On 2016-11-16, janek z pola <a...@e...pl> wrote:
> Kris wrote:
>
>> W dniu środa, 16 listopada 2016 20:08:40 UTC+1 użytkownik Alf/red/
>> napisał:
>>> - hasła testowe,
>> Jakie to zagrożenie dla zwykłego Kowalskiego?
>
> To pokazało schemat haseł, jaki siedzi w głowach ludzi od IT tego banku.

Tiaa. Od razu dyrektora :)

--
Wojciech Bańcer
w...@g...com

do góry

"Waldek" o0hf5a$2us$...@n...news.atman.pl

> Ps. Miałem ostatnio przetestować "przelew na telefon"
> i jakoś brakło mi chęci... ale może jakieś wisienki przyjmę tą drogą ? LOL

BZWBKKBSg dawał kiedyś za lanie via fon.

--
_._ _,-'""`-._ .`'.-. ._. http://eneuel.w.duna.pl .-.
(,-.`._,'( |\`-/| .'O`-' ., ; o.' http://danutac.net.pl '.O_'
`-.-' \ )-`( , o o) `-:`-'.'. '`\.'`.' ~'~'~'~'~'~'~'~'~'~'~'~ o.`.,
-bf- `- \`_`"'-.o'\:/.d`|'.;. p \ ;'. . ;,,. ; . ,.. ; ;. . .;\|/......

do góry

"Michal 'Amra' Macierzynski" a...@g...co
m

: Nie ma oprogramowania idealnego

DEKnuth dawał 3 setki dolców za znalezienie nieznanego
błędu w TeXu -- chętnych do nominacji ponoć brakuje...

Profesor Knuth wyznaczył nagrodę pieniężną za każdy znaleziony
w jego programie błąd. W roku 1985 nagroda wynosiła 1 cent,
była podwajana co rok aż do 327 dolarów i 68 centów[1].

https://pl.wikipedia.org/wiki/TeX

Przed kilkudziesieciu laty systemy były niemal bezbłędne.

: - o czym swiadcza dziury w systemach operacyjnych - niektore
: dziury nie sa zalatane przez wiele lat (bo nikt o nich nie wie,
: albo nie znalazl sie nikt, kto wiedzialby jak je wykryc/wykorzystac).

Natomiast systemy plików (FSy) częstokroć są skutecznie pozbawiane
błędów, zanim trafą do endjuserów.

: Natomiast pytanie czy wszystkie bledy sa dziurami, ktore mozna
: wykorzystac w celu wlamania -oczywiscie, ze tak nie jest. Co
: do zabezpieczen - duze audyty robi sie przy wiekszych
: aktualizacjach - to zajmuje czas i pieniadze.

Zasiew pochłania plony. ;)

: Dlatego robi sie to cyklicznie - ale to powoduje, ze
: przy mniejszych poprawkach pojawiaja sie jakies bledy.

Pamiętam instrukcję zapisana jakoś tak:

a - wejść do edytora
b - napisać algorytm
c - skompilować
d - wejść do edytora i poprawić błędy (na
pewno będą) po czym wrócić do punktu c

: Na tym rynku jest tylko kilka firm i kazda chce jakos zaistniec.
: Te bledy, ktore zostaly wykryte - nie sa jakies krytyczne - czesto
: wynikaja z jakiegos niechlujstwa progamistow.

Rzadko z przerostu ambicji nad możliwościami/umiejętnościami. ;)

: A pamietajcie, ze pisze sie na 2-3 duze platformy, a do tego jest to
: znacznie wieksza sztuka niz w przypadku stron WWW. Deweloperow jest
: malo, a tych doswiadczonych jeszcze mniej. Z mojej perspektywy media
: przedstawily to tak, zeby sie naklikalo, zedne jakos nie pokusilo sie
: o ocene tych bledow i sformulowania prawdopodoienstwa skutecznego ataku.

--
_._ _,-'""`-._ .`'.-. ._. http://eneuel.w.duna.pl .-.
(,-.`._,'( |\`-/| .'O`-' ., ; o.' http://danutac.net.pl '.O_'
`-.-' \ )-`( , o o) `-:`-'.'. '`\.'`.' ~'~'~'~'~'~'~'~'~'~'~'~ o.`.,
-bf- `- \`_`"'-.o'\:/.d`|'.;. p \ ;'. . ;,,. ; . ,.. ; ;. . .;\|/......

do góry

On Tue, 15 Nov 2016 23:12:39 +0100, Marcin <n...@n...com> wrote:
> IMHO oznacza to, ze banki nie traktuja tego powaznie
> (realnych uzytkownikow nie ma tak duzo jak to banki raportuja?) i
nie
> przprowadzaja podstawowych testow bezpieczenstwa. Ciekawe jakie
jeszcze
> bledy sie tam znajduja....

Banki nie robią aplkacji ani ich nie testują. Banki zlecaja to
zewnętrznym firmom.

--
Marek

do góry

Użytkownik "Eneuel Leszek Ciszewski" napisał w wiadomości grup
dyskusyjnych:o0j099$n5j$...@n...news.atman.pl...
"Michal 'Amra' Macierzynski"
a...@g...co
m
>: Nie ma oprogramowania idealnego
>DEKnuth dawał 3 setki dolców za znalezienie nieznanego
>błędu w TeXu -- chętnych do nominacji ponoć brakuje...

> Profesor Knuth wyznaczył nagrodę pieniężną za każdy znaleziony
> w jego programie błąd. W roku 1985 nagroda wynosiła 1 cent,
> była podwajana co rok aż do 327 dolarów i 68 centów[1].
> https://pl.wikipedia.org/wiki/TeX
>Przed kilkudziesieciu laty systemy były niemal bezbłędne.

a) dowiedz sie, ile tych bledow tam jednak znaleziono i poprawiono.
Zaloze sie, ze niejeden, nawet jesli po nagrode nikt nie wystapil.
b) Knuth to jest nazwisko w informatyce ! M.in. spec od poprawnego
programowania.
c) pisal dla siebie, sam sobie specyfikacje zrobil, sam narzedzia, sam
napisal. Nikt mu marketingowych pomyslow nie wciskal - typu np kup 2
sztuki, to obnizymy cene za obie ..

d) programy mniejsze byly, to i latwiejsze do ogarniecia. Choc akurat
TeX taki maly wcale nie jest ...

J.

do góry

Witam

W dniu 2016-11-16 o 13:55, J.F. pisze:

> Po pierwsze - zapamietaj prawde podstawowa - kazdy wiekszy system
> informatyczny zawiera nieskonczona ilosc bledow, tylko nie wszystkie
> zostaly jeszcze wykryte.

Troche wiem o testowaniu systemow informatycznych. Bledy takie, ktore
sie znajduje w ciagu paru minut nie maja prawa istniec w wersji
udostepnionej klientowi (no dobra czasem sie zdarza, gdyby znalezli w
jednej aplikacji to jeszcze by to bylo zrozumiale)...

> Po drugie - bank rzadko pisze jakies aplikacje, raczej je po prostu
> zamawia.
> U taniego dostawcy, ktory zatrudnia studentow. No to jak one moga byc
> dobre ?

A co mnie to jako potencjalnego klienta powinno obchodzic kto pisze
aplikacje? Moze pisac i prezes jako hobby po godzinach albo kupa
studentow w dawnym Comarchu ewentualnie profesjonalisci z
doswiadczeniem. Wazne zeby dzialalo i nie mialo bledow. Tak jak bank nie
produkuje sobie sam mebli w oddzialach ale krzesla ma miec takie zeby
nie podarly mi spodni.

> W dodatku termin goni, na testowanie nie ma czasu :-)

Tutaj wyglada jakby nikt kto sie zna na testowaniu nawet nie spojrzal na
te aplikacje skoro znalezienie bledow zajelo tak malo czasu.

> Po trzecie - wykorzystanie takiej wykrytej dziury wymaga zlych ludzi i
> nakladu pracy z ich strony, a czesto jeszcze dodatkowych dziur, wiec
> nasze pieniadze sa dosc bezpieczne.

Zlych ludzi nie brakuje odkad tylko zaczeto spisywac historie. Dziury w
oprogramowaniu smartfonow sie znajda. A i od czasu do czasu sa jakies
informacje o kradziezy pieniedzy dzieki uzyciu zlosliwego
oprogramowania. A w przypadku gdy uzywamy aplikacji banku na smartfonie
w ktorym jest sim od numeru na ktory przychodza smsy autoryzacyjne to
zlodziej moze miec komplet danych. Wiec chcialbym, zeby bank bral
odpowiedzialnosc za to co udostepnia.

Pozdrawiam,
Marcin

do góry

Witam

W dniu 2016-11-17 o 08:17, Marek pisze:

> Banki nie robią aplkacji ani ich nie testują. Banki zlecaja to
> zewnętrznym firmom.

Co to obchodzi klientow komu bank co zleca a co robi samemu? Bank
udostepnia to niech bank ponosi odpowiedzialnosc i pilnuje jakosci.

Pozdrawiam,
Marcin

do góry

Witam

W dniu 2016-11-16 o 16:59, Michal 'Amra' Macierzynski pisze:

> Nie ma oprogramowania idealnego - o czym swiadcza dziury w systemach
> operacyjnych - niektore dziury nie sa zalatane przez wiele lat
> (bo nikt o nich nie wie, albo nie znalazl sie nikt, kto wiedzialby
> jak je wykryc/wykorzystac).

Tu mowimy o bledach ktore sie znajduje w bardzo krotkim czasie. I w tych
przypadkach mam podejrzenie, ze po prostu postanowiano zaoszczedzic.
Pewnie na developerach, z pewnoscia na testach.


>
> Na tym rynku jest tylko kilka firm i kazda chce jakos zaistniec.
> Te bledy, ktore zostaly wykryte - nie sa jakies krytyczne - czesto
> wynikaja z jakiegos niechlujstwa progamistow. A pamietajcie, ze pisze
> sie na 2-3 duze platformy, a do tego jest to znacznie wieksza sztuka
> niz w przypadku stron WWW. Deweloperow jest malo, a tych
> doswiadczonych jeszcze mniej.

Znajac troche rynek developerow i testerow sytuacja wyglada troche
inaczej. ile zaplacisz taka jakosc dostajesz. Chcesz wydac tyle ile
bierze zespol niedsoswiadczonych studentow to sie nie dziw, ze sa w
sofcie szkolne bledy. Chcesz miec zrobione porzadnie to trzeba niestety
(albo z drugiej strony stety) zaplacic wiecej. A jak juz sie zrobi to
trzeba sprawdzic przez kogos niezaleznego (tez trzeba zaplacic) za testy
a nie polegac na niedoswiadczonych testerach.


Pozdrawiam,
Marcin

do góry

On 2016-11-17, Marcin <n...@n...com> wrote:

[...]

> Tu mowimy o bledach ktore sie znajduje w bardzo krotkim czasie. I w tych
> przypadkach mam podejrzenie, ze po prostu postanowiano zaoszczedzic.
> Pewnie na developerach, z pewnoscia na testach.

Idąc w drugą stronę:
Tu mówimy o niedociągnięciach nie stanowiących bezpośredniego zagrożenia,
które ktoś nazwał błędami żeby zrobić trochę szumu medialnego. Błędy podobne
do "wejdę na validator.w3.org, wpiszę dowolną stronę i znajdę błąd!!!"

--
Wojciech Bańcer
w...@g...com

do góry

"J.F." 582c5752$0$5141$6...@n...neostrada.pl

> Po pierwsze - zapamietaj prawde podstawowa - kazdy wiekszy
> system informatyczny zawiera nieskonczona ilosc bledow,
> tylko nie wszystkie zostaly jeszcze wykryte.

ilość ż V, DCMs. ~ści; lm MD. ~ści
<<kategoria pojęciowa obejmująca to, co
może być mierzone lub ważone; miara czegoś>>

Ilość wody, mleka, cukru.
Niewielkie ilości czegoś.
Zasada ilości przechodzącej w jakość.
Mieć coś w wielkiej ilości (w wielkich ilościach).





liczba ż IV, CMs. ~bie; lm D. liczb

2. <<stan liczebny>>

Liczba osób.
Liczba przedmiotów.
Liczba wojska.
Kobiety przeważały liczbą.





Zatem -- 'liczba błędów', nie 'ilość błędów'.


Żaden algorytm nie ma nieskończenie wielu miejsc/punktów, więc
i żaden algorytm nie może mieć nieskończenie wielu błędów. :)

-=-

Kiedyś powiedziałem, że napiszę bezbłędny program w Fortranie.
Towarzystwo ;) przyjęło moją propozycję z zaciekawieniem.
Chciałem napisać:

END

co oznaczać by miało najkrótszy algorytm ;) w Fortranie,
ale niestety popełniłem drobną ;) literówkę i wyszło:

EDN

co mnie dość mocno speszyło...

Tak oto życie tak zwane -- uczy pokory.


W mych programach nie nadużywałem ;) spacji -- ignorowanych przez kompilatory.
(kompilatory Fortranu nie ignorowały spacji na początku linii i w komentarzach
oraz w ,,formatach'') Przykłady mego pisarstwa ;) wyglądały jakoś tak:

PROGRAMA
INTEGERI
REALA
A=1.123
DO10I=0,9
10 A=A*A
WRITE(5,100)
100 FORMAT(E8.2)
128 END

choć raczej ;) nie lubiłem liczb rzeczywistych [ach, ta
rzeczywistość... preferowałem całkowicie ;) inny świat]
a lejbel ;) 128 stawiałem tylko wówczas, gdy był gdzieś
do niej skok... [ach, te Spółdzielcze Kasy...] Gdy było
kilka końców [kije mają dwa...] inne końce numerowałem:
129, 127, 126... Trzy początkowe linijki są zbędne, ale
zwykle wstawiałem je. W wyjątkowych sytuacjach mogły tu
wnieść jakąś niezerową wartość, ale nie w typowych.

--
_._ _,-'""`-._ .`'.-. ._. http://eneuel.w.duna.pl .-.
(,-.`._,'( |\`-/| .'O`-' ., ; o.' http://danutac.net.pl '.O_'
`-.-' \ )-`( , o o) `-:`-'.'. '`\.'`.' ~'~'~'~'~'~'~'~'~'~'~'~ o.`.,
-bf- `- \`_`"'-.o'\:/.d`|'.;. p \ ;'. . ;,,. ; . ,.. ; ;. . .;\|/......

do góry