Jak to jest, że na stronie http://lokaty.open.pl można się zalogować, a
formularz przesyłany jest ze strony po http a nie https... chyba niezbyt
często spotykane na stronach z produktami finansowymi...

Czy nie jest to aby przypadkiem poważna luka w bezpieczeństwie tego serwisu?

Oczywiście można korzystać z https i tak zapewne należy robic, ale skoro
open nie dba o bezpieczeństwo "tu", to nasuwa sie pytanie czy dba gdzie
indziej?

pozdrawiam

do góry

Użytkownik "Sslaus" <s...@g...coom> napisał
> Jak to jest, że na stronie http://lokaty.open.pl można się zalogować, a
> formularz przesyłany jest ze strony po http a nie https... chyba niezbyt
> często spotykane na stronach z produktami finansowymi...
>
> Czy nie jest to aby przypadkiem poważna luka w bezpieczeństwie tego
> serwisu?
>
> Oczywiście można korzystać z https i tak zapewne należy robic, ale skoro
> open nie dba o bezpieczeństwo "tu", to nasuwa sie pytanie czy dba gdzie
> indziej?

Ja mam przy logowaniu https://lokaty.open.pl/logowanie/. Ale za to mam
pytanie: co tam w ogóle można zrobić oprócz podglądu lokat, zmiany hasła i
złożenia wniosku o nową lokatę? Chyba nic więcej. To i bezpieczeństwo nie
bardzo potrzebne.
Pozdr.
A.

do góry

> Użytkownik "Sslaus" <s...@g...coom> napisał
>> Jak to jest, że na stronie http://lokaty.open.pl można się zalogować, a
>> formularz przesyłany jest ze strony po http a nie https... chyba niezbyt
>> często spotykane na stronach z produktami finansowymi...
>>
>> Czy nie jest to aby przypadkiem poważna luka w bezpieczeństwie tego
>> serwisu?
>>
>> Oczywiście można korzystać z https i tak zapewne należy robic, ale skoro
>> open nie dba o bezpieczeństwo "tu", to nasuwa sie pytanie czy dba gdzie
>> indziej?
>
> Ja mam przy logowaniu https://lokaty.open.pl/logowanie/.
Tak jak pisałem, można przez https, można bez...

> Ale za to mam pytanie: co tam w ogóle można zrobić oprócz podglądu lokat,
> zmiany hasła i złożenia wniosku o nową lokatę? Chyba nic więcej. To i
> bezpieczeństwo nie bardzo potrzebne.

po pierwsze są to informacje poufne i powinny być możliwie dobrze
zabezpieczone
po drugie, to mylisz się, bo jeśli jakas lokata ma przycisk "przedłuż" to
mozesz ją przedłużyć i wskazać dowolny rachunek, na jaki mają być wypłacone
pieniądze.

do góry

On Dec 27, 2:32 pm, "Sslaus" <s...@g...coom>
wrote:
> Jak to jest, że na stroniehttp://lokaty.open.plmożna się zalogować, a
> formularz przesyłany jest ze strony po http a nie https... chyba niezbyt
> często spotykane na stronach z produktami finansowymi...
>
> Czy nie jest to aby przypadkiem poważna luka w bezpieczeństwie tego serwisu?
>
> Oczywiście można korzystać z https i tak zapewne należy robic, ale skoro
> open nie dba o bezpieczeństwo "tu", to nasuwa sie pytanie czy dba gdzie
> indziej?
>

Sęk w tym, że formularz logowania na stronie głównej JEST wysyłany po
https. Sprawa pojawia się i wraca co jakiś czas, pewnie ktoś to już
prostował.
https zawiera atrybut action formularza i jest to poprawne jeśli
chodzi o bezpieczeństwo danych logowania. Idealnie nie jest, bo nie
widać kłódki itp. co może zmylić większość użytkowników, których część
wyraża swoje wątpliwości co jakiś czas na tej grupie.
Inna sprawa to średnia jakość kodu strony, co jest nieco żenujące. Ale
cóż, takie rzeczy można wytykać i mbankowi i aliorowi i pewnie innym
(akurat te 2 oglądałem wcześniej).

do góry

"Sslaus" <s...@g...coom> writes:

> Jak to jest, że na stronie http://lokaty.open.pl można się zalogować,
> a formularz przesyłany jest ze strony po http a nie https... chyba
> niezbyt często spotykane na stronach z produktami finansowymi...

Wg mnie _formularz_ jest przekazywany sslem.
KJ

--
Uwolnić słonia !!!

do góry

Sslaus wrote:
> Jak to jest, że na stronie http://lokaty.open.pl można się zalogować, a
> formularz przesyłany jest ze strony po http a nie https... chyba niezbyt
> często spotykane na stronach z produktami finansowymi...
>
> Czy nie jest to aby przypadkiem poważna luka w bezpieczeństwie tego
> serwisu?

mozna sie czepiac bo bardzo ulatwia przechwycenie hasla przez podrobke tej strony

do góry

Użytkownik "Sslaus" <s...@g...coom> napisał


> po drugie, to mylisz się, bo jeśli jakas lokata ma przycisk "przedłuż" to
> mozesz ją przedłużyć i wskazać dowolny rachunek, na jaki mają być
> wypłacone
> pieniądze.
Ja pytałam, a nie twierdziłam;-) To tego nie wiedziałam, bo jeszcze nie
miałam takiego przycisku.
Pozdr.
A.

do góry

Kamil Jońca wrote:

> Wg mnie _formularz_ jest przekazywany sslem.

nie o to chodzi, chodzi o to ze zwykly uzytkownik nie odrozni oryginalnej
strony od podrobki, a w podrobce haslo raczej nie poleci sslem do prawdziwego serwera

do góry

MarcinF <m...@i...pl> writes:

> Kamil Jońca wrote:
>
>> Wg mnie _formularz_ jest przekazywany sslem.
>
> nie o to chodzi, chodzi o to ze zwykly uzytkownik nie odrozni oryginalnej
> strony od podrobki, a w podrobce haslo raczej nie poleci sslem do prawdziwego
serwera

Ale z postu autora wątku nie wynikało, że o to mu chodzi.

KJ

--
GNU is Not Unix

do góry

On Dec 27, 3:35 pm, MarcinF <m...@i...pl> wrote:
> Kamil Jońca wrote:
> > Wg mnie _formularz_ jest przekazywany sslem.
>
> nie o to chodzi, chodzi o to ze zwykly uzytkownik nie odrozni oryginalnej
> strony od podrobki, a w podrobce haslo raczej nie poleci sslem do prawdziwego
serwera

W tym wątku chodzi dokładnie o to, o czym pisał Kamil. Pojawił się
zupełnie bezpodstawny zarzut odnośnie bezpieczeństwa logowania na
stronie lokaty.open.pl i sprawa została wyjaśniona. Ty piszesz o
zupełnie innej sprawie.

do góry