Tribun
Nejsme v bezpečí v rukou politiků a bankéřů
úterý, 5. ledna 2010
Jak jsem si nekoupil lítačku
Rubrika Mixle v pixle
Bylo to snazší, než jsem čekal – e-shop pražského Dopravního podniku totiž nepremává přes HTTS, tedy alespoň mne vyhazuje se slovy: „403." A posílat čísla karet přes spojení, které není ani elementárně zabezpečené, se mi věru nechce. Takže pěšky k okýnku.
Tohle je přesně ten způsob použití moderních technologií, který otráví a odradí, ale o kompetenci a zájmu o klienta v žádném případě nesvědčí. Mají štěstí, lumpové, že mají monopol.
Halt zase jednou půjde pěkně zčerstva Mohamed k hoře...
Komentáře
[1] OpenShit
Jelikoz nejsem tak paranoidni jako Tribun, tak jsem si v e-shopu zakoupil e-kupon a po obdrzeni e-mailu, ze pladba Visa kartou pres CS probehla uspesne, jsem se vydal k nejblizsimu validatoru. Jake vsak bylo moje prekvapeni kdyz mi krabicka ohlasila, ze zadny kupon na karte neni. Na dotaz, jak to asi muze dlouho trvat, mi pani v DP okynku odvetila, ze nevi, ale ze nechape proc to delam Intenrnet a nekoupim si to u ni jako ostatni. Nakonce to trvalo neco mezi 1-1,5 hodiny (nesedel jsem tam u toho).
Tak nejak mi nedochazi, kde se ty jednicky a nuly mezi tim e-shopem a validatorem tak dlouho toulaly. A to nezminuji fakt, ze kdybych si ten e-kupon neprevedl do 23:00, tak mi propadne, protoze e-kupon je nutno prevest nejpozdeji v den zacatku platnosti. Asi by jim doslo misto v databazi. Ach jo!
Tak nejak mi nedochazi, kde se ty jednicky a nuly mezi tim e-shopem a validatorem tak dlouho toulaly. A to nezminuji fakt, ze kdybych si ten e-kupon neprevedl do 23:00, tak mi propadne, protoze e-kupon je nutno prevest nejpozdeji v den zacatku platnosti. Asi by jim doslo misto v databazi. Ach jo!
[2] Kde by se toulal,
někde v jobech. Celé mi to připadá, že udělali něco, aby měli splněno a mohli hlásit - máme e-schop a jsme on-line, možná kvůli podmínkám dotace nebo výběrového řízení (že by nějaké proběhlo? v Bémově Praze?), ale ve skutečnosti nikdy vážně neuvažovali o tom, že by se to používalo, nebo že by to dokonce byla masová záležitost. Konečně, šlo jak všichni víme, jenom o to vnutit OpenCard Pražanům (bez výhrůžek, že roční kupóny budou jenom na ní, by si ji nikdo nepořídil), což bylo splněno a dál už je to panstvu buřt.
[3] https
Neznám konkrétní aplikaci dpp (taky k čemu), ale většinou bývá zvykem, že se uživatel přesměruje na portál banky a tam samozřejmě vše probíhá kódovaně
[4] No ono je to jednoduchý
čísla karet se totiž neposílaj na web DP, ale na platební portál ČS Erste, a ten už zabezpečenej je. V poledne zakoupeno, za soumraku validováno.
[5] Bohužel to nemohu vyzkoušet,
jelikož nevlastním průkaz, na který by se kupón dal zkusit zakoupit. Podstatné ale je, aby už formulář, do kterého se číslo karty zadává, byl na https stránce, jinak se nejedná o žádné zabezpečení. Nikdo totiž nebude ověřovat ve zdrojovém kódu stránky, zda POST request s číslem karty jde na zabezpečenou stránku.
[6] Glagole, Jonáši
to je velmi pravděpodobné (já jsem se do fáze platby vůbec nedostal), ale číslo OpenCard je také osobní identifikační údaj, a ten se zadává přes http. A e-shop, který neumožňuje zadání identifikačních údajů přes https na mne příliš důvěryhodně nepůsobí.
[7] Číslo karty
právě žádnej osobní údaj neni, aspoň tak usoudil Ouřad. To je k něčemu jen majiteli databáze DP ..
Prostor pro vás...
Tip: Číslo v hranatých závorkách vytvoří odkaz na komentář se stejným číslem (nelze použít v titulku).
Tip: Text uzavřený mezi [i]...[/i] se zobrazí kurzívou, text mezi [b]...[/b] se zobrazí tučně (nelze použít v titulku).
Tip: Text uzavřený mezi [i]...[/i] se zobrazí kurzívou, text mezi [b]...[/b] se zobrazí tučně (nelze použít v titulku).
Nástroje
