Vlákno názorů k článku Zpackaný registr vozidel: Vše podstatné je tajné, aby hackeři nenapadli systém od Mard - Možná je ještě jednodušší si ten vehikl přihlásit...

Možná je ještě jednodušší si ten vehikl přihlásit sám, jen stačí prázdný formulář techničáku od toho ouřady.

Jasně. A ouplně nejvýkonnější bomba je Visual Basic :-) Celé to vlastně spočívá v tom, že překládáním programu se ztratí sousta času. Takže když se kód interpretuje, tak se vlastně šetří čas a vše běží rychleji :-)

Já si myslím, že hádky Céčko, Java, aspéčko nepostihují problém. Ten mají tyto platformy na tu trochu počtem řádků rozsáhlejší "tabulku v excelu" jak tu někdo utrousil, dostatečný. Už proto, že pod tím je databáze a její návrh určuje výkon systému spíše.
A to co se nezvládlo je migrace databáze resp. vyčištění nesmyslů a zjevně ani není vyladěna on-line vazba na jiné systémy, pokud zpomalí nebo vypadnou. A to vypadávání může být více organizační záležitost a věc architektů systému než programátrská.

A jsme zas u toho. Java je výkonnější, než mnoho jiných běžných jazyků. Jen to spousta programátorů dělá úplně špatně...

Asi sa ti v tom ASP.NET nepodarilo urobit ani hello world, ked mas takyto komplex co ?

Ako tak na teba pozeram, tak PHP je vrchol evolucie :)

Ja robim v Jave, ako aj ASP.NET ale ze by ASP.NET bol na tom nejako zle, sa mi nezda

A teraz nieco o vyvojovych platformach....

Spouste operacnich systemu se jevi certifikat Postsignum jako neduveryhodny, to je normalni. Zrovna v tomhle jsou nevinne. Ale asi jen v tomhle.

Tobe se ta technologie proste nezda protoze si myslis ze to neni cool, co ?
Az jednou vyrostes, budes koukat ....

Ne ze bych je chtel nejak objahovat, od toho jsem opravdu daleko. Ale nerekl bych, ze to bude tupa evidencni uloha - nechtel bych delat to napojovani na ostatni systemy statni spravy apod.

No vida, mohu nahlížet i z tepla domova, takže home office to jistí :) Proč lidi stojí fronty na chodbách úřadů, když stačí odchytit úředníka s loginem večer u něj doma ?

V CRV needituju, pouze nahlížím, žádný ceritifikát nemám, pouze odkaz uložený v oblíbených, přihlašovací jméno a heslo - podepsal jsem poučení, že si heslo v IE nemám ukládat do paměti pro další snadný přístup :)

Velmi špatný tip. Pokud by to byly tyto technologie a zkušený dodatel, tak vše běží a není o čem psát.

... máš pravdu!

protože původní unixové řešení na pronajatých okruzích stačila rychlost 19.2 kbps současná vláda migrovala na MS bazmek jedoucí na veřejném internetu s požadavkem min 2Mbps /1 PC.

Proc se produkty MS na profesionalni nasazeni moc nehodi ?
Vlastna uvaha alebo nieco potvrdene ?

zkušební verzi jsme testovali na NB s AMD E450, openSuse 12.1 64 bit, Firefoxem, jelo to bez potíží (v rámci možností toho paskvilu)

No ono tady spise jde o to, co je ten kod stranky zac. Doctype to nespecifikuje, takze co to je? HTML 3.2, kde je input neparovy? XHTML bez uvozovacich namespace, kde by se to muselo takto zapisovat? Nebo dokonce HTML 5? V kazdem ze zminovanych najde W3C validator jinou sadu chyb...

Jejda, to je jiste opatreni proti hackerum.

a RDP je povoleny taky :]
sice 'filtered' ale je tam :]

1.2 Požadavky na SW
• Microsoft Windows 7 Professional CZ + SP1
• internetový prohlížeč Microsoft Internet Explorer 8 a vyšší
• kvalifikovaný certifikát vydaný kvalifikovanou certifikační autoritou v České republice podle Zákona o elektronickém podpisu (č. 227/2000 Sb.) pro uživatele CRV.
• Na stanici bude instalován antivirový program.

Nastavit vyzadovani klientskeho certifikatu by stalo odhadem dalsi 2 mega :-) A jeste by jej musela vygenerovat externi firma.

Jenže původní instrukce byly jiné. Takže se to pro jistotu neimplementovalo.

http://www.asp.net/mvc/tutorials/security/preventing-open-redirection-attacks

Pokud vam namatkou napriklad MySpace nebo eshop Dellu neprijde dostatecne "profesionalni" ... to jsou dva weby na ktere jsem si hned vzpomnel : -)

V technologii problem neni, problem bude v tom kdo a jak ji pouzil.

Pro zajimavost:

Set-Cookie: MDCRV-P-443=R3231822316; path=/
.a=; expires=Tue, 24-Jul-2012 08:27:12 GMT; path=/
Cache-Control: no-cache, no-store
Pragma: no-cache
Content-Type: text/html; charset=utf-8
Content-Encoding: gzip
Expires: -1
Vary: Accept-Encoding
Server: Microsoft-IIS/7.5
X-AspNetMvc-Version: 3.0
X-AspNet-Version: 4.0.30319
X-Powered-By: ASP.NET
Date: Wed, 25 Jul 2012 08:27:12 GMT
Content-Length: 714

200 OK

Jen tak sem strelil do googla, a nejaky bezpecnostni bugy tyhle verze tam sou.

Viz kolega výše. Abyste viděl, jak to vypadá, když je vyžadován klientský certifikát, zkuste to tady:
https://www.czechpoint.cz/czechpoint/protected/

lol ... stejny jako kdyz ma nekdo na webu selfsigned certifikat ... jednoduse jen neni jako "duveryhodny" v prohlizeci. Ale s prihlasovanim to nema nic spolecnyho.

k cemu myslite?

po mě to chtělo potvrdit nedůvěryhodný certifikát postsignum

Žádná java, IIS. Ostatně podívejte se sám do hlaviček: https://crv.mdcr.cz (proč to vůbec je přístupné z venku?).

To je mozny uplne vpohode, znam osobne nemalo podobnych matlalu, kteri se na swych webech prsi jak dodavaji "reseni" na to ci ono, ale nikdo u nich nevi jak to vlastne (ne)funguje.

Docela zive vidim jak to vypada ... ATS dostane nejaky zadani, ale v ramci "utajeni a bezpecnosti" z toho nejakej jejich "specialista" vybere nejakej vycuc a to preda subdodavateli. Ten vycuc samo obsahuje pulku toho co je treba, a subdodavatel totez zopakne svymu subdodavateli ... => pokud na zacatku retezu je zadani, ze chcete trakar, na konci z toho vyjdou sane a "vyvojar" realizuje boby. Pak se tezko helda kde co nefunguje ...

Pracovnici nejsou vybaveni nicim, dokonce jich nekolik pouziva stejny login. A jelikoz nepredpokladam ze by cokoli z toho bylo delsi nez 5-6 znaku, tak to naborit je otazka odpoledne.

Mě nadchlo ve zdrojovém kódu té přihlašovací stránky, že z INPUT udělali párový tag :-)

Osobně nejsem žádný purista a sem tam prohřešek proti standardu je podle mě OK, když to funguje, ale snad by mohli vědět, že [input .... /] je správný zápis, ne?

Jaký certifikát? Žádný certifikát do nevyžaduje.

Já mám za to, že všichni pracovníci jsou pro registr vybaveni certifikátem, Takže ten brute-force by se musel vypořádat i s tím (pokud to tedy na ten certifikát vůbec implementovali)

Článek jsem začal číst. Pak mě zaujal komentář napsaný šedivým písmem. Inu hupsnul jsem na stránku s loginem. A pak mě to trklo. Nikdo si ani nedal práci, aby zasadil logo a ukázal uživateli, kam se vlastně přihlašuje.

Pochybuji, že mají ošetřený brute-force. Tohle by padlo skoro hned. ;)