forum.odorik.cz

A co kdyby to byla volitelná možnost?

paty07 píše:A co kdyby to byla volitelná možnost?

Dle mého názoru - ANI PAK NE.
Lidé z branže jako banky, IT, operátoři, ... by měli mít jistou zodpovědnost a chránit své laické klienty i proti jejich "vůli", potencionální neznalosti/nezodpovědnosti/hlouposti/...
Přístup k SMS přes WWW by se pro případy typu IB musel nějak extra ošetřit - např. že tyto SMS by takto přístupné nebyly, ALE: nejspíš neexistuje žádná db čísel, z nichž a jen z nichž se odesílají. Např. FIO banka má takových čísel mnoho a stále se objevují nová, ... a bank, kampeliček a jiných finančních či i jiných institucí chránících přístup pomocí SMS jednorázových hesel je ... fůra a stéle je objevují nové a nové.

Tedy čtení SMS přes WWW jednoznačně - NE!

(Leda snad využít faktu, že jednorázová SMS hesla jsou snad vždy velmi časově omezena, takže přístup k SMS se zpožděním min. několika hodin by už mohl být bez rizika. Ale také nemusel! Mohou existovat zaslané kódy s dlouhodobější platností, jejichž použití (dokládající vyjádření vůle majitele tel. čísla) může mít i nedozírné následky (např. uzavření nevýhodné/nevyžádané smlouvy, ...))

Tak ochrana by byla defaultní možnost ne s velkou červenou výstrahou možných důsledků po zprovoznění služby, když takto poučíte klienta, je to už vyloženě na něm, jak se zachová a nemůže brečet, že mu někdo něco neřekl...

Zajímavé téma.
Sám používám Vodafone park a mám povolen přístup k výpisům SMS. Teprve teď mi docvaklo, že tam jsou viditelně uložené i ty autorizační SMSky. SMSky se tam tuším objevují až s nějakým časovým odstupem (netuším zda jsou to řádově minuty nebo hodiny). I tak to může být nebezpečné, zejména pokud jde o nejednorázové kódy a hesla. Sice tam mají minimálně zasílání upozornění, že došlo k přihlášení do Vodafone Parku, ale i tak...

Asi bych se měl zeptat, zda je přihlášení do VF parku nějak ošetřeno proti prolomení hrubou silou, nebo nestandardním aktivitám. Dost o tom pochybuji, když vidím, jak to vypadá po uživatelské stránce.

U VF Parku bych strach neměl, protože se tam příchozí SMS objeví až v momentě, kdy je doručena na mobil. Nikoliv dřív. Takže majitel čísla každopádně ví, že se něco děje.

kapetr píše: Lidé z branže jako banky, IT, operátoři, ... by měli mít jistou zodpovědnost a chránit své laické klienty i proti jejich "vůli", potencionální neznalosti/nezodpovědnosti/hlouposti/...

Inu. Chápu dobrý úmysl pisatele. Nicméně, kdykoli čtu, slyším podobné výroky, ježí se mi vlasy na hlavě, občas i otevírá pomyslná kudla v kapse. Ne, soudruzi, takto opravdu ne. Zodpovědnost profesionála, člověka z branže, se promítá do toho, že laického klienta úplně, pravdivě a srozumitelně informuje - ano, a to i "proti jeho vůli", to jest, když se po informacích sám nepídí. Toť vše - za svá rozhodnutí musí být každý zodpovědný sám. Ne, aby za něj odpovídala strana, vláda, EU, operátor, administrátor... brrrrr.

Pitomec píše:U VF Parku bych strach neměl, protože se tam příchozí SMS objeví až v momentě, kdy je doručena na mobil. Nikoliv dřív. Takže majitel čísla každopádně ví, že se něco děje.

Jo, dozví, ale může být už jenom pasivní divák!

Ano, zaslané SMS dorazí na mobil (pokud není vypnutý, ztracený atd.) Ale spíše jde o to, že ve VF parku mohou být uloženy i dříve zaslané informace (třeba hesla), které nemusí být jen jednorázová (pravda, já tam takové asi nemám). A pokud někdo prolomí přihlášení na VF park (a tady vyvstává otázka, jak to má VF zabezpečeno třeba proti brute force útoku), tak se k takovéto informaci útočník dostane, aniž by měl v ruce tu "autorizační věc" - můj mobil.

Oběť se minimálně dozví, že se děje něco divného - přinejmenším upozornění na přístup do schránky nejde vypnout - ale už s tím nic nenadělá.

Smyslem mého příspěvku bylo upozornit na to, že pokud vám přijde nějaká autorizace na mobil, tak k zamezení jejího zneužití nestačí smazat ji z mobilu.

VF Park není automaticky aktivován k číslu, ale je nutné, aby si ho zřídil dotyčný sám (pokud má zájem) - a pak už je jenom na něm, jestli uložené zprávy maže nebo ne.

Pitomec píše:VF Park není automaticky aktivován k číslu, ale je nutné, aby si ho zřídil dotyčný sám (pokud má zájem) - a pak už je jenom na něm, jestli uložené zprávy maže nebo ne.

Ano, to je pravda.
Teď jsem se prohrábl SMSkami v Parku a zdá se, že např. SMS komunikace s Českou spořitelnou se do něj neukládá (ale možná jsem jen koukal špatně). Ale můj povzdech je platný - žijeme v době, kde člověk ztrácí přehled a povědomí, kde všude se jeho digitální stopa ukládá a jak moc dobře nebo špatně jsou informace v ní dostupné nepovolaným.

Klasická "mentální" past:
- VF park je přeci "jen" brána pro odesílání SMSek, tak proč ho zabezpečovat silným heslem...
- aha, tady si mohu aktivovat i archiv SMS zpráv - proč ne, hurá do toho (zabezpečení slabým heslem ale "zapomenu" změnit)
- potvrzování vstupu do archivu SMS si zvolím bez ověřovacího jednorázového kódu, když už to mám jednou chráněné přihlášením
- koho by napadlo, že autorizační SMS jsou dostupné i z Parku...

Ano, je to hloupá volba slabého zabezpečení uživatelem, ale je to tak snadné do toho spadnout...

jlo píše:

kapetr píše: Lidé z branže jako banky, IT, operátoři, ... by měli mít jistou zodpovědnost a chránit své laické klienty i proti jejich "vůli", potencionální neznalosti/nezodpovědnosti/hlouposti/...

Inu. Chápu dobrý úmysl pisatele. Nicméně, kdykoli čtu, slyším podobné výroky, ježí se mi vlasy na hlavě, občas i otevírá pomyslná kudla v kapse. Ne, soudruzi, takto opravdu ne. Zodpovědnost profesionála, člověka z branže, se promítá do toho, že laického klienta úplně, pravdivě a srozumitelně informuje - ano, a to i "proti jeho vůli", to jest, když se po informacích sám nepídí. Toť vše - za svá rozhodnutí musí být každý zodpovědný sám. Ne, aby za něj odpovídala strana, vláda, EU, operátor, administrátor... brrrrr.

S tím zásadně nesouhlasím.
Já se, ve vší skromnosti, považuji za alespoň průměrně "inteligentního". Pokud mě tedy někdo jasně a prokazatelně varuje a já přesto operaci provedu, tak musím nést plnou zodpovědnost - to je OK.
Ale dnešní doba je složitá, podvodníci zdatní, a proto řada lidí není schopna domyslet vždy všechny důsledky potencionálně nebezpečných věcí, jako je např. tato zde diskutovaná. A nemusí to být papíroví idioti zbavení úředně svéprávnosti. Pro tuto (tvrdím že) většinu je třeba jisté zodpovědnosti ze strany zmíněných profesionálů - provozovatelů služeb, ...

BTW - jaké pak dává varování zde zmíněný Vodafone ? Žádné ? Nebo jen obecné typu: "kdo má přístup k Vašemu WWW účtu může číst Vaše SMS" ? Napadne pak každého i situace kolem autorizačních SMS hesel ?! Je pak takové varování "profesionála" dostatečné ? NE!

Odmítám ideologii vlků a ovcí, kdy je každý odpovědný jen sám za sebe. V občanské společnosti musí existovat zájem a snaha chránit i druhé, zvláště ty slabší. Na tom není nic "soudružského".