Škálovatelné nasazení Let's Encrypt
Posted 22. 11. 2015 / By Petr Soukup / Bezpečnost

Let's Encrypt je nová certifikační autorita nabízející HTTPS zdarma a s jednoduchým nasazením. Jednoduché ale jen pokud máte jednoduchý web - například při škálovaném webu je paradoxně nasazení mnohem komplikovanější než už klasických autorit. Pokud ovšem nepoužijete trik!

Read More

Jak lze zjistit heslo k cizímu emailu na Seznam.cz
Posted 11. 10. 2015 / By Petr Soukup / Internet

Seznam.cz v posledních tiskových zprávách (nepřímo) uvedl, že bezpečnost jeho uživatelů pro něj není prioritou a raději se soustředí na vývoj svých aplikací na věštění. Chtěl bych s tím něco udělat a osvědčilo se názorně předvést jednoduchost zneužití, takže si ukážeme, jak lze hravě ukrást účet na Seznam.cz.

V únoru jsem tu předváděl, jak snadno lze zneužít platební kartu na Alza.cz - následně měli zabezpečení vyřešené za týden a s nimi i další eshopy - snad to nyní půjde podobně. V případě Alzy šlo o primitivní pasivní poslouchání komunikace. Tentokrát bude postup trochu složitější, ale o to nebezpečnější. Nebudu se spoléhat na nezabezpečené wifi, ale aktivně útočit na routery u vás doma.

Disclaimer: Budu názorně předvádět krok za krokem, jak ukrást cizí účet. V žádném případě to ale neznamená, že byste postup měli opakovat, protože by to byl trestný čin – to že někdo nechá otevřené hlavní dveře od domu ještě neznamená, že si z něj můžete odnést televizi. V tomto postupu dělám simulaci na svém vlastním routeru, takže nikdo nepřišel k újmě.

Read More

Alza si eshop zabezpečovat neplánuje
Posted 24. 02. 2015 / By Petr Soukup / Eshop

etV neděli jsem psal, jak jde na Alze nakoupit za cizí peníze. Článek mezitím přetiskla Lupa.cz a od Alzy se jim podařilo získat vyjádření. A je to pecka!

Pokud jste nečetli, tak v minulém článku jsem předvedl, jak lze primitivně ukrást cizí účet na Alze, zaplatit jeho platební kartou, převést kredity, získat spoustu osobních údajů atd. Alza k tomu vydala následující vyjádření (převzato z Lupa.cz):

Během včerejšího dne jsme nasadili novou verzi webu, kterou jsme připravovali delší dobu, a která řeší popsaný problém. Přihlášení do uživatelského profilu a nákup tak již probíhá šifrovanou cestou. Šifrovaný web (HTTPS) využíváme a budeme využívat pro sekce Moje Alza, nákupní košík a přihlašovací dialog, kde probíhají zásadní operace s uživatelskými účty. Navíc máme zavedena další bezpečnostní opatření, jako například ověření totožnosti kupujícího při nákupu placeném kartou.
 

Read More

Jak jde na Alza.cz nakoupit za cizí peníze
Posted 22. 02. 2015 / By Petr Soukup / Eshop

etStačí minimální znalosti nebo schopnost postupovat podle jednoduchého návodu a "můžete" si pořídit nový notebook, aniž byste za něj platili. Tohle rozhodně není jen problém Alzy a naprostá většina eshopů má úplně stejnou slabinu. V poslední době tu hodně píšu o důležitosti https a je načase názorně si předvést, proč je to tak moc důležité.

Read More

SSL/TLS certifikáty od 99 Kč!
Posted 11. 05. 2014 / By Petr Soukup / Internet

comodo-secure-padlockPokud přistupujete k administraci či jiným citlivým online systémům bez https, tak jste HODNĚ odvážní. Zabezpečené spojení je dnes naprostá nutnost. Odradit vás od tohoto zabezpečení mohla cena, protože certifikáty nejsou nelevnější, ale tomu je konec. Nabízíme důvěryhodné certifikáty od 99 Kč na adrese https://crt.simplia.cz/

Read More

Jak na digitálně podepisované emaily během dvou minut
Posted 08. 01. 2014 / By Petr Soukup / Internet

Email je neuvěřitelně nespolehlivý komunikační kanál. Nejen že nemáte zaučeno doručení vaší zprávy, ale hlavně ani nevíte, zda vám skutečně píše ten, kdo myslíte. Řešení je přitom jednoduché a jde zařídit během dvou minut.

Read More

Jak jsme testovali zabezpečení
Posted 15. 06. 2011 / By Petr Soukup / Eshop

Před časem jsem měl školit u mého oblíbeného eshopu (toho, o kterém tu píšu pořád) zaměstnance s novým způsobem vyřizování objednávek. Bylo to poprvé, kdy se mi sešli úplně všichni na jedné hromadě (třicet kusů a přitom jich před rokem bylo kolem deseti), tak jsem chtěl využít příležitosti a rovnou provést menší bezpečnostní školení. Ale vykládat takhle nudnou látku místnosti plné ženských bez sebemenšího zájmu o zabezpečení by mělo asi podobný efekt jako dávat Radkovi H. recenzovat iPad. Rozhodl jsem se proto pro menší bezpečnostní experiment - zkusím se co nejjednodušeji dostat do jejich administrace (samozřejmě bez použití našich hesel apod :)).

Read More

Jak je to s tou bezpečností
Posted 28. 12. 2009 / By Petr Soukup / Aktualitky

V poslední době se pořád mluví o zabezpečenosti webových aplikací, serverů, hostingů, eshopů, … Většina lidí ale ani netuší o čem mluví, když situaci komentuje, takže si uděláme bezpečnostní rychlokurz :)

Na začátek ale říkám, že o bezpečnosti dohromady nic moc nevím. Na to jsou jiní. Ale nějaký manažerský úvod snad zvládnu.

Read More

Eshopové polopravdy
Posted 14. 11. 2009 / By Petr Soukup / Eshop

Narazil jsem teď na článek o e-shopech na iDnesu a jako obvykle jsem se u toho krásně rozčílil. Hned se s vámi tudíž musím podělit. Jde o článek Vánoční nákupy přes internet plaťte na dobírku. Nenaletíte.

Celý článek působí dojmem, jako by ho psal řadový zákazník ze svého pohledu a navíc na to dostal dotaci od Apeku.

Read More

O blogu
Blog o provozování eshopů a technologickém zázemí.
Aktuálně řeším hlavně cloud, bezpečnost a optimalizaci rychlosti.

Rozjíždím službu pro propojení eshopů s dodavateli.