Hirdetés

üzenetek

hozzászólások


tomazin
(PH! kedvence)
Blog

Feléig bírtam olvasni, utána a bullshit-o-meter már az idegi károsodás veszélyét jelezte.
De lényeg, hogy elvtársak nem a zsemle kicsi, hanem a pofátok nagy. A rencer jó.


muszurkefal
(fanatikus tag)
Blog

Megnyugtató, hogy "az elmúlt pár nap tapasztalata alapján[...] az elfelejtett jelszavakat már nem egyszerű szövegként küldi ki a rendszer.
Már alapból sem úgy kellett volna, szerencsétlenek :W
Jó kezekben vagyunk :C


lev258
(PH! kedvence)
Blog

Rendszerszintű támadás?
Inkább örülnének, hogy páran veszik a fáradságot tesztelni a rendszert és jelezni a (súlyos) hibákat, ha már azok, akiknek fizetnek ezért, nem tették meg.


aprokaroka87
(PH! kedvence)
Blog

"ilyen például, hogy az elfelejtett jelszavakat már nem egyszerű szövegként küldi ki a rendszer."

Na neee...basszus ez annyira amatőr hogy már fáj,mármint hogy a szöveges fájl megoldásban a password küldés

Az egész egy trágyadomb...

[ Szerkesztve ]


Cifu
(PH! nagyúr)
Blog

Hiába no, a T-Systems érti a dolgát, nem véletlenül kell jól megfizetni őket. :D

[ Szerkesztve ]


Degeczi
(PH! nagyúr)

"az elfelejtett jelszavakat már nem egyszerű szövegként küldi ki a rendszer"

Ez komoly?! A T-Systems képes volt egy olyan rendszert összehozni, ami korábban (tán még most is) szövegesen tárolta a jelszavakat? :Y
Hiszen másként nem küldhették volna ki korábban szövegesen...


muszurkefal
(fanatikus tag)
Blog

Vissza akartam szerkeszteni, hogy a nagy nevű T-Systems munkája, de lejárt az idő :P


bzolika10
(tag)
Blog

Le sem tagadhatnám hogy a T keze is benne volt a dologban.


defi
(tag)

"Gyakornok projekt"


-szp-
(senior tag)

A kosárértéket felhasználói oldalon adja össze a rendszer, az ellen indult eljárás, aki ötven forintért vette a 10 ezres havibérletet.
A hackerek butaságát azzal támasztotta alá a BKK, hogy aki ezt a hibát találta, a no-reply címre küldte el az aggályait.


muszurkefal
(fanatikus tag)
Blog

Azt sem értem, hogy mi alapján indul eljárás ilyen esetben. Mi van, ha én szimplán csak azt hittem, hogy leárazás van? ;]
Nehogy már az ő igénytelenségük és pontatlanságuk miatt még engem büntessenek meg...


Stauffenberg
(PH! nagyúr)
Blog

Szerintem azokat is fel kellene jelenteni, akik lefikázták a rendszert. :)


pitiless
(fanatikus tag)

Ezek szerint szerver oldali validációról nem hallottak...


sasNAXO
(kvázi-tag)

"(...)ilyen például, hogy az elfelejtett jelszavakat már nem egyszerű szövegként küldi ki a rendszer."
Ez oké, és hogy tárolja? ;]


ztoldy
(senior tag)

Tetszik, hogy nem számítottak ekkora rohamra.

Mit gondoltak? Hogy a 21. században mindenki a papír bérletet várja minden hónapban, hogy sorba lehessen állni az automata előtt vagy a pénztárnál?

Sejteni lehetett előre, hogy lesznek problémák és ez a rendszer egyáltalán nem felhasználóbarát.


Kékes525
(PH! félisten)

"a rendszer a támadások ellenére biztonságos."

Akkor, amikor pár óra alatt feltörték? Röhej. :DDD


Matada2.3
(PH! kedvence)
Blog

Nem baj, innen szép nyerni! :D Szerintem a mostani rendszer nem is lesz végleges, csak valami áthidaló megoldás a Rigóig. Túl sok a logikátlan és kompromisszumos megoldás.


Lortech
(PH! addikt)

Ja, legalább a plaint text tárolt jelszavakat lehet majd könnyen migrálni bármilyen új szekuricsi sémára.


-szp-
(senior tag)

Mondjuk nehéz jóhiszeműséget feltételezni egy devtools értékátírás mögött, de biztos van olyan ügyvéd aki kimagyarázza :P


juliabrilke
(PH! kedvence)

Gyakornokok vagy szakképzett szakemberek kapták meg ezt a projektet a T-nél?
Mind a kettő nagy blama, de legalább a gyakornokokra rá lehet fogni, hogy nem volt elég a szakmai tapasztalat. :U


aprokaroka87
(PH! kedvence)
Blog

Értem én hogy a támadók....
Viszont a fejlesztés során olyan biztonságot éríntő hibák merűltek fel,hogy az eleve teret adhat támadásoknak.

Tehát én ez esetben azokat kellene feljelenteni akiknek a felelőssége lett volna az hogy ilyen hibák ne legyenek.

Nem tudom kik fejlesztették...de az biztos hogy kontárok.


muszurkefal
(fanatikus tag)
Blog

Aki a bérleten akar spórolni, biztos van pénze ilyen ügyvédre :DD


Alg
(PH! kedvence)
Blog

Persze, az elektronikus rendszernek valamikor 2005ben kellett volna elindulni. Szinte biztos hogy az akkoriban jó drágán megvett beléptetőkapuk és egyéb hardverelemek valami raktárban porosodnak még most is, és az úk (RIGO) projekthez nem lehet majd felhasználni.

Aztán jöttek a BKK automaták, amik az utóbbi 20 év legjobb fejlesztése szvsz, de csak papírjegyet adnak, pedig akkor lett volna lehetőség teleszórni a várost chipkártyás-csippantós rendszerű jegyek kiadására is képes gépekkel.

Most meg jön ez az... izé

Aztán ha egyszerm ajd valamikor tényleg lesz egy rendes megoldás, a fentieket minde lehet kidobni a kukába, és újra megvenni-lefejleszteni mindent. :W


oriic
(HÁZIGAZDA)
Blog

Megy az erőltetett magyarázkodás. Kíváncsi vagyok mit szólnak majd a népek, ha a VB és a Forma 1 után teljesen véletlenül lelövik majd az egész rendszert. Bár gondolom bemagyarázzák majd azzal, hogy túl sok támadást érte őket és inkább leállítják a projektet. Ahelyett hogy bevallanák, hogy az egész móka a VB miatt lett bevezetve mocsok sok pénzért.


Dezsike
(tag)

A böngészőprogram legális funkciója volt használva, így elvileg büntetni nem lehet érte. Akkor lehetne, ha a szerverre hatol be és ott módosítja az árakat, generál ingyen bérletet, lementi az adatbázist, stb. mivel a behatolás bűncselekmény. Itt szó sincs behatolásról, a szerver várt egy értéket a klienstől, megkapta, feldolgozta és véghezvitte a tranzakciót. A felhasználó akár a személyi számához, e-mail címéhez is beírhat hülyeséget, a szerver dolga kiszűrni, ha hülyeséget kap.


aprokaroka87
(PH! kedvence)
Blog

Én nem vagyok fejlesztő...de azt tudom hogy jelszót azt titkosítva tárolunk le.

Az e-mail-ben elküldöm a jelszót sima text formátumban...az arra utal hogy ott iszonyatos hiányosággok vannak IT Biztonság terén.


hemaka
(PH! nagyúr)

kibertamadas, roflmao


muszurkefal
(fanatikus tag)
Blog

Igen. Nem. Igen, de az nem úgy vót.


flimo
(őstag)

Ezt a pofátlan, inkompetens, pökhendi bandát. Ezek után bármilyen állami szolgáltatást fél évnél előbb használni indulás után csak börtönbüntetés kockázata mellett :C


ALBY
(senior tag)

én ezeknek egy nyers kamu email címet sem adok meg,
inkább veszek papír fecnit


schawo
(Jómunkásember)
Blog

************ **************** *********** ***************** *************** Ide képzeld el a legdurvább anyázást

De nem állítom róla, hogy ez egy seggfej, egy inkompetes barom, egy gerinctelen féreg, mert nem ismerem személyesen, így nem tudhatom, hogy tényleg az-e.


Cathfaern
(PH! nagyúr)
Blog

Durva hiányosság, de azért ne próbáld már megmagyarázni, hogy ez teljesen legális. Nem attól lesz legális vagy nem legális valami, hogy illegális vagy nem illegális eszközt használsz a cselekmény véghezviteléhez. Ilyen alapon ha van fegyvertartási engedélyed, akkor nyugodtan lelőhetsz bárkit? :)


cinemazealot
(PH! addikt)
Blog

Én úgy olvastam, hogy a T-Systems fejlesztette, nemcsak üzemelteti. :U


Robaj
(PH! addikt)

Webprogramozóként ennyi tudok mondani: :DDD :DDD :DDD :W :W :W :O :O :O

[ Szerkesztve ]


hemaka
(PH! nagyúr)

Jesszus, rosszabb a helyzet akkor, mint gondoltam. :DDD

[ Szerkesztve ]


Elrood
(őstag)
Blog

Helló Robaj!

ON: az a vicces, hogy már 10 évvel ezelőtt adatbázisos órán a fejünkbe verték, hogy nem tárolunk jelszót plain text-ben.

az adatbázis megsemmisítésére irányuló JavaScript parancsokat próbáltak végrehajtani a felhasználók
SQL injection lehetőségét is benne hagyták a kódban? Szuper.

Meg azt mivel magyarázzák, hogy egy user simán megkapta az admin jelszót? [link]

Eddigi hírekből süt, hogy hirtelenjében összetákolt rendszerről volt szó.

[ Szerkesztve ]


aprokaroka87
(PH! kedvence)
Blog

Igen...de nyilván ott is van valami feljesztést "felügyelő" vezető hagy hasonló.

Persze ha az a vezető mondjuk 0 szinten ért az informatikához...az meg megint a T-System hibája.

Nem tudom hogy mi és hogy zajlik ott, de egy normális programozó tudja hogy jelszavat nem küldünk el e-mail-ben,tehát amin dolgozik annál is érvényesűlnie kell ennek.


xray_
(lelkes újonc)

Ezt sok mindenre rá lehet húzni:

Btk. 423. §.

(1) Aki

c) információs rendszerben lévő adatot jogosulatlanul vagy jogosultsága kereteit megsértve megváltoztat,
.....
vétség miatt két évig terjedő szabadságvesztéssel büntetendő.
.....
(3) A büntetés két évtől nyolc évig terjedő szabadságvesztés, ha a bűncselekményt közérdekű üzem ellen követik el.

E § alkalmazásában adat: információs rendszerben tárolt, kezelt, feldolgozott vagy továbbított tények, információk vagy fogalmak minden olyan formában való megjelenése, amely információs rendszer általi feldolgozásra alkalmas, ideértve azon programot is, amely valamely funkciónak az információs rendszer által való végrehajtását biztosítja.


joey04
(Jómunkásember)

Ezt a hazug bandát. :O


Robaj
(PH! addikt)

Helló! :) Tetszett a matek feladat megoldó progi :)

ÁÁÁ minden kimagyarázható ezzel: Nem rendeltetésszerűen használták a rendszert :)
Minden más hack, mert nem ezt kellett volna csinálnod.

"Eddigi hírekből süt, hogy hirtelenjében összetákolt rendszerről volt szó."
Ilyen hibákat egy tapasztalatlan programozó szokott elkövetni, aki soha nem csinált még komoly weboldalt / rendszert (és CMS rendszeres weboldalak / modulok telepítése után programozónak mondja magát)

A szűk határidőre nem lehet fogni a koncepcionális hibákat.

Nekem a személyigazolvány regisztráció tetszik user ID-ként:
- bárki, bármilyen személyit számmal regelhet, után más azzal már nem
- pár óra alatt lehet egy robot programot készíteni, ami beregel 6 karakter + 2 szám kombinációval személyi számokat -> sakk, matt :)

És nem is kell hackelni hozzá, csak elgépeli valaki a sajátját, és más már nem tud regelni vele :)
Tudom, ráfogják, hogy ez meg hivatalos irattal való visszaélés, de tudjuk: minden ember tökéletes, sosem gépel el semmit :)

@aprokaroka87: kb. 2 órába telik leprogramozni a plain text jelszókiküldéshez képest egy jelszóváltoztató linket + mögé egy oldalt eszkábálni

[ Szerkesztve ]


Rive
(PH! kedvence)
Blog

Az mennyit ér, ha valaki közérdekű üzem működését totális alkalmatlansága okán sodorja veszélybe :F


Cathfaern
(PH! nagyúr)
Blog

Ha meghackelik a rendszert, leállnak a buszok, vagy mire gondolsz? :) Itt legrosszabb esetben is csak gazdasági kár keletkezik.


cinemazealot
(PH! addikt)
Blog

Szerintem Rive a BKK és a T-Systems jelenlegi illetékeseire gondolt, akik totális alkalmatlanságukkal nemcsak magát a rendszert, de a rendszer felhasználóinak személyes adatait is veszélybe sodorta. :((( Az pedig már nem csak gazdasági kár.


Elrood
(őstag)
Blog

Már nem dolgozom ott, hétfőtől új helyen. :)

Akkor módosítom az előbbi kijelentésemet azzal, hogy:

Volt rá egy összeg, szépen leszedte mindenki róla a maga sápját aztán maradt valami picurka és ez a picurka összeg csak ilyen felkészültségű csapatra volt elég.

[ Szerkesztve ]


Cathfaern
(PH! nagyúr)
Blog

Jogos, de az meg ahogy írod is adatbiztonság. De akkor se került semmi "közérdekű üzem" működése veszélybe.


SunyaMacs
(fanatikus tag)
Blog

Meg az e-mailt és a jelszót is GET requestben küldi el.


akom
(senior tag)


Rive
(PH! kedvence)
Blog

A BKV, mint közérdekű üzem ezt az izé elektronikus jegyrendszert is magában foglalja (elindítása óta).

Sz'al nem csak arról szól a 'működés', hogy gurul-e a busz.

üzenetek