Škálovatelné nasazení Let's Encrypt
Posted 22. 11. 2015 / By Petr Soukup / Bezpečnost

Let's Encrypt je nová certifikační autorita nabízející HTTPS zdarma a s jednoduchým nasazením. Jednoduché ale jen pokud máte jednoduchý web - například při škálovaném webu je paradoxně nasazení mnohem komplikovanější než už klasických autorit. Pokud ovšem nepoužijete trik!

Read More

Jak lze zjistit heslo k cizímu emailu na Seznam.cz
Posted 11. 10. 2015 / By Petr Soukup / Internet

Seznam.cz v posledních tiskových zprávách (nepřímo) uvedl, že bezpečnost jeho uživatelů pro něj není prioritou a raději se soustředí na vývoj svých aplikací na věštění. Chtěl bych s tím něco udělat a osvědčilo se názorně předvést jednoduchost zneužití, takže si ukážeme, jak lze hravě ukrást účet na Seznam.cz.

V únoru jsem tu předváděl, jak snadno lze zneužít platební kartu na Alza.cz - následně měli zabezpečení vyřešené za týden a s nimi i další eshopy - snad to nyní půjde podobně. V případě Alzy šlo o primitivní pasivní poslouchání komunikace. Tentokrát bude postup trochu složitější, ale o to nebezpečnější. Nebudu se spoléhat na nezabezpečené wifi, ale aktivně útočit na routery u vás doma.

Disclaimer: Budu názorně předvádět krok za krokem, jak ukrást cizí účet. V žádném případě to ale neznamená, že byste postup měli opakovat, protože by to byl trestný čin – to že někdo nechá otevřené hlavní dveře od domu ještě neznamená, že si z něj můžete odnést televizi. V tomto postupu dělám simulaci na svém vlastním routeru, takže nikdo nepřišel k újmě.

Read More

Alza si eshop zabezpečovat neplánuje
Posted 24. 02. 2015 / By Petr Soukup / Eshop

etV neděli jsem psal, jak jde na Alze nakoupit za cizí peníze. Článek mezitím přetiskla Lupa.cz a od Alzy se jim podařilo získat vyjádření. A je to pecka!

Pokud jste nečetli, tak v minulém článku jsem předvedl, jak lze primitivně ukrást cizí účet na Alze, zaplatit jeho platební kartou, převést kredity, získat spoustu osobních údajů atd. Alza k tomu vydala následující vyjádření (převzato z Lupa.cz):

Během včerejšího dne jsme nasadili novou verzi webu, kterou jsme připravovali delší dobu, a která řeší popsaný problém. Přihlášení do uživatelského profilu a nákup tak již probíhá šifrovanou cestou. Šifrovaný web (HTTPS) využíváme a budeme využívat pro sekce Moje Alza, nákupní košík a přihlašovací dialog, kde probíhají zásadní operace s uživatelskými účty. Navíc máme zavedena další bezpečnostní opatření, jako například ověření totožnosti kupujícího při nákupu placeném kartou.
 

Read More

Jak jde na Alza.cz nakoupit za cizí peníze
Posted 22. 02. 2015 / By Petr Soukup / Eshop

etStačí minimální znalosti nebo schopnost postupovat podle jednoduchého návodu a "můžete" si pořídit nový notebook, aniž byste za něj platili. Tohle rozhodně není jen problém Alzy a naprostá většina eshopů má úplně stejnou slabinu. V poslední době tu hodně píšu o důležitosti https a je načase názorně si předvést, proč je to tak moc důležité.

Read More

Optimalizujeme pro rychlost: HTTPS
Posted 23. 11. 2014 / By Petr Soukup / Vývoj

S přechodem na HTTPS je spojen mýtus, že se tím web zpomalí, což ale není pravda. Perfektně je to sepsáno na webu istlsfastyet.com, ale je to poměrně komplikovaná problematika, takže bych tu chtěl udělat alespoň souhrn a obrázkovou ukázku.

Read More

SSL/TLS certifikáty od 99 Kč!
Posted 11. 05. 2014 / By Petr Soukup / Internet

comodo-secure-padlockPokud přistupujete k administraci či jiným citlivým online systémům bez https, tak jste HODNĚ odvážní. Zabezpečené spojení je dnes naprostá nutnost. Odradit vás od tohoto zabezpečení mohla cena, protože certifikáty nejsou nelevnější, ale tomu je konec. Nabízíme důvěryhodné certifikáty od 99 Kč na adrese https://crt.simplia.cz/

Read More

O blogu
Blog o provozování eshopů a technologickém zázemí.
Aktuálně řeším hlavně cloud, bezpečnost a optimalizaci rychlosti.

Rozjíždím službu pro propojení eshopů s dodavateli.