Web development Programiranje, dizajn, hosting i sve ostalo vezano uz razvoj web siteova |
|
13.10.2011., 16:07
|
#1
|
Registrirani korisnik
Registracija: Oct 2011.
Postova: 8
|
internet bankarstvo zaba - sramota
bok svima!
htio bi s vama podjeliti jednu sramotu o kojoj sam obavijestio manje više se popularne medije iako sumnjam da će o tomo pisati budući da su prezauzeti produkcijom žute štampe.
Naime, kopao sam malo po internet bankarstvu zabe za građane i otkrio da se već na početnoj stranici: https://www.zaba.hr/ebank/gradjani/Prijava
downloada javascript u kojem je dostupan kod za prijavu i validaciju kao i ostale stvari.
Tj. dostupan je kod koji bi se po svim načelima korporativne sigurnosti(a pogotovo bankarske sigurnosti) trebao izvršavati na serverskoj strani a nikako na klinetskoj. Opisat ću vam o čemu se radi:
Dakle, odete na internet bankarstvo za fizicke osobe: https://www.zaba.hr/ebank/gradjani/Prijava
Zatim na bijeloj povorsini pored teksta kliknete desnim gumbom miša i odaberete 'View page source'.
Nakon toga se u novom prozoru otvori kod stranice. Klinknite na link unutar:
<frame src="/ebank/gradjani/InnerLogin.jsp?AppIdentifikator=0&KioskVersion=0" name="Login" id="Login" title="Login" />.
Nakon što kliknete na taj link dobijete novi prikaz koda među kojima je najzanimljiviji onaj pod linkom:
<script type='text/javascript' src='/ebank/gradjani/JavaScript/Utils.js?v=1-15.25'></script>
U tom kodu je dostupan algoritam za prijavu, i vide se zakomentirani dijelovi koda tipa "Ovo smo zakomentirali dok ne otkrijemo gresku" i slicno.
Po meni je ovo van svake pameti, da banka takve reputacije ljudima daje ovakve poluproizvode i naplacuje tako masno za svoje usluge.
Da me se razumije, ne radi se ovdje o mojoj paranoji da će netko hakirati aplikaciju i uzet mojih bijednih 274,67 kuna (koliko imam na računu ) već o tome da nam naplacuju uslugu koja je ispod svakih standarda...
molim, ispravite me ako grijesim
|
|
|
13.10.2011., 19:32
|
#2
|
Registrirani beskorisnik
Registracija: May 2011.
Lokacija: ~/
Postova: 775
|
Nije mi jasno na šta konkretno se žališ ovdje? Što nisu uklonili komentare?
|
|
|
13.10.2011., 19:45
|
#3
|
Registrirani korisnik
Registracija: Oct 2011.
Postova: 8
|
Quote:
Anonimus1628 kaže:
Tj. dostupan je kod koji bi se po svim načelima korporativne sigurnosti(a pogotovo bankarske sigurnosti) trebao izvršavati na serverskoj strani a nikako na klinetskoj.
|
mislim da sam gore prilicno jasno napisao, koji dio ne razumijes?
Jesi provjerio to sto sam napisao, ili komentiras tek tako?
Ako jesi, da li je po tebi normalno da se na klijentskoj strani downloada javascript u kojemu se izvodi algoritam za prijavu, validaciju tj. jel normalno da je svakome dostupan kod koji
prestavlja logiku prijave u aplikaciju?
|
|
|
13.10.2011., 19:53
|
#4
|
Registrirani beskorisnik
Registracija: May 2011.
Lokacija: ~/
Postova: 775
|
Normalno je da na klijentskoj strani stoji javascript koji vrši validaciju unesenih podataka.
Validacija != autentikacija!
|
|
|
13.10.2011., 20:05
|
#5
|
Registrirani korisnik
Registracija: Oct 2011.
Postova: 8
|
tebi je ovakav kod normalan:
//ulazni podaci su datumi u obliku dd.mm.gggg. , oznaka da li kontroliramo prolost ili budućnost
//te oznaku koju vrstu perioda kontroliramo (običan datum: 0, datum zaprimanja: 1 ili datum izvrenja: 2)
function checkPeriod (earlierDate, laterDate, history, tipValidacije) {
var dateType="";
var errMsg="";
//privremeno maknuta kontrola vremenskog razdoblja dok se ne otkrije pogreka
return errMsg;
switch (tipValidacije) {
case 0: dateType=" ";break;
case 1: dateType=" zaprimanja ";break ;
case 2: dateType=" izvr\u0161enja ";break ;
default: dateType=" ";
}//end of switch
//alert ("Usao u checkPeriod");
//alert ("errMsg.length="+errMsg.length);
//ako su oba polja prazna onda je sve u redu
if (earlierDate.length==0 && laterDate.length==0)
return errMsg;
if (history) {
//ako je prvo polje puno
if (earlierDate.length>0 && daysDateDifference(new Date(),convertStrDateToDate(earlierDate))<0)
errMsg+="Po\u010Detni datum"+dateType+"ne smije biti ve\u0107i od dana\u0161njeg datuma. \n";
//if (laterDate.length>0 && daysDateDifference(new Date(),convertStrDateToDate(laterDate))<0)
// errMsg+="Zavr\u0161ni datum"+dateType+"ne smije biti ve\u0107i od dana\u0161njeg datuma. \n";
} //kraj od history
Koliko ja znam, svaka java web bazirana aplikacija čak i validaciju vrši na serverskoj strani, pogotovi budući da je u pozadini neki framework kao Spring koji to vrlo jednostavno omogućava...
|
|
|
13.10.2011., 20:19
|
#6
|
Registrirani beskorisnik
Registracija: May 2011.
Lokacija: ~/
Postova: 775
|
Da, validacija se vrši na serverskoj strani obavezno, naravno. Ali može prije toga i na klijentskoj, što se često i radi.
Kontkretno, ovo što si kopirao:
Očito imaš neka polja gdje biraš od kojeg do kojeg datuma želiš prikazati neki "history". Javascript ti jednostavno prikazuje grešku ako izabereš datum veći od današnjeg.
Kod je sasvim normalan.
|
|
|
13.10.2011., 20:31
|
#7
|
I am from the past,1.1.00
Registracija: Aug 2007.
Lokacija: Dolazim iz proslosti da popravim buducnost
Postova: 2,226
|
e
Onda daj ti bolje rijesenje i posalji i trazi milijon dollara ha sto kazes na to.Pa to svaka web stranica ima samo sto ovdje pise na hrvatskom jeziku.Kad sam otvorio ovo i vidio odmah sam mislio da si uspio doci do unesenih podataka a ti nasao obicnu skriptu.Odi na chat.net.hr,odi bilo koji chat i pogledaj doci ces do parametra kojeg hoces to je nista.
|
|
|
13.10.2011., 20:33
|
#8
|
I am from the past,1.1.00
Registracija: Aug 2007.
Lokacija: Dolazim iz proslosti da popravim buducnost
Postova: 2,226
|
e
<applet codebase=" http://cgs.net.hr/chatp" archive="bcclient.jar" code="bubble.chat.client.ChatApplet" width="756" height="500" style="padding: 0px; margin: 0px;">
<param name="userName" value="::registered">
<param name="password" value="">
<param name="icon" value="">
<param name="port" value="10003">
<param name="messages" value="msg-img.txt">
<param name="initialRoom" value="Predvorje">
<param name="roomList" value="Predvorje;Zagreb;Dalmacija;Istra;Slavonija; Međimurje;Teen;Batak ili bitak;Metal;Dubrovnik;Varaždin;Đakovo;Koprivnica;K utina">
<param name="adminGui" value="false">
<param name="showLogin" value="true">
<param name="showAnonLogin" value="false">
Zadnje uređivanje ex_1 : 13.10.2011. at 20:39.
|
|
|
13.10.2011., 20:51
|
#9
|
Registrirani korisnik
Registracija: Oct 2011.
Postova: 8
|
Quote:
ex_1 kaže:
Odi na chat.net.hr,odi bilo koji chat i pogledaj doci ces do parametra kojeg hoces to je nista.
|
a jesi mi našo pravi site uspoređivat..net.hr = fušeraj na kvadrat.
ovdje govorimo o jednoj banci koja se busa kako miljone ulaze u razvoj internet bankarstva...iz prve ruke znam da preko ovako aljkave implementacije revizija ne bi prešla a vi pričajte što hoćete...
kao da radite za navedenu banku
|
|
|
13.10.2011., 21:04
|
#10
|
I am from the past,1.1.00
Registracija: Aug 2007.
Lokacija: Dolazim iz proslosti da popravim buducnost
Postova: 2,226
|
e
Onda pogledaj pbz pa ces vidjeti isto nekuzim to nije greska drugacije da postavljaju kad je ovako jednostavnije.Jedno da ti izmjenis kod sa firebug i on recimo radi e to je greska.Ima dosta slabijih web stranica koje kod obicne izmjene radi a nebih smjelo nikako
|
|
|
13.10.2011., 21:09
|
#11
|
Registrirani korisnik
Registracija: Oct 2011.
Postova: 8
|
pa i gledao sam pbz net. Njihov kod je do ovog kao apoteka...oni jedino u javascriptu provjeravaju koji browser klijent korisit...
|
|
|
13.10.2011., 21:13
|
#12
|
I am from the past,1.1.00
Registracija: Aug 2007.
Lokacija: Dolazim iz proslosti da popravim buducnost
Postova: 2,226
|
e
Quote:
Anonimus1628 kaže:
pa i gledao sam pbz net. Njihov kod je do ovog kao apoteka...oni jedino u javascriptu provjeravaju koji browser klijent korisit...
|
Ah jebiga sto da kazem malo vise web masteri paznje i nema probljema.Recimo kod registracije na neki forum pogledaj source i ja sam na jednom forumu stavio da sam iz pick m i da imam 3000 godina znaci da je site xss ranjiv kad dopusta banalno... necemo dalje
|
|
|
13.10.2011., 21:19
|
#13
|
Registrirani korisnik
Registracija: Oct 2011.
Postova: 8
|
slazem se, dokle god usporedjujemo kruske i jabuke nema smisla nastavljat, ja se povlacim
|
|
|
13.10.2011., 23:10
|
#14
|
Registrirani korisnik
Registracija: Apr 2008.
Postova: 403
|
pa definitivno je navedeni kod sramotan za takvu kompaniju al nije nešto sigurnosno specijalni propust (bar ne očiti), no baš fino prikazuje kakvih sve 'programera' ima...završio za limara, nakon 6 mjeseci radi na CMS-u jer zna napraviti formu u htmlu...
Google Page Speed
W3C Validation
|
|
|
14.10.2011., 09:19
|
#15
|
Registrirani korisnik
Registracija: Oct 2011.
Postova: 8
|
Quote:
50ME1 kaže:
pa definitivno je navedeni kod sramotan za takvu kompaniju al nije nešto sigurnosno specijalni propust (bar ne očiti), no baš fino prikazuje kakvih sve 'programera' ima...završio za limara, nakon 6 mjeseci radi na CMS-u jer zna napraviti formu u htmlu...
Google Page Speed
W3C Validation
|
pa upravo o tome pricam cijelo vrijeme, nisam rekao da postoji direktna opasnost, samo da je sramota za takvu kompaniju koja nam uzima masne naknade uz opravdanje da konstantno trosi miljone na poboljsanje kvalitete internet bankarstva...
mogu ja razumijet da tamo neki programer u danom trenutku nešto sfuša tek toliko da radi, ali zamislite tek njegegove nadređene, voditelje, šefove i quality assourance tim koji odobra ovakve implementacije u produkciji?!? mislim da to sve govori...
od kolege čija firma dosta outsourc-a po tim bankama sam čuo da im aplikacije nemaju up-time veći od 20h, non stop se serveri moraju restartati zbog memory leak-ova, locokova na bazi i sličnih sranja...
|
|
|
14.10.2011., 13:28
|
#16
|
The Eye
Registracija: Jun 2006.
Lokacija: Mordor
Postova: 1,231
|
Quote:
Anonimus1628 kaže:
pa upravo o tome pricam cijelo vrijeme, nisam rekao da postoji direktna opasnost, samo da je sramota za takvu kompaniju koja nam uzima masne naknade uz opravdanje da konstantno trosi miljone na poboljsanje kvalitete internet bankarstva...
|
Nisi rekao? Quote tov prvog posta:
[CODE=Anonimus1628]Tj. dostupan je kod koji bi se po svim načelima korporativne sigurnosti(a pogotovo bankarske sigurnosti) trebao izvršavati na serverskoj strani a nikako na klinetskoj.[/CODE]
Tu si počeo pričati o nećemu što nema nikakve veze sa sigurnošću aplikacije... Drugo, očito nemaš baš iskustva kad se do sad nisi susreo sa validacijom i na klijentskoj strani pa ti je to tako nepojmljivo da zašto netko ne bi htio svaki put kontaktirati server za provjeru datuma? Koja glupost jelda?
I na kraju krajeva, zar ti stvarno misliš da su bankarski sustavi sigurni i da ih pišu ne znam kakvi stručnjaci (pogotovo kod nas)?
__________________
I'm an educated fool with money on my mind..
Zadnje uređivanje Sauron_zg : 14.10.2011. at 14:53.
|
|
|
14.10.2011., 13:46
|
#17
|
Registrirani korisnik
Registracija: Jul 2008.
Postova: 980
|
Quote:
Sauron_zg kaže:
I na kraju krajeva, zar ti stvarno misliš da su bankarski sustavi sigurni i da ih pišu ne znam kakvi stručnjaci (pogotovo kod nas)?
|
Ja dosad nisam cuo za neku provalu u bankarski sustav kod nas, a bilo je pokusaja. To znaci da su ti sustavi dosad bili sigurni i trenutno jos jesu. Kad netko uspije nesto provaliti, onda cemo vidjeti koliko su stvarno sigurni.
|
|
|
14.10.2011., 13:50
|
#18
|
Registrirani korisnik
Registracija: Jul 2008.
Postova: 980
|
Quote:
Anonimus1628 kaže:
a jesi mi našo pravi site uspoređivat..net.hr = fušeraj na kvadrat.
ovdje govorimo o jednoj banci koja se busa kako miljone ulaze u razvoj internet bankarstva...iz prve ruke znam da preko ovako aljkave implementacije revizija ne bi prešla a vi pričajte što hoćete...
kao da radite za navedenu banku
|
Internet bankarstvo ZABE radi izvrsno. Barem ono sto se vidi na korisnickoj strani. Koja revizija ne bi presla preko ovakve implementacije? Ovo je nesto sasvim uobicajeno sto se koristi kod validacije.
|
|
|
17.10.2011., 15:31
|
#19
|
Registrirani korisnik
Registracija: Jul 2009.
Lokacija: Rijeka/Zagreb
Postova: 389
|
ma, pričaju pizdarije. sustavi su sigurni i točka.
ako netko govori suprotno neka dokaže i provali u sustav
što se tiče same aplikacije i mogućnosti, o tome ne mogu baš govoriti jer nisam klijent zabe, al ono što sam ukratko vidio radi sasvim ok.
i da, te sustave itekako pišu stručnjaci što kod nas, a sigurno imaju i dobru suradnju i sa stručnjacima iz svojih središnjica. prevelike su to banke i posluju u masu zemalja da bi si dopustiti ozbiljne sigurnosne propuste. tako da kod sigurno prolazi rigorozne kontrole, pogotovo onaj koji se nalazi na poslužiteljima..
__________________
Anyone who has never made a mistake has never tried anything new
|
|
|
24.04.2012., 20:16
|
#20
|
Registrirani korischnitzl
Registracija: Jul 2011.
Postova: 565
|
Evo pitanje za vas koji se kužite u ovu tematiku.
Naime, ide mi užasno na živce što nema mogućnosti otplaćivanja i smanjivanja glavnice kredita preko internet bankarstva.
Službenica u banci kaže da oni ne znaju da li ja želim smanjiti anuitet ili rok otplate što po meni ne bi trebao biti problem tj. ubaciti u sučelje dodatni izbornik.
Jel to stvarno neki problem za ubaciti ili da se jednostavno pomirim s činjenicom da im nije u interesu pojednostaviti proces.
|
|
|
|
Sva vremena su GMT +2. Trenutno vrijeme je: 14:01.
|
|
|
|