Autor Zpráva
Camo
Profil
Naydar!
Prosím vás, aký je váš názor na prihlasovanie a registráciu cez Facebook?
Myslím, tým klasický scenár, keď sa user prihlási pomocou emailu zaslaného cez FB SDK a ak nieje zaregistrovaný tak ho aj zaregistruje a tým pádom sa z neho stane napr. zákazník v eshope.
To čo mi vŕta v hlave sú vlastne práva, ktoré by mal mať tento user pridelené. Mne to pripadá ako vrchol nezodpovednosti, že niekto napr zaregistruje užívateľa z FB ako zákazníka v eshope. Ja považujem FB z hľadiska bezpečnosti za čistý tunel. Je kopa užívateľov(ako ja napr.), ktorí si s čistým svedomím nechajú uložiť prihlasovacie údaje do prehliadača, lebo mi je skrátka jedno čo sa s mojím účtom na FB deje. Ani by ma nenapadlo sa spoliehať na údaje, ktoré dostanem z Facebooku v nejakej aplikácii. Vy si čo o tom myslíte?
Keeehi
Profil
Camo:
Já v tom problém nevidím. Je důležité zachovat možnost i klasické registrace. Ne všichni mají facebook. No a když máš tyto 2 rovnocené metody, tak už je na uživateli, kterou si vybere. Já ho k používání facebooku nenutím a pokud ho používá pro přihlašování a někdo mu ho ukradne, tak to není můj problém. To je stejné, jako by mu někdo ukradl klasické přihlašovací údaje.
Camo
Profil
Keeehi:
No s tým v žiadnom prípade nesúhlasím. Nemáš ani verifikovaný email, ani nemáš dosah na kvalitu hesla. Ak toto považuješ za rovnocenné, tak ako sorry ale to neberem. Stačí si predstaviť takú situáciu, že niekto v eshope na cudzie meno naobjednáva tovar na dobierku. Kto bude zodpovedný? Ja myslím, že programátor.
Keeehi
Profil
Camo:
Ale já kašlu na to, že má uživatel slabé heslo. Je to jeho problém. Programátor může být zodpovědný tak za sql injection, nebo csrf nebo ukradení session a podobné věci ale rozhodně ne za to, že si uživatel nehlídá svoje údaje. A posledně co jsem se díval, tak facebook email ověřoval, takže verifikovaný je.

Stačí si predstaviť takú situáciu, že niekto v eshope na cudzie meno naobjednáva tovar na dobierku. Kto bude zodpovedný?
I když máš jen klasickou registraci, ovřený máš tak akorát email. Takže na cicí jméno můžeš udělat objednávku i tam.
Camo
Profil
Keeehi:
I když máš jen klasickou registraci, ovřený máš tak akorát email. Takže na cicí jméno můžeš udělat objednávku i tam.
No tak ja si myslím, že medzi heslom k emailu a k FB je u väčšiny ľudí diametrálny rozdiel. U mňa teda určite.

Ale já kašlu na to, že má uživatel slabé heslo.
Daj priestor aj iným, nech sa vyjadria. To nemyslíš vážne čo si napísal...
Keeehi
Profil
Camo:
Daj priestor aj iným, nech sa vyjadria.
Prostor mají, nikdo jim v odeslání příspěvku nebrání.

To nemyslíš vážne čo si napísal
Myslím to naprosto vážně. Každý uživatel má možnost klasické registrace. Nikdo ho nenutí používat facebookové přihlášení se slabým heslem. Když má slabé heslo a přesto mu to nevadí a svobodně se rozhodne že to tak chce mít, já mu v tom bránit nebudu. Proto stejně při reistraci nevyžaduji nějaké silné heslo. Můžu uživateli napovědět a sdělit mu, že heslo které si vybral není zrovna nejlepší, ale když se rozhodne si zvolit za heslo 1234, tak ho nechám. Je to jeho rozhodnutí a jeho zodpovědnost. Každý je zodpovědný za svá rozhodnutí. Nejsme děti ze školky, abychom museli být stále voděni za ručičku.
Camo
Profil
Ty zjavne nechápeš, že mi nejde o usera, ale o prevádzkovateľa eshopu. Usera nikto na zodpovednosť brať nebude.
martin1312
Profil
Camo:
Taktiež nevidím dôvod kontrolovať silu/kvalitu hesla. Je to čisto na užívateľovi, pozná možné riziká a je svojprávny.
Osobne nenávidím, keď mi aplikácia núti heslo minimálny počet znakov alebo použiť veľké/malé písmená. Väčšinou pri tom prehodnotím nutnosť použitia konkrétnej aplikácie a v drvivej väčšine prípadov odchádzam.
Tomáš123
Profil
Camo:
je u väčšiny ľudí diametrálny rozdiel. U mňa teda určite.
Dobré vedieť.

Daj priestor aj iným, nech sa vyjadria.
Súhlasím s Keeehim. Užívateľ si sám môže za problémy spôsobené slabým heslom.

Čo sa týka prihlasovania cez facebook, na stránke by som ho iba spomenul, ale primárny dôraz kládol na vlastný systém. Úroveň zabezpečenia facebooku nepoznám, takže to nebudem komentovať.

Ty zjavne nechápeš, že mi nejde o usera, ale o prevádzkovateľa eshopu.
Ak sa bojíš zodpovednosti za slabé heslá užívateľov, nedovoľ im na prihlasovanie používať facebook. Čo sa tu dá riešiť?
Keeehi
Profil
Camo:
OK, jsou 2 druhy útoků:
1) útok na uživatele - tady jde o to uživateli proniknout do účtu a vytvořit mu škodu třeba tím, že nakoupím v eshopu a k platbě použiju třeba kartu, kterou v tom eshopu má uloženou od posledního nákupu.
2) útok na provozovatele - nejde mi o způsobení škody uživateli, ale chci způsobit škodu majiteli eshopu. Třeba tak, že si nechám poslat zboží na dobírku někam, kde si to nevyzvednu a provozovatel ale bude muset zaplatit poště poštovné.

Jak se mi zdá, tak ti jde hlavně o ten druhý typ. Problém však je, že tento typ vůbec není závislý na způsobu registrace nebo přihlášení. Jde provést ať přihlašování pomocí facebooku implementováno je nebo není.

Nebo to chápu špatně a jde ti o jiný typ útoku? Jestli ano, tak ho prosím popiš.
Camo
Profil
Keeehi:
Stačí si predstaviť takú situáciu, že niekto v eshope na cudzie meno naobjednáva tovar na dobierku.
Áno presne to som mal na mysli čo je v tej vete napísané.

že tento typ vůbec není závislý na způsobu registrace nebo přihlášení.
Ale čo? A ako by si ho dokázal realizovať?
Keeehi
Profil
Camo:
Je přece jedno, jakým způsobem se zaregistruji. Jak v klasickém případě tak i přes facebook si můžu vymyslet falešné jméno a adresu. Nebo jakým způsob dokážeš při klasické registraci zajistit, že si jméno a adresu nevymyslím?
Camo
Profil
Vlastne máš pravdu, overiť si email musím tak či tak preposlaním. To už majiteľovi dôjde, že ho niekto zneužil ak samozrejme nemá k nemu prístup aj útočník.
aDAm
Profil
ty kráááso zajímavý přístup a myšlení....to zda se užovatel přihlásí přes nezabezpečený form někde na webu shopu nebo přes SSL u FB....no ale jinak solidní paranoia tady. Pokud bude chtít někdo zneužít eshop tak jak již bylo uvedeno, není přece problém si udělat fiktivní mail jen pro tento případ, provést objednávku a je to. Co se dá zabezpečit tak přidat ještě třeba ověření tel. ale i to se dá objetí předplacenkou pokud chce někdo vyloženě škodit. Takže se tu kámo rozčiluješ docela zbytečně a zbytečně vymýšlíš teorie o nebezpečnosti oAuth přihlašování. Pro mě jako pro uživatele je 1000x jednodušší pokud se někde dá přihlásit pomocí o auth...nemusím tak dalšímu subjejtu sdělovat nějaký login a heslo, ale stačí mi to jedno
Camo
Profil
aDAm:
No podľa mňa je určite ľahšie ukradnúť identitu z Facebooku ako uskutočniť MI
TM utok ktorý si nadhodil.
Inak by ma zaujímalo, kde sa dá založiť falošný email bez overenia totožnosti.
Tomáš123
Profil
Camo:
kde sa dá založiť falošný email bez overenia totožnosti
Hocikde.
MartinJ
Profil *
Tomáš123:
„kde sa dá založiť falošný email bez overenia totožnosti“
Hocikde.
Ona nějaká emailová služba vyžaduje ověření totožnosti ? Jaká proboha ?
Camo
Profil
aDAm:
Ešte mi prosím vysvetli, čo ti na mojich otázkach pripadá paranoidné?


No neviem prečo som si myslel, že tu existuje niečo ako bezpečný internet aspoň do istej miery. Ale kde vy beriete tú odvahu to odbiť slovami "Toto je fuj to sa nerobí a ty si paranoidný".

Podľa mňa je to zúfalý stav.
aDAm
Profil
oukej, tak pls zkus ukradnout identitu z FB....pak o tom můžeš informovat FB a myslím že bys dostal solidní odměnu...neříkam že to nějak nejde.

Jinak pls jak bylo uvedeno, uveď mailovou službu kde si při vytváření schránky musíš ověřit identitu?
xROAL
Profil
Camo:
kde sa dá založiť falošný email bez overenia totožnosti.
Len pre informáciu, existuje dokonca aj "10 minútová e-mailová služba". Prídeš na stránku, vygeneruje sa ti náhodná e-mailová adresa, ktorú môžeš následujúcich 10 minút používať, ako úplne obyčajný e-mail. Po 10 minútach je e-mailová adresa zrušená a (teoreticky) už nikdy znova existovať nebude.

Tiež by ma zaujímalo, ako je ukradnutie identity na Facebooku (ktorý mimochodom ide cez HTTPS) jednoduchšie, ako si na verejnej WiFi odchytiť nešifrovanú, nezabezpečenú trafiku.
MartinJ
Profil *
xROAL:
Len pre informáciu, existuje dokonca aj "10 minútová e-mailová služba". Prídeš na stránku, vygeneruje sa ti náhodná e-mailová adresa, ktorú môžeš následujúcich 10 minút používať, ako úplne obyčajný e-mail. Po 10 minútach je e-mailová adresa zrušená a (teoreticky) už nikdy znova existovať nebude.

A pokud k tomu navíc použiješ TOR, jsi v podstatě nedohledatelný.
Dan Charousek
Profil
Camo:
Tvůj názor na věc bych nenazval ani tak paranoiou jako spíš přílišnou naivitou. Pominu-li fakt, že většina eshopů umožňuje uskutečnění objednávek bez předchozí registrace, je třeba si uvědomit to, že vytvořit si kdejaký "adfsdfgsgfd@seznam.cz" email ti nikdo nezabrání. S tímto emailem se pak můžeš registrovat jako zákazník "Lorem Ipsum z Dolor sit Ametu", který si objedná balík na dobírku do (řekněme) Prážské 13 v Praze (ulici jsem si právě vymyslel, ale věřím tomu, že i klidně existuje). Otázkou je, proč by tohle vůbec někdo dělal. Že by se někdo bavil tím, že náhodným podnikatelům provozujícím eshopy zaškodí a způsobí jim stokorunové ztráty na poštovném? V tomhle ohledu se již může jednat o paranoiu a nebudu ti ji vymlouvat. Řešením může být omezneím plateb pouze na plateby předem nebo (mám pocit, že to dělá aukro) posíláním identifikačních čísel lidem do schránky. Otázkou je, kolik potencionálních zákázníku tato "bezpečnostní opatření" odradí. Troufám si říct, že víc než počet kolemjdoucích záškodníků, kteří by si objednávali zboží na neexistující jména a adresy. Tudíž bys ve finále IMHO prodělal.
Camo
Profil
Dobre modlime sa aby som bol ja ten naivný aj v budúcnosti.
aDAm
Profil
No a můžeš nám konkrétně popsat čeho se jako bojíš na tom přihlašování oauth/fb/twitter/github etc. ? či nějaká negativa? A co tedy nás v té budoucnosti čeká?
martin1312
Profil
Camo:
Namiesto rozmýšľania nad (ne)bezpečnosťou FB loginu si radšej implementuj HTTPS. Určite sa bezpečnosť zvýši viac, ako pri nepoužívaní prihlásenia cez FB.

Vaše odpověď


Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm: