spjallid.is

Færsluhirðarnir vilja ekki styggja kúnnana sína með "veseni" eins og öryggismálum, sérstaklega "vinsælar" síður eins og hópkaup.

CendenZ skrifaði:Ég er hissa á því að engin skuli furða sig á öryggismálum þessara fyrirtækja.

Hvað eru margir af ykkur búnir að gefa upp einhverjar upplýsingar á hópkaup og gegnum borgun ?
Ef þeir klikka á svona basic atriðum, þá klikka þeir á flóknari atriðum. Það er nú bara þannig.

Ég held að NAS tækið mitt sé öruggara en portalið hjá hópkaup.

djísús kræst þvílíkt frat

Alveg sammála, öryggið er ekkert smá lélegt, sérstaklega þar sem maður er t.d. búinn að gefa upp kredidkortanúmer þarna, og það er vistað þarna í einhverjum grunni!!! ...
Mér finnst ágætt hjá ORION að finna öruggisgalla hjá þessum fyrirtækjum, þótt hann sé að fara svo HRIKALEGA VITLAUST að því með því að opinbera allt heila klabbið, væri kannski betra að hafa samband við viðkomandi fyrirtæki láta vita, og bíða svo og sjá hvort það verði ekki lagað.
Svo ef ekkert er lagað er kannski í lagi að fara í aðeins róttækari aðgerðir

C2H5OH skrifaði:Alveg sammála, öryggið er ekkert smá lélegt, sérstaklega þar sem maður er t.d. búinn að gefa upp kredidkortanúmer þarna, og það er vistað þarna í einhverjum grunni!!! ...
Mér finnst ágætt hjá ORION að finna öruggisgalla hjá þessum fyrirtækjum, þótt hann sé að fara svo HRIKALEGA VITLAUST að því með því að opinbera allt heila klabbið, væri kannski betra að hafa samband við viðkomandi fyrirtæki láta vita, og bíða svo og sjá hvort það verði ekki lagað.
Svo ef ekkert er lagað er kannski í lagi að fara í aðeins róttækari aðgerðir

Þeir senda kortaupplýsingarnar með API-kalli á greiðslugátt Borgunar. Þeir eiga ekki að geyma neinar kortaupplýsingar hjá sér.

Öruggustu aðferðirnar sem ég hef heyrt um (ég er ekki pro - nota bene)

Er þegar viðskiptaupplýsingarnar fara ekki frá client notenda til fyrirtækis s.s. almennar vefsíður og gáttir.

Betra er þegar opnuð eru session í kerfum þjónustuaðilans t.d. með Citrix (og þá algjörlega undir control hvaða réttindi viðkomandi hefur o.þ.h.)

Þar fær hann viðmót á þjón hjá fyrirtækinu sem hefur samband við aðra þjóna hjá fyrirtækinu = engin samskipti sem hægt er að hlrea um internetið.

Citrix bíður svo upp á flottar dulkóðanir á sessioninu sem ekki hafa verið krakkaðar.


Allt annað er nánast úrelt tækni skv. mínum heimildarmönnum (hef þetta frá öðrum, veit sáralítið um þetta sjálfur)

p.s. mörg ef ekki flest stórfyrirtæki á Íslandi nýta sér möguleika Citrix til öruggra samskipta með þessum hætti, bara fyrir stærri og umfangsmeiri session en "greiðslumiðlun" eða "skráningu á viðburð".

ORION, smá ábending sem er í raun umorðun á því sem aðrir hafa sagt. Í stað þess að gefa upp allt sem þú hefur fengið í hendurnar á ólögmætan hátt (lesist með því hacka þig inn á kerfi), bentu fólki á að þessar síður hafa holur í öryggisnetinu án þess að tilgreina hvað nákvæmlega þær holur eru. Láttu hins vegar þá sem hafa þessar holur vita nákvæmlega hvað sé að hjá þeim.

Almenningur hefur ekkert með þessar upplýsingar að gera nema að vita að mögulegt sé að þau gögn sem þeir gefa upp séu mögulega opnar öðrum sem ekki eiga að komast í þær.

fékk viðvörun eitt sinn fyrir að pósta svona mynd, enn þessi á virkilega við í þetta sitt so plz ekki viðvörun folks

Revenant skrifaði:

C2H5OH skrifaði:Alveg sammála, öryggið er ekkert smá lélegt, sérstaklega þar sem maður er t.d. búinn að gefa upp kredidkortanúmer þarna, og það er vistað þarna í einhverjum grunni!!! ...
Mér finnst ágætt hjá ORION að finna öruggisgalla hjá þessum fyrirtækjum, þótt hann sé að fara svo HRIKALEGA VITLAUST að því með því að opinbera allt heila klabbið, væri kannski betra að hafa samband við viðkomandi fyrirtæki láta vita, og bíða svo og sjá hvort það verði ekki lagað.
Svo ef ekkert er lagað er kannski í lagi að fara í aðeins róttækari aðgerðir

Þeir senda kortaupplýsingarnar með API-kalli á greiðslugátt Borgunar. Þeir eiga ekki að geyma neinar kortaupplýsingar hjá sér.

Ekki alveg rétt. Þegar ég smelli á "Kaupa" á Hópkaup fæ ég eftirfarandi valmöguleika:

XXXX XXXX XXXX 4323, 9/13

Sem þýðir að kortið sé vistað í gagnagrunni hjá þeim.

En annars notast ég bara við fyrirframgreitt kreditkort í öllum viðskiptum á internetinu. Ef kortinu er stolið, þá er alltaf takmörkuð fjárhæð inni á því.

En það þyrfti einhver security-specialist að senda póst á fjölmiðla Íslands og benda þeim á þetta.

intenz skrifaði:

Revenant skrifaði:

C2H5OH skrifaði:Alveg sammála, öryggið er ekkert smá lélegt, sérstaklega þar sem maður er t.d. búinn að gefa upp kredidkortanúmer þarna, og það er vistað þarna í einhverjum grunni!!! ...
Mér finnst ágætt hjá ORION að finna öruggisgalla hjá þessum fyrirtækjum, þótt hann sé að fara svo HRIKALEGA VITLAUST að því með því að opinbera allt heila klabbið, væri kannski betra að hafa samband við viðkomandi fyrirtæki láta vita, og bíða svo og sjá hvort það verði ekki lagað.
Svo ef ekkert er lagað er kannski í lagi að fara í aðeins róttækari aðgerðir

Þeir senda kortaupplýsingarnar með API-kalli á greiðslugátt Borgunar. Þeir eiga ekki að geyma neinar kortaupplýsingar hjá sér.

Ekki alveg rétt. Þegar ég smelli á "Kaupa" á Hópkaup fæ ég eftirfarandi valmöguleika:

XXXX XXXX XXXX 4323, 9/13

Sem þýðir að kortið sé vistað í gagnagrunni hjá þeim.

En annars notast ég bara við fyrirframgreitt kreditkort í öllum viðskiptum á internetinu. Ef kortinu er stolið, þá er alltaf takmörkuð fjárhæð inni á því.

En það þyrfti einhver security-specialist að senda póst á fjölmiðla Íslands og benda þeim á þetta.

ertu með chrome?
chrome geimir þessar upplýsingar, ekki síðan

Það getur líka alveg verið að þeir geymi bara síðustu fjórar tölurnar og gildistímann, ekki CSC kóðann né fyrstu 12 tölurnar.

worghal skrifaði:ertu með chrome?
chrome geimir þessar upplýsingar, ekki síðan

Hvað ertu að bulla?

tdog skrifaði:Það getur líka alveg verið að þeir geymi bara síðustu fjórar tölurnar og gildistímann, ekki CSC kóðann né fyrstu 12 tölurnar.

Já, gæti verið. En við vitum svo sem ekkert um það.

intenz skrifaði:Ekki alveg rétt. Þegar ég smelli á "Kaupa" á Hópkaup fæ ég eftirfarandi valmöguleika:

XXXX XXXX XXXX 4323, 9/13

Sem þýðir að kortið sé vistað í gagnagrunni hjá þeim.

En annars notast ég bara við fyrirframgreitt kreditkort í öllum viðskiptum á internetinu. Ef kortinu er stolið, þá er alltaf takmörkuð fjárhæð inni á því.

En það þyrfti einhver security-specialist að senda póst á fjölmiðla Íslands og benda þeim á þetta.

Það sem hópkaup er að nota þarna er svokallað token. Þ.e. í fyrsta skiptið sem þú notar hópkaup þá býr Borgun til token fyrir viðkomandi kort (og geymir kortaupplýsingarnar á öruggan hátt hjá sér) og skilar til baka til hópkaupa.
Hópkaup geymir svo (fyrstu 6 og) síðustu 4 stafina (svokallað 6+4 sem er leyfilegt). Þegar þú kaupir aftur á hópkaup þá sendir hópkaup tokenið til Borgunar í staðin fyrir kortaupplýsingar sem síðan skiptir því út fyrir raunverulegt kortanúmer.

Revenant skrifaði:

intenz skrifaði:Ekki alveg rétt. Þegar ég smelli á "Kaupa" á Hópkaup fæ ég eftirfarandi valmöguleika:

XXXX XXXX XXXX 4323, 9/13

Sem þýðir að kortið sé vistað í gagnagrunni hjá þeim.

En annars notast ég bara við fyrirframgreitt kreditkort í öllum viðskiptum á internetinu. Ef kortinu er stolið, þá er alltaf takmörkuð fjárhæð inni á því.

En það þyrfti einhver security-specialist að senda póst á fjölmiðla Íslands og benda þeim á þetta.

Það sem hópkaup er að nota þarna er svokallað token. Þ.e. í fyrsta skiptið sem þú notar hópkaup þá býr Borgun til token fyrir viðkomandi kort (og geymir kortaupplýsingarnar á öruggan hátt hjá sér) og skilar til baka til hópkaupa.
Hópkaup geymir svo (fyrstu 6 og) síðustu 4 stafina (svokallað 6+4 sem er leyfilegt). Þegar þú kaupir aftur á hópkaup þá sendir hópkaup tokenið til Borgunar í staðin fyrir kortaupplýsingar sem síðan skiptir því út fyrir raunverulegt kortanúmer.

Ok, hljómar legit.

CendenZ skrifaði:Ég er hissa á því að engin skuli furða sig á öryggismálum þessara fyrirtækja.

Hvað eru margir af ykkur búnir að gefa upp einhverjar upplýsingar á hópkaup og gegnum borgun ?
Ef þeir klikka á svona basic atriðum, þá klikka þeir á flóknari atriðum. Það er nú bara þannig.

Ég held að NAS tækið mitt sé öruggara en portalið hjá hópkaup.

djísús kræst þvílíkt frat

Þetta eru náttúrulega tvær aðskildar umræður...
Annarsvegar stjörnulætin í ORION, og hinsvegar gagnaöryggi hinna ýmissa fyrirtækja.
Svo skulum við nú ekki gera of mikið úr þessu "Borgun" dóti hjá honum... eina sem hann gerði var að hafa áhrif á hvernig kvittunin leit út, en raun greiðsluupplýsingar fóru aðra leið og var aldrei breytt. Þannig að hann var aldrei í neinni aðstöðu til að fá neitt "ódýrara".
A móti kemur að þetta var samt hálf kjánalegt hjá Borgun.

Og varðandi öryggismál hjá íslenskum fyrirtækjum, þá get ég eflaust fullyrt að nær öll íslensk fyrirtæki eyða meiri pening á ári í kaffi handa starfsfólki heldur en öryggismál.
Það er allt of lítil umræða um þetta, og það er allt of mikið um að þegar "gagnaleki" verður hjá íslensku fyrirtæki, þá er oft allt lagt undir til að koma í veg fyrir að það fréttist. Sem getur komið illa niður á fólki ef að fyrirtæki veit að það tapaði kreditkortaupplýsingum en tilkynnir það ekki.
Og mörgum fyrirtækjum virðist eiginlega bara vera alveg sama, því það hefur ekki efni á að auka öryggið (búið að eyða öllum peningnum í kaffi).

natti skrifaði:

CendenZ skrifaði:Ég er hissa á því að engin skuli furða sig á öryggismálum þessara fyrirtækja.

Hvað eru margir af ykkur búnir að gefa upp einhverjar upplýsingar á hópkaup og gegnum borgun ?
Ef þeir klikka á svona basic atriðum, þá klikka þeir á flóknari atriðum. Það er nú bara þannig.

Ég held að NAS tækið mitt sé öruggara en portalið hjá hópkaup.

djísús kræst þvílíkt frat

Þetta eru náttúrulega tvær aðskildar umræður...
Annarsvegar stjörnulætin í ORION, og hinsvegar gagnaöryggi hinna ýmissa fyrirtækja.
Svo skulum við nú ekki gera of mikið úr þessu "Borgun" dóti hjá honum... eina sem hann gerði var að hafa áhrif á hvernig kvittunin leit út, en raun greiðsluupplýsingar fóru aðra leið og var aldrei breytt. Þannig að hann var aldrei í neinni aðstöðu til að fá neitt "ódýrara".
A móti kemur að þetta var samt hálf kjánalegt hjá Borgun.

Og varðandi öryggismál hjá íslenskum fyrirtækjum, þá get ég eflaust fullyrt að nær öll íslensk fyrirtæki eyða meiri pening á ári í kaffi handa starfsfólki heldur en öryggismál.
Það er allt of lítil umræða um þetta, og það er allt of mikið um að þegar "gagnaleki" verður hjá íslensku fyrirtæki, þá er oft allt lagt undir til að koma í veg fyrir að það fréttist. Sem getur komið illa niður á fólki ef að fyrirtæki veit að það tapaði kreditkortaupplýsingum en tilkynnir það ekki.
Og mörgum fyrirtækjum virðist eiginlega bara vera alveg sama, því það hefur ekki efni á að auka öryggið (búið að eyða öllum peningnum í kaffi).

Umræða er af hinu góða, t.d Kastljósþátturinn um öryggi á þráðlausu neti hjá bæði almenningi og fyrirtækjum. Almennt séð er hægt að stoppa þessa smákrimma hakkara (doucehebags) sem eru að notast við scriptur og búnað sem eitthver annar hannaði til að finna veikleika í kerfi (Sem margir sjálfir notast við til að finna veikleika í eigin kerfum). Erfiðara að eiga við Vírusa í líkingu við stuxnet þegar verið er að targeta ákveðna aðila og hönnuðinir á vírusnum jafnvel Dr-ar í tölvunarfræði. Mín skoðun það á að nota almenna skynsemi þegar kemur að tölvuöryggi þ.e.a.s fólk verður að geta unnið á vélanar og passa að paranojan verði ekki of mikil þegar kemur að tölvuöryggi.

Getur einhver útskýrt þetta fyrir mér. Kann lítið á tölvur og er áhugasamur um að vita hvað þetta mál er um?

Fatta að hann hafi Hackað hópkaup.is en setti hann það hingað inn að hann hafi gert það og lögreglan hafi séð það og kært hann?

greenpensil skrifaði:Getur einhver útskýrt þetta fyrir mér. Kann lítið á tölvur og er áhugasamur um að vita hvað þetta mál er um?

Fatta að hann hafi Hackað hópkaup.is en setti hann það hingað inn að hann hafi gert það og lögreglan hafi séð það og kært hann?

Setti einhver notuð hópkaupsnúmer, skil ekki alveg tilganginn í því sammt(nokkuð hægt að nota þá aftur?).

ORION skrifaði: Það er ekki alslæmt að posta þessu hérna, Ég hef bara engan áhuga á að tala fyrst við aðilana sem eiga í hlut og vera í einvherju laumuspili + að ég fengji þá enga viðurkenningu...

teluru þig vera að fá einhverja "viðurkenningu" hérna ?

þú verður bara að afsaka, en þetta er að mínu mati alveg einstaklega kjánalegt hjá þér.

og já, fyrir hverju ættiru að vera að fá viðurkenningu fyrir ?
fyrir innbrot, fyrir að vera þjófur eða fyrir að vera kjáni ?

urban skrifaði: og já, fyrir hverju ættiru að vera að fá viðurkenningu fyrir ?
fyrir innbrot, fyrir að vera þjófur eða fyrir að vera kjáni ?

Allt þrennt helst, Enn læt það duga ef ég fæ bara fyrstu 2

ORION skrifaði:

urban skrifaði: og já, fyrir hverju ættiru að vera að fá viðurkenningu fyrir ?
fyrir innbrot, fyrir að vera þjófur eða fyrir að vera kjáni ?

Allt þrennt helst, Enn læt það duga ef ég fæ bara fyrstu 2

já þú færð þá þína "viðurkenningu" þegar að þitt mál kemur fyrir dómara.
færð hana allavega ekki hjá mér.

Skil ekki alveg mennina hérna inni sem eru bara komnir á háa C-ið. Ef honum er alveg sama, af hverju ætti okkur þá ekki að vera alveg sama?

Ég er bara ánægður með það að hann skuli leyfa okkur að fylgjast með því hvernig lagakerfið virkar í svona málum.

Ég er ekki sammála mörgum hérna inni og kann ekki að meta þann dónaskap sem ORION er veittur.
Finnst ykkur virkilega betra að svona mál séu þögguð niður eða ekki rætt um þau? Haldið þið virkilega að fyrirtæki færu eitt í einu í einhverjar massívar aðgerðir hvað varðar öryggismál varðandi viðkvæmar upplýsingar á tölvutæku formi? Eða yrði bara patchaður sú hola sem yrði fundin og ekkert meira pælt í því?

Ef öryggismál eru svona ábótavant er þá ekki bara best fyrir alla að einhver taki það að sér að draga svona háalvarleg mál í dagsljósið? Bæði til þess að mynna fólk á að fara varlega á netinu og til þess að fleiri fyrirtæki taki það að sér að skoða sín mál, þótt þeir hafi ekki verið hackaðir. Annars þyrfti ORION að hacka sig inn hjá hverju einasta fyrirtæki á landinu sem gæti geymt viðkvæmar upplýsingar og reyna allar aðferðir á hvert kerfi fyrir sig til þess að finna holur.

Þessi aðferð þykir mér mun skynsamlegri, svona vekur hann athygli á þessum málum og í kjölfarið geta fyrirtæki skoðað sín mál og tekið þau alvarlega, mörg fyrirtæki sem hefðu jafnvel ekki dottið í hug að athuga sín mál ef það kæmi ekki í umræðuna. Og huxanlega gæti almenningur gert kröfu um að fyrirtæki hugi að öryggismálum.

Mér finnst þetta flott framtak.

Og já þótt hann prakkarist örlítið í leiðinni, af hverju á að gera mál úr því? Hefur engin keyrt yfir löglegum hámarkshraða eða náð í bíómyndir af netinu?

322 skrifaði:Ég er ekki sammála mörgum hérna inni og kann ekki að meta þann dónaskap sem ORION er veittur.
Finnst ykkur virkilega betra að svona mál séu þögguð niður eða ekki rætt um þau? Haldið þið virkilega að fyrirtæki færu eitt í einu í einhverjar massívar aðgerðir hvað varðar öryggismál varðandi viðkvæmar upplýsingar á tölvutæku formi? Eða yrði bara patchaður sú hola sem yrði fundin og ekkert meira pælt í því?

Ef öryggismál eru svona ábótavant er þá ekki bara best fyrir alla að einhver taki það að sér að draga svona háalvarleg mál í dagsljósið? Bæði til þess að mynna fólk á að fara varlega á netinu og til þess að fleiri fyrirtæki taki það að sér að skoða sín mál, þótt þeir hafi ekki verið hackaðir. Annars þyrfti ORION að hacka sig inn hjá hverju einasta fyrirtæki á landinu sem gæti geymt viðkvæmar upplýsingar og reyna allar aðferðir á hvert kerfi fyrir sig til þess að finna holur.

Þessi aðferð þykir mér mun skynsamlegri, svona vekur hann athygli á þessum málum og í kjölfarið geta fyrirtæki skoðað sín mál og tekið þau alvarlega, mörg fyrirtæki sem hefðu jafnvel ekki dottið í hug að athuga sín mál ef það kæmi ekki í umræðuna. Og huxanlega gæti almenningur gert kröfu um að fyrirtæki hugi að öryggismálum.

Mér finnst þetta flott framtak.

Og já þótt hann prakkarist örlítið í leiðinni, af hverju á að gera mál úr því? Hefur engin keyrt yfir löglegum hámarkshraða eða náð í bíómyndir af netinu?

Hægt að koma alvarlegum öryggisgöllum í dagsljósið án þess að gefa viðkvæmar upplýsingar út varðandi málið, og hvað þá aðferðina sem var notuð líka, tildæmis hægt að segja bara að það sé alvarlegur öryggisgalli sem gefi óprúttnum aðgang að viðkvæmum upplýsingum.

janus skrifaði:Skil ekki alveg mennina hérna inni sem eru bara komnir á háa C-ið. Ef honum er alveg sama, af hverju ætti okkur þá ekki að vera alveg sama?

Ég er bara ánægður með það að hann skuli leyfa okkur að fylgjast með því hvernig lagakerfið virkar í svona málum.

Nú, og ef maður sem nauðgar konu og honum er alveg sama, á öllum þá að vera alveg sama ?

Glæpur er glæpur, veit að þetta er á allt öðru leveli en það þýðir ekki að það meigi brjóta lögin.



Held að aðalástæða þess að menn séu að æsa sig er útaf því að þetta fífl heldur að hann séi eitthvað rosalega töff.

Maini skrifaði:

janus skrifaði:Skil ekki alveg mennina hérna inni sem eru bara komnir á háa C-ið. Ef honum er alveg sama, af hverju ætti okkur þá ekki að vera alveg sama?

Ég er bara ánægður með það að hann skuli leyfa okkur að fylgjast með því hvernig lagakerfið virkar í svona málum.

Nú, og ef maður sem nauðgar konu og honum er alveg sama, á öllum þá að vera alveg sama ?

Glæpur er glæpur, veit að þetta er á allt öðru leveli en það þýðir ekki að það meigi brjóta lögin.



Held að aðalástæða þess að menn séu að æsa sig er útaf því að þetta fífl heldur að hann séi eitthvað rosalega töff.

Ef þessi þráður fer einhvað fyrir brjóstið hjá þér smelltu þá á þennan.
http://mbl.is/" onclick="window.open(this.href);return false;

Það má aldrei brjóta lögin, Enn ég mun "aldrei" fylgja þeim hvað þetta varðar...

Ég er ekki og mun líklegast aldrei vera "töff"

Æj veistu "Arguing with a fool only proves there are 2"

Kveðja. Júlíus örn fjeldsteð - Anti_Töff

Ef að það er engin ástæða til að gera ekki einhvað önnur en að það sé ólögleg þá er engin ástæða til að það sé ólöglegt.
að ég best veit þá olli hann engum skaða með þessu, heldur fann öryggisholu í kerfinu sem að núna er hægt að loka fyrst að það er vitað um hana.

en hinsvegar verður fólk að bera ábyrgð á sjálfusér. ef að fólki langar að versla á internetinu og veit ekkert um öryggi þá verður það bara að taka því. maður uppsker eins og maður sáir.