» »

EnaA in njihov katastrofalni sistem za odjavo od spam-a

strani: 1 2 »

Lakotnik29 ::

sodeč po temle imajo ISO 9001:2000, oziroma so ga enrkat imeli glede na to da je govora o verziji 2000.
http://www.gambit.si/index.php?option=c...

Torej pol kurca nima z varnostjo podatkov. Pač bullshit kot vse ostalo kar so dosedaj izjavili.

Edit:

Sodeč po temle imajo ISO 9001:2008 in to od leta 2005 naprej, torej tri leta preden je bil standard sprejet.

Tole mal tako po občutku nakladajo.

http://www.enaa.com/CMSLayout1.asp?CMSI...

Zgodovina sprememb…

stb ::

Aljoša je izjavil:

Težava z neposrednim geslom ni toliko zunanja zaščita podatkov pred vdorom, temveč interna. In na to smo pomislili že pred 13 leti, ko smo začenjali.

Aljoša, lahko pojasniš tole, da ne bo kakšnega nesporazuma zaradi napačnih interpretacij?

Aljoša je izjavil:

Gesla so druga zgodba. Na tem mestu lahko napišem le, da jih ne shranjujemo v clear-text načinu. Gre za starejši, nerazširjen sistem, ki zagotovo ni najboljši standard varnosti, je pa dovolj varen.

Dvojni ROT13 morda? :D

Če praktično takoj uspete dostaviti staro geslo v plain text obliki, potem verjemite, da bo gesla znal dešifrirati tudi notranji ali zunanji napadalec.

Primerno za objavo na http://plaintextoffenders.com/

XSS ranljivost pa omogoča tudi krajo piškotkov ... nedolžna povezava.

NeMeTko ::

Sam res... ISO 9001 nima prav nič veze s tem, ali je nek info sistem varen ali ne.

ISO standardi ne nardijo iz slabe firme dobro firmo, kvečjemu predstavljajo orodje, ki pravilno uporabljeno, omogoča dobri firmi, da ohranja nek dosežen nivo.
Vendar pa se podjetje s slabimi proizvodi ali storitvami ravno tako lahko certificira po ISO standardih, pa zaradi tega njihovi proizvodi oz. storitve ne bodo nič bolj dobri ali inovativni, kot tudi ni garancija, da se bo za določene probleme našlo ustrezno rešitev, kaj šele najboljšo možno rešitev.

Z varnostnimi standardi ni kaj dosti drugače. Kdor misli, da nek varnostni ISO zagotavlja, da je implementirana rešitev 'vodotesna', se hudo moti. Standardi so smernice, implementacija smernic pa je odvisna od posameznega podjetja. Smernice lahko implementiraš z dobrimi rešitvami, lahko pa imaš dve levi roki in vso zadevo implementiraš tako, da je vse skupaj ena sama katastrofa.
Pri auditu, te bojo vprašali 'ali si implementiral ____' in če je odgovor DA, se preide na naslednjo točko. Ne poglablja se v to, ktero rešitev si uporabil in kako dobra dejansko je.

para! ::

Men je useen, ampak a sm js les, al se mi samo zdi, da je hashanje in kriptiranje gesel ter preverjanje, če gre za pravi email naslov pri odjavi/prijavi stvar nekaj ur? Zakaj bi firma dovolila,d a se o tem razvije 2 strani dolga tema na najpopularnejšem forumu, fokusiranemu na rečeh, ki jih prodajajo?
Death before dishonor!

Lakotnik29 ::

Predvsem pa ISO certifiat ni nek vseobsegajoč pojem, ampak so posamezni certifikati vezani na posamezna področja. In imet ISO 9001 in se s tem hvalit, ko je govora o informacijski varnosti je enako neumno, kot če bi pilot dokazoval svoje izkušnje z certifikatom za kleklanje.

NeMeTko ::

Po moje manj kot 10% ljudi ve, kaj se sploh skriva izza tistih famoznih ISO certifikatov, ki jih izobešajo kot da so dokaz za to, da so kaj boljši od drugih.

Že za ISO 9001 so toliko časa trobili po medijih, da je to certifikat kakovosti, da so ljudje nazadnje začeli verjeti, da so sami proizvodi kakovostnejši, certificirani. Malo komu pa se v resnici sanja, da se gre zgolj za zbirko nekih pravilnikov, ki urejajo poslovanje podjetja, lahko pa vsebujejo tudi takšne banalitete, kot npr. opis podpisnega lista na katerem čistilka označi, kdaj je nazadnje očistila WC.

@para - če delaš neko rešitev 'na novo', je hashanje res malenkost, saj vse načrtuješ že s tem v mislih. Če pa imaš staro rešitev, kjer je vse neki prepleteno in seštrikano, pogosto tudi po domače naflikano, potem postane zadeva malo kompleksnejša.
Ampak to ni opravičilo, da pustiš potem stvar tako kot je, se zahvališ za obvestilo in kao delaš na tem. Naj je še tako boleče, bi morali stvar začasno blokirati in v nekaj urah napisat zasilno rešitev, ki morda nebi nudila polne funkcionalnosti problematične rešitve (ali pa ročno reševati tovrstne zahteve). Kakorkoli že, ne odobravam, da se pušča odprto varnostno luknjo, samo zato, ker še nimaš rešitve. Vedno se da nekaj improvizirati.

Phantomeye ::

heh, itak je taka panika ZAKAJ je bilo to objavljeno na forumu, zato ker nimajo namena tega popravit :D

No vsaj od spama sem se lahko odjavil, ker link v mailu itak nikol ne deluje :P

NeMeTko ::

Samo res ne vem, v čem je tak problem poštimati vsaj tisti del za prijavo/odjavo od maila.
Dovolj bi že bilo, če bi mail naslove hashali in kot parameter za odjavo uporabili hash kodo naslova, namesto plaintext naslova. Dober programer bi to uredil v dveh urah, povprečen v enem dnevu. Jaz, ki nisem programer, pa si upam trditi, da bi to uredil v enem tednu.

Bo res moral nekdo v roke vzel najdaljšo dostopno listo email naslovov in jo v batchu nafutrat v enaa sistem, da bo naročenih še dodatnih nekaj stotisoč uporabnikov na vse štiri mailing liste? Ko bo enaa.com potem pristal na blokadi vseh znanih spam filtrov, se bodo pa morda zganili, in porihtali, kar bi že zdavnaj lahko?

Sicer me pa zanima, če bi se štelo kot kaznivo dejanje, če bi na enaa.com dodal na mailing liste vse znane naslove zaposlenih v uradu informacijske pooblaščenke. Bi bilo kaznivo, če bi jih naslednji dan prijavil nazaj (če bi se sami odjavili)?

Zgodovina sprememb…

  • spremenil: NeMeTko ()

stb ::

...samo da zgolj hashing email naslovov na strani za prijavo in odjavo ne rešuje originalnega problema (kršenje pravice do zasebnosti in nepooblaščenega prijavljanja na spam), ker enostaven hash znanih email naslovov lahko sproducira tudi napadalec.
Bi bilo potrebno uporabiti še salt ali pa si izmisliti nek enoličen, negovoreč token (npr guid).

Zgodovina sprememb…

  • spremenil: stb ()

NeMeTko ::

Saj nisem trdil, da bi to bila 'končna rešitev' - lahko pa malo zasoliš tisti hash, pa ga ne bo mogel nek napadalec kar tako na hitro sproducirati - se bo mogel že malo bolje potruditi - za razliko od trenutne situacije, ko ni potrebno prav nobenega truda.

Če z dvema urama dela onemogočiš 98+% potencialnih zlonamernežev, je to več kot dovolj dobra začasna rešitev - vsaj za moje pojme.

Zgodovina sprememb…

  • spremenil: NeMeTko ()

Phantomeye ::

check this out. jaz sem ODJAVLJEN od novičarske liste, pa še vedno dobivam te neumne mejle.

Pa mi piše, da sem odjavljen:

Zgodovina sprememb…

NeMeTko ::

Morda je to prvi znak, da 'delajo na problemu'? :P

C=64 ::

ISO 27001 le zagotavlja, da je vodstvo ocenilo in ovrednotilo varnostna tveganja, ter tej oceni prilagodilo procese v podjetju.

Če vodstvo ugotovi, da je shranjevanje plain-text gesel del njihove varnostne politike in zadostuje dobrim varnostnim praksam, razvijalci pa potem to politiko implementirajo, se podjetje lahko mirno certificira za ISO 27001.

borisk ::

Je pa v certificiranem sistemu zelo enostavno odkriti, kdo je odgovoren, ko pride do težav...
Mislim da jim bo to prišlo še kako prav :)

Aljoša ::

Gesla so odslej šifrirana po zadnjih standardih, XSS ranljivost, ki je omogočala krajo piškotov pa odpravljena. Preostali popravek bo zaključen do konca tedna. Še enkrat hvala vsem za sodelovanje.

stb ::

XSS ranljivost na EnaA je še vedno odprta.

EnaA še vedno razkriva ali je posameznik (z znanim naslovom e-pošte) prijavljen na vaš spam in ga je mogoče poljubno prijavljati in odjavljati. Primer.

Šifrirana po katerih zadnjih standardih? ;((

V emailu za pozabljeno geslo sedaj res ni več starega gesla v plain text obliki, ampak povezava z GUID-om. A staro (pozabljeno) geslo kljub temu še vedno deluje.

Zgodovina sprememb…

  • spremenil: stb ()

Aljoša ::

Prejšnji teden so naši razvojniki objavili še zadnji popravek, tako je tudi prijava in odjava na naše e-izdaje odslej varnejša. Hvala!

fosil ::

Pa še ena stvar.
Subjecti v vaših mailih, v thunderbirdu, pogosto zgledajo takole:
=?windows-1250?Q?Kateri_je_tvoj_najljub=9Ai_model??=
To vam tudi ni ravno v ponos.
Tako je!
strani: 1 2 »


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

EnaA.com email naslovi pridejo spammerjem v roke

Oddelek: Kaj kupiti
7707 (574) Furbo
»

Varnost nekaterih spletnih trgovin

Oddelek: Omrežja in internet
442073 (993) BigWhale
»

Enaa, po e-mailu so mi ponudili kodo za 2% popust - Vaša mnenja o tej firmi?

Oddelek: Kaj kupiti
61113 (1017) Zheegec

Več podobnih tem