenységekre' '
Ez itt konkrét állítás a sebezhetőségről, és utána a vásárlás menetéről, ügyféladatokról érdeklődtek, mindezt telefonon. Írásban kellett volna kérdezni, amit legalább a helyi rendszergazda elolvashat, nem pedig telefonon vagdalkozni hogy minden féle sebezhetőség lehet az oldalon, és erről mit tudnak, milyen adatokat kell megadni stb. Ettől egy kezelő, tulajdonos simán megijedhet és joggal küld el telefonon (nem szakértő az illető, sima user vagy még annyi se pl. a tulaj , erre van a rendszergazda, IT részleg, IT sec. stb..), és egy szakember se tud nyilatkozni felkészületlenül, engedély nélkül. Ha az adatvédelmi nyilatkozatot kérték volna el, és a törvényi megfelelőség után érdeklődtek volna akkor egy rossz szavam nem lenne. Legjobb dolog bemocskolni felkészületlenül bármilyen céget, megsérteni jó hírnévhez való jogukat. Legalább az esélyt meg kellene adni hogy kezelni tudják a helyzetet, és ha valós a probléma orvosolhassák.
'A saját kára után tanuló kutató arra hivatkozik, hogy már évek óta vizsgálja az ilyen sebezhetőségeket, és megalapozott a gyanúja, hogy az oldalak kódjaiban található nyomok fertőzöttségre utalnak. Sokakat figyelmeztetett, de az általa említett sérülékenységekre a megkeresett oldalak üzemeltetői vagy agresszíven, vagy kitérően válaszoltak, esetleg közölték, hogy mindez náluk nem lehetséges.
A kicsikre utazhatnak
Ha igaza van a szakembernek, akkor a zömükben kisvállalkozásként működő cégeknél az alapvető biztonsági szabályokat sem tartják be – pl. a rendszeres frissítés –, így a támadók rég ismert sebezhetőségeket kihasználva jutnak be, feltehetően nem célzott, hanem automatizált támadások során.
Kíváncsiak voltunk, így De Groot listáját alapul véve felhívtunk a listán található .hu, vagyis magyar regisztrációjú, valóban kicsi cégek közül párat, és elmeséltük, hogy mit olvastunk. A legtöbb esetben teljes értetlenséggel találkoztunk, de olyan is akadt – a kezdő általános tájékoztatás után érdeklődtünk, hogy az online felületen a felhasználók milyen adatokat adnak meg –, ahol a vezető ezek után nyers egyszerűséggel közölte: Uram, menjen a p*csába! – majd lecsapta a telefont.1
[ Szerkesztve ]
-
BlackPriest
őstag
"a kezdő általános tájékoztatás után érdeklődtünk, hogy az online felületen a felhasználók milyen adatokat adnak meg"
tehát a regisztráció űrlap, ami gondolom nem szupertitkos"és utána a vásárlás menetéről, ügyféladatokról érdeklődtek, mindezt telefonon."
első fele gondolom a faq-ban van leírva, különben honnan tudná a leendő vásárló mit kell tennie, utóbbi az űrlap és adatkezelési elva helyes választ is leírtad:
- nem tudom, eladó vagyok
- kérem olvassa el a weboldalon található anagokatgondolom téged kereshettek, ha ekkora szakértő vagy mit és hogy kellett volna kérdezni...
mod.: ez a magyar mentalitás, nem utánanézek az esetleges sebezhetőségnek és megköszönöm, hogy szóltak, hanem, ha lehet, beperelem a kérdezőt, mert biztos támadni akart és bemocskolja a nevemet. gratula!
[ Szerkesztve ]
Bogár nélkül lehet élni, de minek?!_______________________________________________ Elnézést, hogy nem illik bele a véleményem a világképedbe.
-
Agostino
addikt
válasz dragon1993 #1 üzenetére
nagy és komoly cégek is adnak el százmilliókért ingyenes cms-eket. jó, gyártanak rá egy custom templatet, de az is általában egy free átirata... én meg nézek ilyenkor hogy ezt hogy. persze ismeretség, eu pénz de hogy erre nincsen valami szabályrendszer az nekem érthetetlen. tudom, jogilag nem támadható.
hey friend listen, i know the world is scary right now but its gonna get way worse
-
-
bambano
titán
ilyen adatvédelmi vagy információs rendszerbeli problémák esetén először mindig el kell döntened, hogy melyik oldalon állsz. A betörők, az üzemeltető vagy a felhasználók oldalán? Ha a betörőén, akkor a lopást kell elősegítened. Ha az üzemeltetőén, akkor a lustaság vagy a költségkímélés lehet a cél. Ha a felhasználókén, akkor meg az, hogy ne szivárogjanak az adatok, vagy ne tolja a malware spamet.
Ha kizárólag etikailag nézzük a kérdést, egyértelmű, hogy nem etikus ilyen listákat sem közzétenni, sem terjeszteni.
Jogilag Willem De Groot jogi helyzete egyértelmű, a btk 424. paragrafus 1. bekezdése szerint bűncselekmény elkövetését könnyítő szervezési ismereteket tett közzé, ezen vétséget két év börtönnel honorálja, ha nem hozza a rendőrség tudomására ezeket az ismereteket.
Elvileg a biztonsági incidensekről bejelentési kötelezettsége van az üzemeltetőnek, azt is meg kellene nézni, hogy mindenkinek van-e ilyen kötelezettsége, aki ezt felfedezi. Ezzel párhuzamosan megvalósul-e a bűnpártolás, ha nem jelenti be. Bűnsegéd lesz-e, ha kitesz egy listát, amin olyan szerverek vannak, ahova könnyű bemenni, mintegy csábítva a pályakezdő betörőket.
Ugyanígy ha neked van egy listád feltört szerverekről, mint újságírónak vagy olvasónak, és azt publikálod, elköveted-e a bűncselekmény elkövetését könnyítő szervezési ismeret közzétételét?
Szóval messze nem olyan egyszerű a kérdés, hogy csuklóból azt mondjuk, hogy semmi probléma. A fenti kérdéseket egy hozzáértő jogásznak kellene megválaszolni, mondjuk az tény, hogy ilyet nemigen lehet találni.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
Mindig a felhasznaloken, ergo kozzeteszem a listat: "Ott ne vasaroljatok!". Az uzemelteto es a betoro a felhasznalo szemszogebol egykutya, mert az egyik hagyja es passzivan segedkezik abban, hogy a masik kirabolja.
"...Jogilag Willem De Groot jogi helyzete egyértelmű..."
Ezen nem vitatkozunk, mert egyertelmu, leven o semmilyen technikai informaciot nem tett kozze a fertozott oldalakrol a nevukon kivul. Nem mondta meg, mivel fertozottek, nem mondta meg, milyen serulekenyseg letezik rajtuk, nem adott meg IP-cimeket, nyitott portokat, nem azonositotta a platformokat, annyit mondott, hogy "Ne vasaroljatok ott!".
Raadasnak meg azokat, akik a "menjen a 'csaba" valaszt adjak egyreszt azonnal bevonnam a vallalkozasi engedelyet es soha tobbet sem o, sem a csaladtagjai nem kaphatnanak, masreszt leultetnem egy kis idore, hogy legyen alkalma eltunodni, mit cseszett el.
https://www.coreinfinity.tech
-
bambano
titán
a jogszabály nem korlátozza a büntetendő információk körét a technikai információkra.
tehát már az is büntetendő, ha megmondja, hogy a listán szereplő webshopok törhetők.az üzemeltetőknél meg szerintem nem kell álmodozni, hogy mit csinálnál velük, ellenük el lehet járni a jelenleg érvényes jogszabályok alapján is.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
"...Információs rendszer védelmét biztosító technikai intézkedés kijátszása
424. § (1)154 Aki a 375. §-ban, a 422. § (1) bekezdés d) pontjában vagy a 423. §-ban meghatározott bűncselekmény elkövetése céljából az ehhez szükséges vagy ezt könnyítő
a) jelszót vagy számítástechnikai programot készít, átad, hozzáférhetővé tesz, megszerez, vagy forgalomba hoz, illetve
b) jelszó vagy számítástechnikai program készítésére vonatkozó gazdasági, műszaki, szervezési ismereteit más rendelkezésére bocsátja,
vétség miatt két évig terjedő szabadságvesztéssel büntetendő.
(2) Nem büntethető az (1) bekezdés a) pontjában meghatározott bűncselekmény elkövetője, ha - mielőtt a bűncselekmény elkövetéséhez szükséges vagy ezt megkönnyítő jelszó vagy számítástechnikai program készítése a büntető ügyekben eljáró hatóság tudomására jutott volna - tevékenységét a hatóság előtt felfedi, az elkészített dolgot a hatóságnak átadja, és lehetővé teszi a készítésben részt vevő más személy kilétének megállapítását.
(3) E § alkalmazásában jelszó: az információs rendszerbe vagy annak egy részébe való belépést lehetővé tevő, számokból, betűkből, jelekből, biometrikus adatokból vagy ezek kombinációjából álló bármely azonosító..."Nem latom, hol utkozott ezzel a lista nyilvanossagra hozatala, raadasul itt technikai intezkedesek kijatszasarol van szo, aminek aztan plane nem felel meg a lista.
https://www.coreinfinity.tech
-
-
Nade semmilyen ilyen jellegű információt nem tett közzé - ezért mondtam, hogy semmilyen törvénybe nem ütközik.
Ha ilyen technikai információt hoz nyilvánosságra, 100%-ban egyetértenék Veled.
Szerk.: na jó 90-10, mert a nyilvánosságnak is megvan a maga kényszerítő ereje.
Persze még itt is felmerülne a tény, hogy a hollandus felkereste az online shopokat, de néhányuk mind a mai napig magasról tesz a fertőző webshopjára.[ Szerkesztve ]
https://www.coreinfinity.tech
-
emelhu
aktív tag
válasz dragon1993 #14 üzenetére
Nem értem mire megy ez a vita.
Mo-on tudtommal nincs olyan bank, ami amcsi módra a webboltostól kapott kártyaszám alapján levonna bármit is.
A bank weboldalára irányítanak át, és a bank kéri be az adatokat, a bolt csak annyit kap vissza, hogy a tranzakció sikeres/sikertelen.Ez az előnye a "követő" technologiának, sokkal fejlettebb/modernebb mint az élénjárók/korán kezdők, akiknek a kompatibilitással kell megküzdeniük.
-
Hintalow
senior tag
Szerintem én meg nem találkoztam olyan magyar webshoppal, ahol dikertben kellett volna fizetni, mindig bank, ritkább esetben ismert payment processor oldalára átirányítva zajlik a fizetés.
Ergó itthoni viszonylatban nem túl releváns a hír.Ha a multiverzum teória igaz, akkor van egy univerzum, ahol nem az.
-
gabor7th
addikt
A nagy cégeket is sikeresen feltörik. Mindig fel lehet törni a rendszereket.
A számítástechnika új negatív trendjei: ujtechkor.blog.hu
Új hozzászólás Aktív témák
Állásajánlatok
Cég: Promenade Publishing House Kft.
Város: Budapest
Cég: Ozeki Kft.
Város: Debrecen