Ale viděl jsem stovky webů napadených přes TC v posledních 2 měsících..

casto sa objavuje scenar ze pouzivatel ma starsiu verziu prehliadaca (firefox dostal palbu posledne) a pride na stranku kde je chyba vo webovej aplikacii (napriklad XSS). Cez toto XSS sa pokusi utocnik napadnut prehliadac (nacita exploit pomocou javascriptu) a zoberie si napriklad ulozene hesla. Prehliadac vacsinou bezi pod pouzivatelom a nie v sandboxe a tym ma vsetky prava ktore ma pouzivatel (vratane citania jeho suborov).

Toto je imho najpravdepodobnejsi scenar. Webov s XSS su kvanta a diery v prehliadacoch sa objavuju co den.

Řekněme, že je firma, jejíž podnikání závisí na 10 dodávkách, které rozváží zboží. Bude vedení firmy osobně kontrolovat, jestli mají v pořádku brzdy, opravovat startér, když se rozbije, nebo zjišťovat, jaké těsnění se má dát do motoru? Ne, někoho si na to najmou, nebo mají přímo člověka, mechanika, který se o ty auta bude starat.

Ale když v tom textu auto nahradíme počítačem, tak řada, hlavně menších firem, si myslí, že to není potřeba a že si to nějak zařídí sami. Přitom v řadě případů je jejich podnikání na těch počítačích plně závislé a počítač je mnohem složitější než auto a to hlavně po softwarové stránce.

Nejsem zadny hnidopich ani pravopisna policie, sam delam chyb dost, ale na neco takoveho se uz proste reagovat musi.

Tzn. podobne jako ostatni sluzby a protokoly, navrzene v letech 1970-1990 zkratka posilaji login a heslo v plaintextu a to je cele.

V dnesni dobe existuje (a kazdy rozumny hosting, nekdy i free hosting, ma povolene) SFTP a tedy nevidim vetsi problem…

Snazsi, nez odchytit plaintext heslo (lovec musi sedet mezi vasim kompem a serverem, coz na ADSL pripojce dost dobre nejde, pokud se nehackne do vaseho kompu nebo routeru nekde mezi), je vyndat heslo z pocitace, kde je ulozene v nejakem obskurnim scamblovani, typicky z Total Commander apod. Na to byl ted jeden trojan.

Takze ja bych se bal u beznych vefi plain-hesla jen pokud bych se pripojoval z wifi anebo komunitnich siti, ne od komercniho prowidera…

Co se tyka autoupdateu, to je kapitola sama pro sebe… Nic neni 100%nti

Ale proč by to měl odebírat manager, navíc nefiltrovaně? Nevidím žádný důvod. Leda pro odesílatele, který si tak zvyšuje šance mu prodat nějaký předražený nesmysl.

Odchyceni hesla po ceste sice nevyzaduje zadne specialni znalosti, problem je ze pokud nemate pristup na nejaky router pres ktery jde dostatecne mnozstvi dat(hranicni router u ISP…), je odchytavani docela neefektivni.

A chtel tim zrejme rict, ze bys mel radeji pouzivat sifrovany SFTP (Secure FTP).

Usla mi cast vety pri pisani. pardon

FTP by bolo na mieste nechat umriet a pouzivat nahrady ako je napr. SCP.

Vas webhoster by hol mal podporovat ak teda za nieco stoji.

J.

Jinak fakt jsem do nedavna netusil ze FTP je nebezpecny protokol a v klidu jsem jej poslednich 10-15 let pouzival.

1) Pokud tomu nerozumíte, proč si to necháváte posílat?

2) Mícháte dost nesouvisející produkty – co jsem zběžně nakouknul, tak třeba .NET framework, Firefox,

ActiveX, HP-UX, screen, Linux, PHP, nějaké CMS, Flash, Glassfish,

nějaký modul do jádra Solarisu – to nepředpokládám, že se o tohle

všechno staráte/používáte najednou, tak nevím, proč by vás to všechno mělo trápit. A admin se najednou o nějaké ActiveX a HP-UX taky

starat nebude.

3) "Kdyz si predstavim velkou firmu, ve ktere lide pouzivaji stovky

ruznych softwaru a systemu, tak to musi byt docela napor to vse

uhlidat." – od toho má operační systém nějakou dobu podpory a

bezpečnostních aktualizací. Rozumné operační systémy mi zajistí

patchování téměr všech aplikací tím co za mě opraví distributor, takže

na mně toho zbyde minimum. Pokud nemáte rozumný operační systém, váš

problém.

4) "Porad nejake virusy." Virusy … auuuu, ten češtin!

5) "Clovek si uz ani nemuze v klidu pripojit na FTP" člověk se nemohl

v klidu na FTP připojit nikdy, protože se jedná nezabezpečený protokol. Pokud nevíte takovéhle základní věci a používáte FTP na citlivá data, pak vám žádný security bulletin nepomůže.

6) "nebo si vymyslet jednoduse zapamatovatelne heslo" jednoduše

zapamatovatelné heslo si vymyslet může. Jednoduše zapamatovatelné !=

snadno prolomitelné. Navíc odolnost hesla proti prolomení s těma zranitelnostma které uvádíte souvisí jak?