konzultace pro ČT ohledně bezpečnosti webu Sčítání

[Marcel.Kolaja]

IMHO by bylo vhodné, aby se mu (viz příloha) nějaký odborník z ČPS ozval.

http://pooh.cz/pooh/a.asp?a=2017001


Díky!

[Ondrej.Profant]

Problém je, že nic nezvěřejňují - "kvůli bezpečnosti". Čili můžeme jen vařit z vody.

Navíc se blbě popisuje lidská chyba, která zde bude přitomna v hodně instancích. (viz Francie, kde při nasazování cenzury pro jendoho z velkých operátorů nechal na serveru v nějaké klíčové aplikaci default heslo)

Co mě zaujalo je, že mají nějaké "supertajné místo", kde mají "superzabezpečení" a nechají si tam pobíhat štáb TV Nova, který si to vše natočí (po tom, co zdůrazní jak je to vše tajné). Reportáž TV Nova byla někdy v minulých dnech ve zprávách. To je docela viditelná nekonzistence.

[Lukas.Findeis]

No ale vždyť toto všechno je také relevantní odpověď/konzultace. Jde o to, že s novináři musíme pracovat. Musíme systematicky vytvořit model, že když budou něco potřebovat z oblasti, kterou se zabýváme, tak se pro expertízu obrátí na nás.


Zdraví

[Roman.Kucera]

V poctatě jde jen o to, vysvětlit, co popsal DD.

[jzvc]

jj, jde o vysvetleni jako funguje xss, jaky to sebou nese rizika, pripadne jak se to da/neda zneuzit.

Ovsem pozor, vyhnete se laskave propagande, specielne na PN se v posledni dobe neobevuji absolutne zadna fakta, ale je placy.

V kazdym pripade bych kladne ohodnotil to, ze to obratem zacali resit a ze nemlzili ze se "nic nedeje", na druhou stranu bych se nebal sepsnout realizatore webu - za takovy prachy by ten web mel byt 100% a predevsim by se mel uz nekolik mesicu testovat.

BTW: Main webu csu je az na jeden alt validni.

Edit: https://secure.wikimedia.org/wikipedia/ ... _scripting myslim ze to neni zas tak slozity, aby odkaz nestacil, samo osobni pokec neni od veci.
Edit2: K moznostem zneuziti asi tolik, nekdo by mohl ziskat cislo "vaseho" formulare, a vyplnit ho za vas (tedy nejspis nic, co by vam nejak vadilo ;D ). To je primarni riziko. Sekundarni by mohlo byt (a tohle je spekulace) ze se to nekde nekam ulozi (ten podvrzeny vstup), pak si to nekdo s prislusnymi pravy zobrazi a pokud jako utocnik budu znat strukturu dat, tak bych se k nim ciste teoreticky moh dostat. Tohle by ovsem vyzadovalo znalosti na urovni vyvojare/administratora te aplikace.

Jinak klasika, neosetreny vstupy jsou v dnesni dobe standardem ... :/