Natrag   Forum.hr > Informatička tehnologija > Internet > Web development

Web development Programiranje, dizajn, hosting i sve ostalo vezano uz razvoj web siteova

Odgovor
 
Tematski alati Opcije prikaza
Old 13.10.2011., 17:07   #1
internet bankarstvo zaba - sramota

bok svima!

htio bi s vama podjeliti jednu sramotu o kojoj sam obavijestio manje više se popularne medije iako sumnjam da će o tomo pisati budući da su prezauzeti produkcijom žute štampe.

Naime, kopao sam malo po internet bankarstvu zabe za građane i otkrio da se već na početnoj stranici: https://www.zaba.hr/ebank/gradjani/Prijava
downloada javascript u kojem je dostupan kod za prijavu i validaciju kao i ostale stvari.
Tj. dostupan je kod koji bi se po svim načelima korporativne sigurnosti(a pogotovo bankarske sigurnosti) trebao izvršavati na serverskoj strani a nikako na klinetskoj. Opisat ću vam o čemu se radi:
Dakle, odete na internet bankarstvo za fizicke osobe: https://www.zaba.hr/ebank/gradjani/Prijava

Zatim na bijeloj povorsini pored teksta kliknete desnim gumbom miša i odaberete 'View page source'.
Nakon toga se u novom prozoru otvori kod stranice. Klinknite na link unutar:
<frame src="/ebank/gradjani/InnerLogin.jsp?AppIdentifikator=0&KioskVersion=0" name="Login" id="Login" title="Login" />.

Nakon što kliknete na taj link dobijete novi prikaz koda među kojima je najzanimljiviji onaj pod linkom:

<script type='text/javascript' src='/ebank/gradjani/JavaScript/Utils.js?v=1-15.25'></script>

U tom kodu je dostupan algoritam za prijavu, i vide se zakomentirani dijelovi koda tipa "Ovo smo zakomentirali dok ne otkrijemo gresku" i slicno.

Po meni je ovo van svake pameti, da banka takve reputacije ljudima daje ovakve poluproizvode i naplacuje tako masno za svoje usluge.

Da me se razumije, ne radi se ovdje o mojoj paranoji da će netko hakirati aplikaciju i uzet mojih bijednih 274,67 kuna (koliko imam na računu) već o tome da nam naplacuju uslugu koja je ispod svakih standarda...

molim, ispravite me ako grijesim
Anonimus1628 is offline  
Odgovori s citatom
Old 13.10.2011., 20:32   #2
Nije mi jasno na šta konkretno se žališ ovdje? Što nisu uklonili komentare?
bashd is offline  
Odgovori s citatom
Old 13.10.2011., 20:45   #3
Quote:
Anonimus1628 kaže: Pogledaj post

Tj. dostupan je kod koji bi se po svim načelima korporativne sigurnosti(a pogotovo bankarske sigurnosti) trebao izvršavati na serverskoj strani a nikako na klinetskoj.
mislim da sam gore prilicno jasno napisao, koji dio ne razumijes?
Jesi provjerio to sto sam napisao, ili komentiras tek tako?

Ako jesi, da li je po tebi normalno da se na klijentskoj strani downloada javascript u kojemu se izvodi algoritam za prijavu, validaciju tj. jel normalno da je svakome dostupan kod koji
prestavlja logiku prijave u aplikaciju?
Anonimus1628 is offline  
Odgovori s citatom
Old 13.10.2011., 20:53   #4
Normalno je da na klijentskoj strani stoji javascript koji vrši validaciju unesenih podataka.
Validacija != autentikacija!
bashd is offline  
Odgovori s citatom
Old 13.10.2011., 21:05   #5
tebi je ovakav kod normalan:

//ulazni podaci su datumi u obliku dd.mm.gggg. , oznaka da li kontroliramo prošlost ili budućnost
//te oznaku koju vrstu perioda kontroliramo (običan datum: 0, datum zaprimanja: 1 ili datum izvršenja: 2)
function checkPeriod (earlierDate, laterDate, history, tipValidacije) {

var dateType="";
var errMsg="";

//privremeno maknuta kontrola vremenskog razdoblja dok se ne otkrije pogreška
return errMsg;

switch (tipValidacije) {
case 0: dateType=" ";break;
case 1: dateType=" zaprimanja ";break ;
case 2: dateType=" izvr\u0161enja ";break ;
default: dateType=" ";
}//end of switch

//alert ("Usao u checkPeriod");
//alert ("errMsg.length="+errMsg.length);

//ako su oba polja prazna onda je sve u redu
if (earlierDate.length==0 && laterDate.length==0)
return errMsg;

if (history) {
//ako je prvo polje puno
if (earlierDate.length>0 && daysDateDifference(new Date(),convertStrDateToDate(earlierDate))<0)
errMsg+="Po\u010Detni datum"+dateType+"ne smije biti ve\u0107i od dana\u0161njeg datuma. \n";

//if (laterDate.length>0 && daysDateDifference(new Date(),convertStrDateToDate(laterDate))<0)
// errMsg+="Zavr\u0161ni datum"+dateType+"ne smije biti ve\u0107i od dana\u0161njeg datuma. \n";

} //kraj od history

Koliko ja znam, svaka java web bazirana aplikacija čak i validaciju vrši na serverskoj strani, pogotovi budući da je u pozadini neki framework kao Spring koji to vrlo jednostavno omogućava...
Anonimus1628 is offline  
Odgovori s citatom
Old 13.10.2011., 21:19   #6
Da, validacija se vrši na serverskoj strani obavezno, naravno. Ali može prije toga i na klijentskoj, što se često i radi.

Kontkretno, ovo što si kopirao:
Očito imaš neka polja gdje biraš od kojeg do kojeg datuma želiš prikazati neki "history". Javascript ti jednostavno prikazuje grešku ako izabereš datum veći od današnjeg.

Kod je sasvim normalan.
bashd is offline  
Odgovori s citatom
Old 13.10.2011., 21:31   #7
e

Onda daj ti bolje rijesenje i posalji i trazi milijon dollara ha sto kazes na to.Pa to svaka web stranica ima samo sto ovdje pise na hrvatskom jeziku.Kad sam otvorio ovo i vidio odmah sam mislio da si uspio doci do unesenih podataka a ti nasao obicnu skriptu.Odi na chat.net.hr,odi bilo koji chat i pogledaj doci ces do parametra kojeg hoces to je nista.
ex_1 is offline  
Odgovori s citatom
Old 13.10.2011., 21:33   #8
e

<applet codebase="http://cgs.net.hr/chatp" archive="bcclient.jar" code="bubble.chat.client.ChatApplet" width="756" height="500" style="padding: 0px; margin: 0px;">
<param name="userName" value="::registered">
<param name="password" value="">

<param name="icon" value="">
<param name="port" value="10003">
<param name="messages" value="msg-img.txt">
<param name="initialRoom" value="Predvorje">
<param name="roomList" value="Predvorje;Zagreb;Dalmacija;Istra;Slavonija; Međimurje;Teen;Batak ili bitak;Metal;Dubrovnik;Varaždin;Đakovo;Koprivnica;K utina">
<param name="adminGui" value="false">
<param name="showLogin" value="true">
<param name="showAnonLogin" value="false">

Zadnje uređivanje ex_1 : 13.10.2011. at 21:39.
ex_1 is offline  
Odgovori s citatom
Old 13.10.2011., 21:51   #9
Quote:
ex_1 kaže: Pogledaj post
Odi na chat.net.hr,odi bilo koji chat i pogledaj doci ces do parametra kojeg hoces to je nista.
a jesi mi našo pravi site uspoređivat..net.hr = fušeraj na kvadrat.

ovdje govorimo o jednoj banci koja se busa kako miljone ulaze u razvoj internet bankarstva...iz prve ruke znam da preko ovako aljkave implementacije revizija ne bi prešla a vi pričajte što hoćete...

kao da radite za navedenu banku
Anonimus1628 is offline  
Odgovori s citatom
Old 13.10.2011., 22:04   #10
e

Onda pogledaj pbz pa ces vidjeti isto nekuzim to nije greska drugacije da postavljaju kad je ovako jednostavnije.Jedno da ti izmjenis kod sa firebug i on recimo radi e to je greska.Ima dosta slabijih web stranica koje kod obicne izmjene radi a nebih smjelo nikako
ex_1 is offline  
Odgovori s citatom
Old 13.10.2011., 22:09   #11
pa i gledao sam pbz net. Njihov kod je do ovog kao apoteka...oni jedino u javascriptu provjeravaju koji browser klijent korisit...
Anonimus1628 is offline  
Odgovori s citatom
Old 13.10.2011., 22:13   #12
Talking e

Quote:
Anonimus1628 kaže: Pogledaj post
pa i gledao sam pbz net. Njihov kod je do ovog kao apoteka...oni jedino u javascriptu provjeravaju koji browser klijent korisit...
Ah jebiga sto da kazem malo vise web masteri paznje i nema probljema.Recimo kod registracije na neki forum pogledaj source i ja sam na jednom forumu stavio da sam iz pick m i da imam 3000 godina znaci da je site xss ranjiv kad dopusta banalno... necemo dalje
ex_1 is offline  
Odgovori s citatom
Old 13.10.2011., 22:19   #13
slazem se, dokle god usporedjujemo kruske i jabuke nema smisla nastavljat, ja se povlacim
Anonimus1628 is offline  
Odgovori s citatom
Old 14.10.2011., 00:10   #14
pa definitivno je navedeni kod sramotan za takvu kompaniju al nije nešto sigurnosno specijalni propust (bar ne očiti), no baš fino prikazuje kakvih sve 'programera' ima...završio za limara, nakon 6 mjeseci radi na CMS-u jer zna napraviti formu u htmlu...
Google Page Speed
W3C Validation
50ME1 is offline  
Odgovori s citatom
Old 14.10.2011., 10:19   #15
Quote:
50ME1 kaže: Pogledaj post
pa definitivno je navedeni kod sramotan za takvu kompaniju al nije nešto sigurnosno specijalni propust (bar ne očiti), no baš fino prikazuje kakvih sve 'programera' ima...završio za limara, nakon 6 mjeseci radi na CMS-u jer zna napraviti formu u htmlu...
Google Page Speed
W3C Validation
pa upravo o tome pricam cijelo vrijeme, nisam rekao da postoji direktna opasnost, samo da je sramota za takvu kompaniju koja nam uzima masne naknade uz opravdanje da konstantno trosi miljone na poboljsanje kvalitete internet bankarstva...

mogu ja razumijet da tamo neki programer u danom trenutku nešto sfuša tek toliko da radi, ali zamislite tek njegegove nadređene, voditelje, šefove i quality assourance tim koji odobra ovakve implementacije u produkciji?!? mislim da to sve govori...

od kolege čija firma dosta outsourc-a po tim bankama sam čuo da im aplikacije nemaju up-time veći od 20h, non stop se serveri moraju restartati zbog memory leak-ova, locokova na bazi i sličnih sranja...
Anonimus1628 is offline  
Odgovori s citatom
Old 14.10.2011., 14:28   #16
Quote:
Anonimus1628 kaže: Pogledaj post
pa upravo o tome pricam cijelo vrijeme, nisam rekao da postoji direktna opasnost, samo da je sramota za takvu kompaniju koja nam uzima masne naknade uz opravdanje da konstantno trosi miljone na poboljsanje kvalitete internet bankarstva...
Nisi rekao? Quote tov prvog posta:
[CODE=Anonimus1628]Tj. dostupan je kod koji bi se po svim načelima korporativne sigurnosti(a pogotovo bankarske sigurnosti) trebao izvršavati na serverskoj strani a nikako na klinetskoj.[/CODE]

Tu si počeo pričati o nećemu što nema nikakve veze sa sigurnošću aplikacije... Drugo, očito nemaš baš iskustva kad se do sad nisi susreo sa validacijom i na klijentskoj strani pa ti je to tako nepojmljivo da zašto netko ne bi htio svaki put kontaktirati server za provjeru datuma? Koja glupost jelda?

I na kraju krajeva, zar ti stvarno misliš da su bankarski sustavi sigurni i da ih pišu ne znam kakvi stručnjaci (pogotovo kod nas)?
__________________
I'm an educated fool with money on my mind..

Zadnje uređivanje Sauron_zg : 14.10.2011. at 15:53.
Sauron_zg is offline  
Odgovori s citatom
Old 14.10.2011., 14:46   #17
Quote:
Sauron_zg kaže: Pogledaj post
I na kraju krajeva, zar ti stvarno misliš da su bankarski sustavi sigurni i da ih pišu ne znam kakvi stručnjaci (pogotovo kod nas)?
Ja dosad nisam cuo za neku provalu u bankarski sustav kod nas, a bilo je pokusaja. To znaci da su ti sustavi dosad bili sigurni i trenutno jos jesu. Kad netko uspije nesto provaliti, onda cemo vidjeti koliko su stvarno sigurni.
puls is offline  
Odgovori s citatom
Old 14.10.2011., 14:50   #18
Quote:
Anonimus1628 kaže: Pogledaj post
a jesi mi našo pravi site uspoređivat..net.hr = fušeraj na kvadrat.

ovdje govorimo o jednoj banci koja se busa kako miljone ulaze u razvoj internet bankarstva...iz prve ruke znam da preko ovako aljkave implementacije revizija ne bi prešla a vi pričajte što hoćete...

kao da radite za navedenu banku
Internet bankarstvo ZABE radi izvrsno. Barem ono sto se vidi na korisnickoj strani. Koja revizija ne bi presla preko ovakve implementacije? Ovo je nesto sasvim uobicajeno sto se koristi kod validacije.
puls is offline  
Odgovori s citatom
Old 17.10.2011., 16:31   #19
ma, pričaju pizdarije. sustavi su sigurni i točka.
ako netko govori suprotno neka dokaže i provali u sustav

što se tiče same aplikacije i mogućnosti, o tome ne mogu baš govoriti jer nisam klijent zabe, al ono što sam ukratko vidio radi sasvim ok.

i da, te sustave itekako pišu stručnjaci što kod nas, a sigurno imaju i dobru suradnju i sa stručnjacima iz svojih središnjica. prevelike su to banke i posluju u masu zemalja da bi si dopustiti ozbiljne sigurnosne propuste. tako da kod sigurno prolazi rigorozne kontrole, pogotovo onaj koji se nalazi na poslužiteljima..
__________________
Anyone who has never made a mistake has never tried anything new
zvonem is offline  
Odgovori s citatom
Old 24.04.2012., 21:16   #20
Evo pitanje za vas koji se kužite u ovu tematiku.

Naime, ide mi užasno na živce što nema mogućnosti otplaćivanja i smanjivanja glavnice kredita preko internet bankarstva.

Službenica u banci kaže da oni ne znaju da li ja želim smanjiti anuitet ili rok otplate što po meni ne bi trebao biti problem tj. ubaciti u sučelje dodatni izbornik.

Jel to stvarno neki problem za ubaciti ili da se jednostavno pomirim s činjenicom da im nije u interesu pojednostaviti proces.
schnitzl is online now  
Odgovori s citatom
Odgovor


Tematski alati
Opcije prikaza

Kreni na podforum




Sva vremena su GMT +2. Trenutno vrijeme je: 18:45.