Witam.
Jestem sobie na stronce "Kup bilet" f-my Air Polonia.
(www.airpolonia.com.pl KupBilet itd...)
Formularz zapewnia o 128b. szyfrowaniu SSL, prosi mnie o podanie numeru
karty kredytowej, a nie świeci się żadna kłódka...
W tym samym czasie, na tej samej przeglądarce przy otwarciu np. strony
logowania w mBanku kłódka jest jak trza...

Na dowód screenshoty (gif-y po ok 40kB każdy):
http://republika.pl/bzdreg/img/airpol.gif
http://republika.pl/bzdreg/img/mbank.gif

Czy ja może czegoś nie wiem (nie rozumiem), czy ktoś tu ściemnia?
Jak to jest z tym szyfrowaniem?


--

Thanks. Regards. bzd.

do góry

bzdreg wrote:
> <...>
> Czy ja może czegoś nie wiem (nie rozumiem)

masz rację, nie rozumiesz;
strona z formularzem nie musi być szyfrowana - nie ma na niej żadnych
poufnych danych, dopiero jak wyślesz przeglądarka (może) pokaże kłódke.
nie musi, bo wynikiem szyfrowanego zapytania może być przekierowanie do
nieszyfrowanej strony.

jak chcesz mieć pewność zobacz czy jest na stronie
<form action="https://...


--
rufio.pzdr();

do góry

Użytkownik "ruf10" <r...@o...nospam> napisał w wiadomości
news:4145abb4$1@news.home.net.pl...
> bzdreg wrote:
> > <...>
> > Czy ja może czegoś nie wiem (nie rozumiem)
>
> masz rację, nie rozumiesz;
> strona z formularzem nie musi być szyfrowana - nie ma na niej żadnych
> poufnych danych, dopiero jak wyślesz przeglądarka (może) pokaże kłódke.
> nie musi, bo wynikiem szyfrowanego zapytania może być przekierowanie do
> nieszyfrowanej strony.
>
> jak chcesz mieć pewność zobacz czy jest na stronie
> <form action="https://...

1. Dziękkuję za objaśnienie. Rozumiem. :)
Tylko - że to troszkę do bani, jeśli juzer nie widzi, czy strona jest
naprawdę szyfrowana :(
Dla mnie istotne jest, czy dane z formularza zostaną przesłane w połączeniu
szyfrowanym - wolałbym tę kłódkę widzieć zanim numer karty wyślę w świat.

2. Nie ma <form action="https...
Jedyne "https" na tej stronie jest zdaje się "w moją stronę", przed
"wyślij" - ale może to już jest to, o czym piszesz, tylko troszkę inaczej:
<iframe frameborder="0" marginwidth="0" marginheight="0" scrolling="auto"
src="https://www.booksecure.net/AirPolonia/Criteria.
aspx?lang=pl"
name="booking" width="780" height="1200" marginwidth="0" marginheight="0"
align="left" frameborder="0">IFRAME here !</iframe>

Tylko w takim razie dlaczego nie ma kłódki?
(Tzn sam sobie odpowiem - pewnie dlatego, że szyfrowana jest tylko ramka, a
nie strona - ale problem nr 1. pozostaje: ja, juzer, chcę widzieć kłódkę
_zanim_ wklepię numer...)


--

Dziekuje. bzd.

do góry

bzdreg wrote:

> 2. Nie ma <form action="https...
> Jedyne "https" na tej stronie jest zdaje się "w moją stronę", przed
> "wyślij" - ale może to już jest to, o czym piszesz, tylko troszkę inaczej:
> <iframe frameborder="0" marginwidth="0" marginheight="0" scrolling="auto"
> src="https://www.booksecure.net/AirPolonia/Criteria.
aspx?lang=pl"
> name="booking" width="780" height="1200" marginwidth="0" marginheight="0"
> align="left" frameborder="0">IFRAME here !</iframe>

no to przejrzyj źródło ramki

> Tylko w takim razie dlaczego nie ma kłódki?
> (Tzn sam sobie odpowiem - pewnie dlatego, że szyfrowana jest tylko ramka, a
> nie strona - ale problem nr 1. pozostaje: ja, juzer, chcę widzieć kłódkę
> _zanim_ wklepię numer...)

nie ma problemu - można zaszyfrować strone z formularzem a dane wysłać
niezaszyfrowane, po czym przekierować na strone zaszyfrowaną.
efekt= kłódka jest a dane idą otwartym tekstem :D


--
rufio.pzdr();

do góry

bzdreg wrote:

> 1. Dziękkuję za objaśnienie. Rozumiem. :)
> Tylko - że to troszkę do bani, jeśli juzer nie widzi, czy strona jest
> naprawdę szyfrowana :(
> Dla mnie istotne jest, czy dane z formularza zostaną przesłane w połączeniu
> szyfrowanym - wolałbym tę kłódkę widzieć zanim numer karty wyślę w świat.

I to jest niestetu grzech Microsoftu - zamiast wyedukowac ludzi na czym
polega szyfrowane polaczenie, wmawia im ze jak "jest klodka" to jest
bezpiecznie a jak nie ma - to niebezpiecznie. Ech....

Mozna poprosic airpolonia o dodanie gifa: <img src="klodkassl.gif"> i
juz userzy beda szczesliwi ;)

> nie strona - ale problem nr 1. pozostaje: ja, juzer, chcę widzieć kłódkę
> _zanim_ wklepię numer...)

Przy bankomacie rowniez?

Miko

do góry

Jednak autor wątku ma rację. Airpolonia rzeczywiście 'ściemnia'.
Faktem jest, że stosują szyfrowanie przesłanych danych, ale robiąc
to w ten sposób niewiele zabezpieczają. Jeśli strona z formularzem
jest niezabezpieczona SSL-em to nie mam pewności czy wypełniam go na
prawdziwej czy podstawionej stronie. I nawet gdy w 'action' jest
'https://' to i tak nie mogę mieć pewności, że zostanę prawidłowo
przekierowany, bo nie wiem czy certyfikat na docelowej
stronie jest poprawny. Odwrotnie, gdy strona z formularzem jest
szyfrowana i uwierzytelniona to jestem pewien, że łączę się
z właściwą stroną airpolonii i (hipotetycznie) mam do nich
zaufanie, że strona docelowa formularza również będzie szyfrowna.
--
m.

do góry

"bzdreg" <b...@n...com> wrote in message
news:ci4ben$88e$1@news.onet.pl...
>
> Tylko w takim razie dlaczego nie ma kłódki?
> (Tzn sam sobie odpowiem - pewnie dlatego, że szyfrowana jest tylko ramka,
a
> nie strona - ale problem nr 1. pozostaje: ja, juzer, chcę widzieć kłódkę
> _zanim_ wklepię numer...)
>

Nie ma problemu.
https://www.booksecure.net/AirPolonia/Criteria.aspx?
lang=pl klikasz i
widzisz...

Maciej

do góry

bzdreg wrote:
> Witam.
> Jestem sobie na stronce "Kup bilet" f-my Air Polonia.
> (www.airpolonia.com.pl KupBilet itd...)
> Formularz zapewnia o 128b. szyfrowaniu SSL, prosi mnie o podanie numeru
> karty kredytowej, a nie ?wieci si? ?adna k?ódka...
> W tym samym czasie, na tej samej przegl?darce przy otwarciu np. strony
> logowania w mBanku k?ódka jest jak trza...
>
> Czy ja mo?e czego? nie wiem (nie rozumiem), czy kto? tu ?ciemnia?
> Jak to jest z tym szyfrowaniem?

Formularz faktycznie jest wysyłany via ssl na strone securebook.net
(cholera ci wie co to jest) ale co śmieszne zwracany jest w formie nie
kodowanej (w przypadku błedu w źle wypełnionych danych).
Co powoduje, że wykonywanie transakcji przy pomocy strony airpolonia.com
jest ryzykowane, w momencie gdy ktoś może nasłuchować ruch z naszego
komputera (sieci osiedlowe, wirus itp itd).

Zresztą airpolonia pisze jest "zabezpieczone" a nie "bezpieczne" ;)

Marek Wawro

do góry

MiKo napisał(a) [9/13/2004 5:26 PM]:

> bzdreg wrote:
>
>> 1. Dziękkuję za objaśnienie. Rozumiem. :)
>> Tylko - że to troszkę do bani, jeśli juzer nie widzi, czy strona jest
>> naprawdę szyfrowana :(
>> Dla mnie istotne jest, czy dane z formularza zostaną przesłane w
>> połączeniu
>> szyfrowanym - wolałbym tę kłódkę widzieć zanim numer karty wyślę w świat.
>
> I to jest niestetu grzech Microsoftu - zamiast wyedukowac ludzi na czym
> polega szyfrowane polaczenie, wmawia im ze jak "jest klodka" to jest
> bezpiecznie a jak nie ma - to niebezpiecznie. Ech....

Nie masz racji. "Kłódka" (na ramce poza stroną) to sposób, w który przeglądarka
informuje, że połączenie jest szyfrowane, przesłane zostały niezmienione dane od
tego nadawcy co trzeba, certyfikaty zostały sprawdzone itp. Jest to dużo więcej
niż tylko fakt, że wysyłka będzie zaszyfrowana.

Grzechem Microsoftu jest jedynie to, że w jego oprogramowaniu zdarzają się błędy
(implementacji i konstrukcji) umożliwiające obejście tych zabezpieczeń i
wyświetlenie "kłódki" mimo wszystko.

> Mozna poprosic airpolonia o dodanie gifa: <img src="klodkassl.gif"> i
> juz userzy beda szczesliwi ;)

Czy ty ręcznie weryfikujesz certyfikaty? Czy może wystarczy Ci tylko napis https?

>> nie strona - ale problem nr 1. pozostaje: ja, juzer, chcę widzieć kłódkę
>> _zanim_ wklepię numer...)

I tak trzymać!

[...]

GM

do góry

MK wrote:


> Nie ma problemu.
> https://www.booksecure.net/AirPolonia/Criteria.aspx?
lang=pl klikasz i
> widzisz...
>

Nie ma problemu? Po pierwsze okazuje się, że dane klienta trafiają
do firmy będącej właścicielem domeny www.booksecure.net a nie
do AirPolonii. O tej firmie nia ma informacji na stronie AirPolonia
a ich własna wygląda tak: https://www.booksecure.net/
A nawet gdyby na stronach airpolonii informowali, że transakcje
obsługuje firma trzecia, to nadal nie mam pewności, czy faktycznie
tak jest bo ich strona nie jest uwierzytelniana certyfikatem.

--
m.

do góry