Názory k článku Seznam.cz při registraci sleduje stisky kláves, aby odhalil roboty

ono to není tak jednoduché, musí jednak upravit vzhled přihlašovacího formuláře na všech platformách a na mobilech, musí upravit nápovědu a podmínky služby, musí se upravit manuály pro helpdesk a případně je zaškolit, musí upravit všechny automatizované testy na přihlášení, musí změnit analytiku (obdoba google analytics) a nastavit si nové cíle, k tomu nějaké překlady a ochrany proti robotům, tohle vše musí provést na všech spřátelených portálech, kde je možné se přihlašovat přes heslo atd. Celý tenhle proces musí zvalidovat jednak bezpečnostní tým a jednak spousty dalších testerů a lidí.

Na malém webu to je na pár minut, u velkého, kde již je určitá kontrola kvality to je poměrně dlouhý proces. Aneb jak bys nadával, kdyby jim to nefungovalo na 100 % a nemohl jsi se přihlásit na email, do sklik či kamkoliv jinám?

Chápu tvoji naivní představu, ale realita vývoje bývá někde jinde a není to tolik o programování.

bohužel, z vlastní zkušenosti mohu říct, že nejsou jediní, kdo to dělají. EU řeší cookies a přitom uživatel jde podle podobných údajů krásné rozpoznat napříč weby.

Blokovat, blokovat, blokovat, blokovat.

Proti tomuhle je jednoduchá obrana, stačí aby prohlížeč uživatelské stisky rozložil do pravidelné doby, tím se ale může ztížit odezva webových aplikací. Čeká nás opravdu skvělá doba.

Bude, ale možná vyskočí captcha. Někomu vadí, mně ne (když je čitelná).

Ne, čekal jsem že mi odpoví že na tom pracujou a že funkcionalita bude v Q4 2016

Zase špatně.
Měli na tom už dávno začít dělat.

A ty jsi kdo? CEO Seznamu, že jim chceš určovat co mají dělat?

české banky tyhle údaje neukládají a ani je nesledují.

když jsem schopný snímat biometrická data můžu je snímat kdykoliv a kdekoliv

Jak to technicky dělají? Když v php dostávám text vložený uživatelem v proměnných $_GET a $_POST, nic takového tam nemám.

A co nejprve pořádně číst? Nyní to dělají jen interně a ne u uživatelů. Tudíž je to UOOU šumák.

Spíš by měli zapracovat na dvouf. autentifikaci.
Ale vyrazit z nich odpověď je nad lidské síly. viz moje dnešní konverzace s helpdeskem :-(
Redaktoři Lupy, mohli byste se prosím na toto téma pobavit se Seznamem? Normální uživatel se nic nedozví.

<joke>
Nebo přihlašování přes google account se zapnutou dvouf. auth.
</joke>

Děkuji


12:15helpdesk: Dobrý den, jak Vám mohu pomoci?
12:17já: Dobrý den, rád bych věděl kdy zavedete možnost alespoň nějaké dvouf. autentifikace. Ideálně pomocí SMS, méně ideálně pomocí G. Authenticatoru. Alepsoň jako "optional" když už ne "required" Děkuji
12:17já: V dnešní době je jméno a heslo nedostatečné zabezpečení - viz prolomení účtu B. Sobotky u vás
12:18helpdesk: Aktuálně tyto informace nemám, že by se dvoufázová autentifikace plánovala. Do budoucna to však vyloučit nelze.
12:19já: Prosím o předání dál developmentu jako uživatelský požadavek.
12:20helpdesk: Mohu Váš návrh předat jako námět na vylepšení služby. Nejsem však schopen Vám zajistit zpětnou vazbu.
12:20helpdesk: Mohu pro Vás ještě něco udělat?
12:21já: To je všechno, děkuji
12:22helpdesk: Rádo se stalo. Popřeji Vám pěkný den. Nashledanou.


Já teda hesla generuju nějak takhle:

cat /dev/urandom | base64 - | head -n 25

a pak si náhodně vyberu nějakou část jako heslo a zkopíruju do příslušného formuláře. Znamená to, že tohle u seznamu už nebude možné? Pak jsou to pěkní hlupáci...

Nicméně, nějakou snahu mají. Nedávno se mi u schránky na seznamu zobrazila možnost zadat mobil a další e-mail pro případný zapomenutý heslo.
(pokud je to známo, nebo je to někde v nápovědě, OK, ale myslím, že je to docela novinka...)

Pracovník helpdesku ví zpravidla úplné hovno.

Nicméně zprovoznit dvoufaktor s obyčejným TOTP je triviálně jednoduché. Samotný skript má tak deset řádků a generátory kódů existují pro všechny platformy.

a co bankovnictví ?!?!?!?!?!?!?!

Vždyť ti odpovídali a docela smysluplně? Nebo si představuješ, že ti pracovník helpdesku napíše "Jasně, hned na tom začnu dělat, zitra to bude v prodkuci."? :D

Mimochodem, na SMS zapomeň, to by je stálo strašný prachy, to skoro jistě nezavedou.

Takže měli radši lhát? :D

Tak nějak. A ještě bych doplnil, že by se celá ta opičárna dělala kvůli malému zlomku uživatelů, co jsou to ochotni a schopni používat.

A ještě je potřeba řešit inicializaci toho TOTP - bezpečné předání shared secret. To je pro bezpečnost celého systému kritická část.

Díky. Odhadoval jsem, že by to mohlo být něco podobného. Teď asi začínám chápat, proč některé formuláře nemají rády data dosazena jinak než ťukáním. Už jsem se s tím setkal.

Že by zákazník? Znáte to - takový ten člověk, který je pán a má vždycky pravdu? :P

Tak myslím, že pokud byl opravdu zákazník a ten vývoj si zaplatil, tak by mu to třeba udělali :D

Tydle vojty maj vsichni radi.

Registrační formulář má více kolonek, než heslo. Takže takový slušný uživatel, co nerad píše, ale raději kopíruje, klikne myší do políčka "jméno", stiskne Ctrl+V, pak opustí prohlížeč, zkopíruje vygenerované heslo, aktivuje prohlížeč, klikne do políčka "heslo", stiskne Ctrl+V.
Výše uvedený postup se pochopitelně může v podrobnostech lišit, ale zrovna vložení hesla ze schránky bude mezi neparanoidními pokročilými uživateli (možná protimluv) časté. Nakolik to seznamáci zohlednili, netuším.

Tak já zaplaťpámbu nejsem ani uživatel, ani zákazník, protože by mě ze Seznamu musel trefit šlak. ;)

Ale uživatel samozřejmě *je* zákazník, protože za používání služby platí (ty peníze, za které si firmy kupují reklamu na Seznamu, jsou v konečném důsledku jeho). Bez uživatelových peněz by se šel pást jak zadavatel reklamy, tak Seznam. Seznam i zadavatel reklamy tedy existenčně závisí na penězích (čili na spokojenosti) uživatele. A jak se říká člověku, kterého musíte učinit spokojeným, aby vám dal vydělat? Takovému člověku se říká zákazník. :P