Azt hittem, hogy nincs rosszabb, mint a beszmac biztonsága és kommunikációja.
Ma olvastam el a tegnapi cikkeket és csak röhögni tudok. (sajnos)
De azért született egy év idézete nálam:
“A BKK sajnálattal tapasztalta, hogy a tegnap elindított új online értékesítési csatorna sikeres bevezetését és rendeltetésszerű használatát folyamatos informatikai támadással próbálják befolyásolni.”
És ha a biztonsággal nem foglalkoztak ennyire (vagyis semennyire), akkor ez mennyire lehet igaz?
“a rendszer már bevezetési időszak kezdetén olyan automatikus visszaélés figyelő funkcióval kezdte meg működését, amely az ilyen jellegű próbálkozásokat detektálja és azonnali intézkedésre ad lehetőséget.”
Lehet, hogy van bele téve valami, de nem gondoltak mindenre. Ami kellemetlen, de megesik. A kommunikáció nagyon rossz, meg kellene köszönni a segítséget és felajánlani egy éves bérletet meg egy mini Tarlós-babát a megtalált hibák jelentéséért.
Szerintem pont, hogy semmire sem gondoltak. Ilyet mégis ki csinál? Mert semmi sem indokolja azt, hogy a jelszavakat visszafejthető formátumban tárolják. A legegyszerűbb hash megvalósítása sem hiszem, hogy tovább tartana 10 percnél. Jó persze akkor nem küldhetik el közvetlenül a jelszót emailben, tehát ott is kell még egy kicsit heggeszteni, hogy lehessen jelszót cserélni…
Vagyis eszembe jutott egy indok, ami miatt megvalósulhatott ez: felvették a pénzt támogatásból, hogy ezt meg kell valósítani. Majd az ellenőrzés első napja előtt eszükbe jutott, hogy ja, ezt meg is kellene csinálni, mert elveszik a keservesen megkeresett pénzünket (na jó a pályázat íróknak azért oda kell tenniük magukat…). És gyorsan egy nap alatt heggesztettek valamit, csakhogy legyen látszata annak, hogy meg is van valami valósítva.
Na jó, az egy nap azért tényleg sántit, mert kell a kifejlesztés után 1 nap, amikor legalább elküldik a kollégáknak emailben, hogy most már ilyet is el lehet fogadni.
Amúgy meg a legnagyobb gond az, hogy nincs kiépítve egyáltalán az infrastruktúra erre. Legalább minden metróbejárathoz (ha már ott vannak ellenőrök) tenni kellett volna egy QR kód leolvasót. A QR kódot meg megcsinálni úgy, hogy max 1 percig legyen érvényes. Persze ehhez az kellett volna, hogy a feltételekbe beírni, hogy mobil internet szükséges hozzá. De az mennyivel jobb, hogy otthon el kell indítani az alkalmazást naponta indulás előtt, mert ha nem, akkor hiába van érvényes bérlete így valakinek, cseszheti.
Szóval szerintem nem csak az alkalmazást/konnumikációt cseszték el, hanem a teljes projektet. Ezt nem lett volna szabad így kiengedni. Inkább ültek volna rajta még akár 1-2 évet is.
Az ilyeneknel azt nem ertem miert kell ujat kitalalni, vannak orszagok ahol hasonlo rendszerek nagyszeruen mukodnek. Csak siman ezeket a cegeket kell megpalyaztatni es egy kesz rendszert lehet vasarolni. Itt is lehetne penzt lopni tanulmany ut es hasonlo cimen szoval meg ez sem gond.
Ez egyre rosszabb. T-Systems és Kürt havi 22-25 millióért? Aztán ez betett végleg a végén:
az oldal biztonsági szintje elérte az átlagos webshopok biztonsági szintjét. De azóta emeltek egyet ezen a szinten.
Ez mégis mi a francot jelent? Hogy nem eleve a legnagyobb biztonsági szintről kellett volna indulni, és ha találnak abban hibát, azt javítani? Valamint egy átlag Joomla vagy rosszabb esetben hazai webshop író gárda biztonsági szintjéhez akarja hasonlítani? Ezek barmok. Eddig a T-Systems céget tartottam valaminek. De most már a kutyába sem fogom nézni…