Názory k článku Český košík: Přes 80 procent e-shopů plně nechrání své uživatele

Zatímco Google podporuje HTTPS, Seznam jej naprosto nezvládá - přechod na něj znamená propad pozic i o desítky míst.
Při redesignu shopu jsem měl v plánu přechod na HTTPS, toto jsme museli odložit kvůli obavám z toho, že Seznam to nezvládá - a on nezvládá, viz. http://fulltext.sblog.cz/2015/07/09/aktualni-informace-o-indexovani-https/

Zákazníci si mohou poděkovat Seznamu za případné zneužití nezabezpečených dat z košíku, kdyby přes něj přestali konečně vyhledávat, byla by situace významně lepší.

vždycky když mi eshop pošle mailem moje heslo zpátky tak utíkám...šokuje mě kolik jich ho takhle má někde v databázi v plaintexu...

čekám kdy se konečně rozšíří virtuální platební karty tzn nové číslo per transakce a ono pořád nic :(

Ono je uplne jedno jak platite, platit predem je v podminkach CR nesmysl predevsim proto, ze teprve po objednani (a zaplaceni) se dozvite, ze skladem neni tak uplne skladem, a ze vam vybrany produkt mozna prijde za 14 dnu, a mozna take neprijde vubec.

Pokud timto flagratnim zpusobem porusi smlouvu nekdo, komu zakaznik jeste nezaplatil, tak pochopitelne objedna jinde a mileho podvodnika posle k sipku.

Smutne specielne vzhledem k tomu, ze pokud si objednate neco kuprikladu na dx, tak to z te Ciny prijde do tydne, a pokud ne, tak bez diskusi a reci vrati penize obratem.

No aby eshop mohl heslo zkontrolovat, musí ho mít uložené.

Kdyby jen v podminkach CR ...
Nakupoval jsem v GB a trvalo to pres pul roku, nez dorazila neuplna zasilka - po vyhruzkach pravnikem a prevzeti pres jinou osobu, ktera tam jela na sluzebku. Nemam iluze.

To není o nějaké ČR ale o lidech. I mimo ČR v takzvaně "vyspělejších" státech se stávají podobné případy. I v ČR je mnoho e-shopů, které uvádějí pravdivé informace a platba kartou není u nich žádný problém. Zrušení zakázky a vrácení peněz na kartu jde udělat obratem.

Hash je taky uložení hesla, většinou v realitě open source eshopů je zahashovaný MD5, a to lze prolomit.

tim myslim diskuzi ukoncime pac na ni musi byt dva

A to je problém presmerovať na HTTPS len pri založení session? Typicky pri prvom vložení tovaru do košíka alebo pri prihlásení registrovaného zákazníka. Seznam Bot sa predsa nebude prihlasovať ani vkladať do košíka pomocou HTTP POST. Nevidím v tom žiadny neriešiteľný problém.

Utíkejte proto, že to poslal plain emailem. Vůbec to ale nemusí mít uloženo ani v plain ani jinak, pokud tím posláním mmyslíte poslat v okamžiku registrace a ne zpětně na vyžádání.

Heslo v eshopu je zbytečnost, když máte možnost vrátit zboží do 14 dnů, nic se vám tedy nemůže stát, a nepošlete-li peníze, eshop vám nic nedodá, objedná-li si někdo na vaše jméno, neprokáže, že zboží dodal vám, použití karty k placení autorizujete přes banku a nebo platební bránu, kde jsou nastaveny zcela jiné bezpečnostní standardy. Je-li heslo zbytečné, tak taky nic nehrozí z jeho prozrazení. Tedy pokud nemáte všude stejné heslo. A za to si můžete sám. Používání hesla v eshopech má jen psychologický podtext, je to de facto součást prodejního působení, které má dodat zákazníkovi pocit bezpečí, je to dáno historicky, kdy ještě byla nedůvěra k internetovému obchodování.

Samozřejmě si klidně platťe předem. Ale pak nebrečte, že vám to někdo kvůli absenci HTTPS přesměruje jinam a přijdete i o zboží i o peníze. To už bude Váš problém. Jediná výměna je pěkně z ruky do ruky, na jiné věci nepřistupuji.

Zpětně vám eshop heslo nemůže poslat, protože ho nezná (bez jeho zpětného prolomení), drtivá většina open source eshopů heslo ukládá do db zakódované pomocí MD5, což znamená, že prolomit lze, ale nejde jednoduše přečíst. Takže zpětně vám ho eshop opravdu poslat nemůže. Jedině ve tvaru například 123xal61716112wh1. Protože takto je uloženo v jeho databázi.

Ty kokso… Takže ti nebude vadiť ak si niekto vyzdvihne tvoj zaplatený tovar alebo si ho nechá poslať na inú adresu? :-)

bavím se o situaci typu kdy vam prijde email typu dobry den vitejte v nasem eshopu bla bla bla vase uzivatelske jmeno a heslo je...

To je spatne protoze ve vetsine pripadu je pak uložené někde v databázi. I ten druhý příklad co jste uvedel je špatně. Heslo se nemá co posílát po http/mailu, jeho hash se má spočítat v browseru a ten pak ať se pošle na server.

já jsem jim to i pred delsi dobou napsal a reakce byla ze to delat https vyhledavani nebudou. Joo to kdyby na tv noha ve zpravach vysla bulvarni zprava typu ze seznam muze za spatne zabezpečení českých webu, tak to zejtra spustí :)

Důležitější než https je informace o tom, jak bude heslo uloženo, totéž pro vyplněné údaje. A to neposkytuje nikdo.

jenomže prave podle jedné statistiky (video na ted.com o heslech)cca 80 procent lidi heslo přepouživa

pokud je takto ulozeno v jeho db, o tom myslim tento thread je

Tak ona to není tak úplně pravda, už to dávno ke kreditce má kupř. Cetelem... Je ale pravda, že klasické banky, kde by to asi ocenilo víc lidí, se do toho moc neženou...

Konzistence by kokos99:

1. HTTPS není potřeba, protože většina lidí se neregistruje a JÁ nakupuju výhradně na dobírku.

2. Pokud platíte kartou, tak nebrečte, až vás bez HTTPS přesměrují jinam a přijdete o zboží a peníze.

:-)))

zkus ghostery. Nedelam si iluze o tom, ze by to bylo 100% soukromi, ale v kombinaci s microblock pozitiva vyrazne prevazuji negativa. Nerikam, ze jsem proti reklame, ale chci si vybrat, co se mi ma zobrazovat. Ne, ze se parkrat pracovne zamotam na webu s pneu a pak mne gumy pronasleduji jeste pul roku...

Na to snad staci hash, ne?

A co jako? Většinou stačí pouze na přihlašovací stránku a ani tam to není potřeba, protože velká většina uživatelů se stejně neregistruje a nakupuje jako host. A i kdyby byl registrován, tak snad nikdo nepoužívám stejné heslo jako na email nebo IB a pokud ano, tak to, že eshop nepoužívá HTTPS a kvůli tomu mu vykradou jeho bankovní účet, je jeho nejmenší problém.

Jsem dement! Děkuji za upozornění. Na dobírku jsem už nenakupoval několik roků.

Tak v dobře naprogramovaném eshopu by to měla být úprava jen na jednom místě. V bastlu za miliony, to zase stojí statisíce :-)

mě to spíše připadá jako obrovský marketingový tah na zakoupení certifikátů při čemž se nejedná o nejmenší částky. Sledování a špjónění pohybu zákazníka přes různé služby kde vám podstrkávají různé reklamy a přeprodávají váš otisk pohybu po internetu třetím stranám za tímto účelem mi příjde daleko závažnější problém než když nakupuji na e-shopu který není pod SSL certifikátem. Udaje které tak může případný útočník získat je tak maximálně adresa dodání která je notabene dohledatelná kdekoliv na internetu a veřejná. Co se týká on-line plateb je zákazník vždy přesměrován na platební bránu banky která by měla být zabezpečena.

Docela mě naštvala Alza, když bez ptaní uložila údaje o kartě. Člověk někde musí zrušit zatržítko, aby to nedělali. 100% není asi nic, radši budu znovu pokaždé zadávat čísla, než čekat kdy jim to někdo ukrade.

To, že ti web pošle heslo, predsa neznamená, že ho má v plaintexte. Typicky pri vytváraní účtu ešte pred vygenerovaním odtlačku hesla, ktoré sa ukladá do databázy, môže web toto heslo poslať na email. Nevidím na tom nič, prečo by som mal niekam utekať…

V databáze môže byť heslo kryptované alebo jeho posolený odtlačok. Rovnako funguje aj posielanie novo vygenerovaných hesiel ak pôvodné heslo užívateľ zabudne. Príde mu na email heslo nové, samozrejme v plaintexte, pričom to ešte nič nehovorí o tom, ako je heslo uložené v databáze.

Jak si prosím někdo vyzvedne někdo můj zaplacený produkt na jiné adrese, když si všechno samozřejmě posílám na dobírku, protože v ČR předem může platit jenom ten dement, který má stejné heslo jak na ten eshop, tak i na IB. To samé platí o nějakém uložení čísla kreditní karty a podobně.

Maximálně tak co mi někdo udělá je to, že jeje doručí na jinou adresu, ale pak si jej taky sám zaplatí a já si ho přinejhorším objednám znova. To je toho.