Názory k článku Mark Risher (Google): Hesla jsou hrozná, ale pohodlná. Budeme je potřebovat stále méně
-
polygon (neregistrovaný)
Ano, současná ochrana je špatná. Především u google. Třeba tak triviální věc, jako pop3/imap připojení nepodporuje TLS, ale jen SSL o kterém se již léta ví, že je nebezpečné a některé emailové klienty takovou volbu nabízí vlastně už jen proto, aby fungoval gmail. Navíc s nutností nastavit explicitně přístup "less secure" aplikací, tedy jakéhosi zbavení se odpovědnosti je to pikantní.
Oauth snad nemá smysl ani rozebírat. Kdo někdy zkoušel použít, tak ví, že bez api napsaném google se prakticky vzato neobejde, consent screen, pokud se podaří jej vyvolat, se ptá na věci, které programátor nežádal, plno bugů včetně memory leaků, atd. Celá léta nahlášené a neopravené.
Nedávný únik dat z plus je už jen třešnička na dortu. -
jkt (neregistrovaný)
S tim TLS vs. SSL nemate pravdu. Rozdil neni mezi samotnymi verzemi sifrovaciho protokolu, ale v tom, jestli se pres TLS rovnou navaze spojeni (tomu obvykle klienti rikaji "SSL"), a nebo jestli se nejprve navaze nesifrovane napr. IMAP spojeni, ktere se ihned, jeste pred prenesenim hesla, povysi na sifrovane spojeni (tomu aplikace obvykle rikaji "TLS", technicky spravny nazev by mohlo byt napr. "STARTTLS" podle toho, jak se to technologicky dela).
Rozdil v bezpecnosti mezi temito dvema metodami neni vubec zadny.
Mate samozrejme pravdu v tom, ze googli terminologie "enable less secure applications" je snaha o vendor lock-in a nahaneni do historicky proprietarnich protokolu (ahoj XOAUTH2).
-
Je fakt, že požadavky na sílu hesla na některých webech jsou úmorné, proč potřebuju silné heslo do nějaké diskuze?
Přitom na druhou stranu jsou věci, kde jde o peníze a zabezpečení je dle mého nedostačující...
Například když platím kartou, může v některých případech obchodník z karty inkasovat další platby aniž by proběhla jakákoliv autorizace z mé strany. Někdy je to pohodlné, třeba pro časté nákupy na Rohlíku, a pokud prodejci důvěřuji nemám problém, ale proč při první platbě nejsem na platební bráně upozorněn, že autorizuju nejen tuto konkrétní platbu, ale i jakoukoliv další. Ideálně jako volba, zda to chci nebo ne.
Nebo slavné 3D Secure, které má podle reklamních řečí banky ochránit kartu před zneužitím. Jenže na kartě se nedá nastavit, aby s ní šlo platit pouze přes platební brány 3D Secure, pokud to platební brána nepodporuje, platí se bez 3D Secure. Takže v případě odcizení karty zloděj klidně může platit na všech platebních branách nepodporující ověření 3D Secure, což je u většiny zahraničních webů. Nejhorší na tom je, nejen že v bance mi do očí tvrdili, že to možné není, ale ta pracovnice tomu řekl bych sama věřila! -
Já jsem to nikdy nikde neviděl, že bych na to byl upozorněn nebo dokonce to mohl odškrtnout. A přitom minimálně Rohlík, Alza, Slevomat a Booking si platby strhávají bez autorizace.
Kdybych alespoň někde v IB viděl se seznam, kdo si takhle může strhávat platby, ale to RB ani Equ nemají a když jsem se ptal v bance, tak na mě koukali jako bych se zbláznil. V RB alespoň řekli, že to nelze zjistit, ale v Equ mi tvrdili, že to není možné, že každá platba se autorizuje. Bohužel jsem sebou neměl NB abych jim to předvedl... -
co vím, tak v UniCredit např. vidíte všechny "pending" transakce srze kartu, i když se zatím nezařadily jako zúčtované na váš účet. navíc pro případ zneužití platební karty je zde již několik let nařízení EU, které nařizuje bankám, aby povinně během 24-48h od zneužití karty kompenzovali klientovi jeho ztrátu do určité výše - nevím ted přesně, ale možná něco okolo 150 EUR.
-
fd (neregistrovaný)
Protoze vy nevite jak to funguje, a banky propaguji neco, cemu sami propagatori nerozumi (v lepsim pripade) v tom horsim totiz verejne lzou.
3dsecure nezajistuje bezpecnost vasich penez, s tim nema zhola nic spolecneho, zajistuje (respektive zlepsuje) bezpecnost obchodnika. Protoze vy jste opravnen libovolnou platbu kartou stornovat (ano, vim jak to nefunguje v nascich luzich a hajicih). Pokud obchodnik ale vyuzil 3dsecure, ma v ruce pomerne dost silny nastroj jak dolozit, ze platbu realizoval opravneny uzivatel karty, coz jinak dolozit nemuze vubec nijak (kartou lze bez problemu zaplatit i jen se znalosti jejiho cisla).
Osobne jsem se s tim, ze by neco vyzadovalo 3dsecure jeste nikdy nesetkal, a to presto, ze karta kterou pouzivam jej ma aktivni.
-
tom (neregistrovaný)
anonano pokud by 3D secure fungovalo takto tak by to i chranilo zakaznika proste platby 3D secure by nemohl zamitnout a tvrdit ze to neplatil on, ale VESKERE platby kde nebylo vyzadovano 3D secure mohl zakaznik bez udani duvodu pozadat o vraceni penez pak by to melo smysl....pak by nevadilo ze nekde 3d secure je a nekde neni....
-
RQW (neregistrovaný)
Částečným řešením proti opakovaným platbám bez vyžádání/ověření je virtuální jednorázová karta (drahé) či alespoň nějaká uzamykatelná.
Způsobuje to potíže u některých služeb (třeba ihned.cz se zamčenou kartou prostě neobjednáte, musíte převodem a nebo nechat kartu odemčenou déle, než byste chtěl). Opruz na n-tou.
-
Ve svem veku uz zacinam mit pocit neustalych Deja-vu, respektive, ze se v IT vynaleza totez pod jinym marketingovym oznacenim a opet se zjisti, ze to neni ono a zase se vynalezne to predchozi.
Panove z Google to evidentne touzi dovest do situace, kdy se nejakym rozumnym zpusobem (treba DH) ustavi kanal k providerovi sluzeb, ten si popovida s HW cipem, ktery vydal uzivateli, zjisti jeho identitu a vsichni budou stastni. Poskytovatel vydela na cipech a prodeji overovaci sluzby, uzivatel bude moct byt hloupy a nic nevedet,... a statni organizace budou take cele stastne, nebot se tim vratime pekne v kruhu k architekture, ktera byla v pocatku mobilnich siti a tak dobre se "vytezovala". Zvlast, kdyz dodnes nikdo nedokaze ve velkem produkovat nic ve fipsove tride 4. To zas bude prekvapenych nadsencu a na druhe strane poplivanych "skarohlidu", kteri ty cool veci berou s velkou rezervou.
-
MoB (neregistrovaný)
To si vždycky takhle přečtu o nějaké novince od Google, vlezu na jejich stránky, a ejhle!
We aren’t in your country yet.
A vlastně to ani nemusí být novinka. V podstatě cokoliv od Google - Pixely, Chromebooky, Chromecasty, Titan key, opravdu cokoliv. Takže f-word-off a vraťte se, až náš trh budete brát vážně :(
-
Martin (neregistrovaný)
Přihlašovací údaje sestávají z jména a hesla. A byl to právě Google, kdo nás svým rozhodnutím připravil o obrovskou část naší bezpečnosti, když jméno nahradil emailovou adresou a ostatní ho následovali. Důsledky jsou fatální a jak ukazuje rozhovor, místo přiznání chyby v Googlu raději vymýšlejí blbosti.
Ostatně v Googlu už dávno levá neví co dělá pravá.. Chodily maily, abych si z iPadu odinstaloval appku pro Gmail, že ji nepoužívám. Proč taky, když nějakej chytrák zakázal zoomování zprávy a já na ta malá písmenka bez brýlí nevidím. Tak jsem ji odinstaloval, abych měl klid. A začaly chodit zprávy, abych si ji nainstaloval.. :-D
ČLÁNKY DO MAILU