[melon]

Akkor gondolom a fenti példa is csak azt mutatja, itt az ideje valamilyen módszert bevezetni az ilyen helyzetek elkerülésére, nem? Végülis ki tudja, lehet, hogy legközelebb már nem ismerõs lesz, esetleg sokkal agyafúrtabb? Szvsz nem árt az ilyenek ellen berendezkedni...

[Harder]

Az email címes azonosítás szerintem nem sokat ér, mert a túlsó oldalon ülõ nem feltétlenül fogja ellenõrizni hogy minden rendben van azzal a maillel ... esetleg ha extrém dolgot kérnek, ellenõrizheti (már ha képes rá - és most nem az itteni szakértõ gárdára gondolok -, hanem a sok helyen elõforduló "közömnincsadolgokhoz csak a telefontkezelem szinte" ügyfelesre) a valódiságát, de ...
Mondok egy példát: mi van ha a tárhelyem jelszavának módosítását kérem (vagy hogy mondják meg mert vidéken vagyok)? Nem furcsa kérdés, valszeg gyorsan reagálnak is aztán fél percbe telik max hogy töröljek mindent.

A telefonszámos azonosítás már szerintem elfogadható (ha ténylegesen be is tartják), ha nem az elõre jelzett számról hívom, ne csinálják meg amit kérek.

Legegyszerûbbnek egy jelszavas vagy jelszóként funkcionáló mondatot tartok, ott egyértelmûen tudják hogy jogosult vagyok-e a módosításokat kérni vagy sem.

Ez az egész amúgy azért érdekel, mert sok ügyfélnél futottam bele hogy nekem kellett intézkednem a tárhelyükkel kapcsolatban (pl. nem tudták a jelszót/ftpcímet stb..  és töltöttem volna fel az anyagokat, vagy sql-t kellett igényelni stb..) és hihetetlen, hogy egy aránylag egyszerû (és hihetõ) "mesével" (ami esetemben amúgy igaz is volt ) mi mindent el lehet érni anélkül, hogy tulajdonképpen bármi módon beazonosítottam volna magam.

Szerkesztette: Harder 2005. 04. 16. 11:52 -kor

[Nagyika]

Hasonlo mar volt velem is.
Egy ugyfel weboldalat kellett feltoteni egy masik szolgaltato szerverere.
Telefonon racsorog, szitu elmond, jelszo megtud es mar
toltottem is fel a cumot. Barmifele ellenorzes nelkul.

Most eszembe jutott, hogy mi van ha a ceg informatikusanak adtam volna ki magam, hogy a fonok elfelejtette a postafiokhoz a jelszavat. 

Szerkesztette: Nagyika 2005. 04. 16. 12:22 -kor

[melon]

Ezért van az többek között, hogy sok helyen a jelszót nem adják ki, hanem csak megváltoztatják. Ekkor elég hamar kiderül, hogy nem az kérte, aki jogosult rá. Persze ez már lehet, hogy késõ bizonyos esetekben.

Szerkesztette: melon 2005. 04. 16. 13:51 -kor

[uboat]

Üdv mindenkinek!
Valaki tudna ajánlani egy olcsó webtarhely szolgáltatót?
Az alábi kritériumok mellet.:
-max 3db mail cim kellene
-max 50v100mb tarhely
-php és mysql
-1db .hu domain regisztrálás!
Köszönöm elröe is!

[Taranov]

Idézet: Harder - Dátum: 2005. ápr. 16., szombat - 10:51

Az email címes azonosítás szerintem nem sokat ér, mert a túlsó oldalon ülõ nem feltétlenül fogja ellenõrizni hogy minden rendben van azzal a maillel ... esetleg ha extrém dolgot kérnek, ellenõrizheti (már ha képes rá - és most nem az itteni szakértõ gárdára gondolok -, hanem a sok helyen elõforduló "közömnincsadolgokhoz csak a telefontkezelem szinte" ügyfelesre) a valódiságát, de ...
Mondok egy példát: mi van ha a tárhelyem jelszavának módosítását kérem (vagy hogy mondják meg mert vidéken vagyok)? Nem furcsa kérdés, valszeg gyorsan reagálnak is aztán fél percbe telik max hogy töröljek mindent.

A telefonszámos azonosítás már szerintem elfogadható (ha ténylegesen be is tartják), ha nem az elõre jelzett számról hívom, ne csinálják meg amit kérek.

Legegyszerûbbnek egy jelszavas vagy jelszóként funkcionáló mondatot tartok, ott egyértelmûen tudják hogy jogosult vagyok-e a módosításokat kérni vagy sem.

Ez az egész amúgy azért érdekel, mert sok ügyfélnél futottam bele hogy nekem kellett intézkednem a tárhelyükkel kapcsolatban (pl. nem tudták a jelszót/ftpcímet stb..  és töltöttem volna fel az anyagokat, vagy sql-t kellett igényelni stb..) és hihetetlen, hogy egy aránylag egyszerû (és hihetõ) "mesével" (ami esetemben amúgy igaz is volt ) mi mindent el lehet érni anélkül, hogy tulajdonképpen bármi módon beazonosítottam volna magam.

Nem hiszem, hogy valós esélye lenne annak, hogy valaki vissza akarna élni az adatokkal.
Egyébként, ha egy jelszóval azonosíthatod magad az ügyfélszolgálaton, és megadod a jelszót egy kollégádnak (mert általában több ember is hozzáférhet a tárhelyhez, programozó, designer stb.), akkor a kollégád ugyanúgy kérheti a tárhely jelszavának módosítását. Te viszont nem kérheted az ügyfélszolgálati jelszó módosítását, hogy a kollégád ne kérhessen módosítást, hiszen akkor már azt hiszik, hogy rosszban sántikálsz 
Szerintem ez az egész egy képzeld, nem valós veszély.

[Gaab]

Idézet: Taranov - Dátum: 2005. ápr. 16., szombat - 22:19

Szerintem ez az egész egy képzeld, nem valós veszély.

Attol fugg, mifele tartalomrol van szo, es mennyire komoly szolgaltatonal.
Szep kifejezes a "social engineering" ugye

=G=

[Harder]

Taranov, nem akarlak megbántani de én ezt már csak magyarázkodásnak érzem miért is ne vezessetek be vmi biztonságosabb módszert az ügyfelek azonosítására mint a jelenlegi. Elég ha 1x ráfáztok egy kirúgott alkalmazott, ellenség, rivális cég stb.. miatt. Abban bízni és arra építeni, hogy "ez egy képzelt, nem valós veszély", szerintem ma már botorság.

[andrej]

Idézet: Harder - Dátum: 2005. ápr. 16., szombat - 23:46

Taranov, nem akarlak megbántani de én ezt már csak magyarázkodásnak érzem miért is ne vezessetek be vmi biztonságosabb módszert az ügyfelek azonosítására mint a jelenlegi. Elég ha 1x ráfáztok egy kirúgott alkalmazott, ellenség, rivális cég stb.. miatt. Abban bízni és arra építeni, hogy "ez egy képzelt, nem valós veszély", szerintem ma már botorság.

Nem védeni akarom, de mondjuk mi van ha aszondja az "üffél" hogy elfelejtette az admin oldal jelszót? Ez esetben hogy azonositod? Altalaban a telefonos ufszolgalatok egy ufszam+lakcimet ker mindenhol es maris hello. Effektiv ha ezeket megtalalja/kideriti vki, akkor is kenytelen vagy elhinni a dolgot.

[Harder]

Akkor megszívta az ügyfél.. Na jó, viccen kívül: tökéletesnek persze ez a megoldás sem tökéletes, de még mindig tartom hogy egy plusz elem beépítése az azonosítási procedúrába növeli a biztonságot. (Azt meg már mindenki döntse el maga, mennyi elemet tart szükségesnek. )

[pgyafi]

Idézet: andrej - Dátum: 2005. ápr. 17., vasárnap - 0:23

Nem védeni akarom, de mondjuk mi van ha aszondja az "üffél" hogy elfelejtette az admin oldal jelszót? Ez esetben hogy azonositod? Altalaban a telefonos ufszolgalatok egy ufszam+lakcimet ker mindenhol es maris hello. Effektiv ha ezeket megtalalja/kideriti vki, akkor is kenytelen vagy elhinni a dolgot.

pár példa:

- bemegy személyesen, viszi a céges papírjait meg a szerzõdést és kap másikat
- InteWare: elfaxolja a céges papírokat meg azt, hogy mit szeretne és faxon kap egy új jelszót
- Axelero: elfaxolja, hogy mit szeretne (feltûntetve az összes adatot), és az eredtileg megadott fax számra küldenek egy új jelszót
- Pgsm van egy (ügyfélkód+) jelszó aminek ismeretével bármit csinálhatsz
+ pl. matáv tõlem nem fogadta el a telefon vonal felmondását ami az apósom nevén van, pedig minden adatát tudtam azonnal

[pgyafi]

Idézet: Taranov - Dátum: 2005. ápr. 16., szombat - 23:19

Nem hiszem, hogy valós esélye lenne annak, hogy valaki vissza akarna élni az adatokkal.
Egyébként, ha egy jelszóval azonosíthatod magad az ügyfélszolgálaton, és megadod a jelszót egy kollégádnak (mert általában több ember is hozzáférhet a tárhelyhez, programozó, designer stb.), akkor a kollégád ugyanúgy kérheti a tárhely jelszavának módosítását. Te viszont nem kérheted az ügyfélszolgálati jelszó módosítását, hogy a kollégád ne kérhessen módosítást, hiszen akkor már azt hiszik, hogy rosszban sántikálsz 
Szerintem ez az egész egy képzeld, nem valós veszély.

Ez egyre jobban létezõ dolog (lesz).
Ha a megrendelõ cégén belül kerülnek illetéktelen kezekbe az azonosításhoz szükséges dolgok, akkor az már nem a te felelõsséged. De ha nincs valami normálisabb azonosítási dolog vagyis mindent elhiszel  + bejön egy ilyen eset, a megrendelõ biztosan távozik.

Nézd meg pl. a céges internetes bankok mûködését! Van 1-2-3 jelszó, aki azt tudja az bármit csinálhat. Ugye a bankot nem érdekli, hogy milyen ip címrõl, milyen géprõl, milyen hangon beszélsz hozzájuk.
+ A bankot nem érdekli, hogy ha esetleg nem megfelelõ kezekbe kerülne ezek az azonosító dolgok (és ezt te nem jelzed feléjük) és ebbõl károd származik.

[Taranov]

Idézet: Harder - Dátum: 2005. ápr. 16., szombat - 21:46

Taranov, nem akarlak megbántani de én ezt már csak magyarázkodásnak érzem miért is ne vezessetek be vmi biztonságosabb módszert az ügyfelek azonosítására mint a jelenlegi. Elég ha 1x ráfáztok egy kirúgott alkalmazott, ellenség, rivális cég stb.. miatt. Abban bízni és arra építeni, hogy "ez egy képzelt, nem valós veszély", szerintem ma már botorság.

Lehet, hogy én csinálom rosszul, de szerintem nem erre építek, csak ez az ügyfélszolgálati jelszó semmiképpen sem megoldás.
Mivel nem kérhet mindent személyesen az ügyfél, ezért az egyetlen azonosítási módszer (a  jelszón felül) az aláírás, amit ugye használnak is, viszont mint tudjuk, ez is meghamisítató, fõleg azért, mert senki sem milliméterre pontosan ugyanúgy ír alá.

[Taranov]

Idézet: pgyafi - Dátum: 2005. ápr. 17., vasárnap - 7:31

+ pl. matáv tõlem nem fogadta el a telefon vonal felmondását ami az apósom nevén van, pedig minden adatát tudtam azonnal

Mi a magán ISDN felmondását mindenféle adat és megrendelõlap kitöltése nélkül intéztük az 1212-n.
Ezután 1-1,5 héten belül leszerelték az NT-t és byebye, akárki megcsinálhatta volna, csak a telefonszám kellett hozzá.

[qnadam]

Idézet: pgyafi - Dátum: 2005. ápr. 17., vasárnap - 9:36

Nézd meg pl. a céges internetes bankok mûködését! Van 1-2-3 jelszó, aki azt tudja az bármit csinálhat. Ugye a bankot nem érdekli, hogy milyen ip címrõl, milyen géprõl, milyen hangon beszélsz hozzájuk.
+ A bankot nem érdekli, hogy ha esetleg nem megfelelõ kezekbe kerülne ezek az azonosító dolgok (és ezt te nem jelzed feléjük) és ebbõl károd származik.

sok bank csinálja (pl nálam az erste), hogy a jelszavakon felül az adott mûvelet elvégzése elõtt küld egy kódot smsben az elõre megadott számra, és azt is meg kell adnod

[pgyafi]

Idézet: qnadam - Dátum: 2005. ápr. 17., vasárnap - 10:46

sok bank csinálja (pl nálam az erste), hogy a jelszavakon felül az adott mûvelet elvégzése elõtt küld egy kódot smsben az elõre megadott számra, és azt is meg kell adnod

az erste magán valóban így megy, de a cégesnél már 1 felh név, 1 azonosító, és 2 jelszó van
(nincs sms küldés)

[andrej]

Jesszusom, azert ne hasonlitsunk mar egy webhostingot egy bankhoz. Egyebkent akkor mar kapjanak egy usernevet, 2048bites DSA kulcsot es plusz azonosito kodot, ja es ha elhagyjak akkor fizessenek 10e+afat.. LOL

Aztán ugyeugye a sok occouser megis milyen auth infrastrukturara telhet? A másik a viszonylag kevés normális árat fizetõ user.

[pgyafi]

Idézet: andrej - Dátum: 2005. ápr. 17., vasárnap - 11:58

Aztán ugyeugye a sok occouser megis milyen auth infrastrukturara telhet? A másik a viszonylag kevés normális árat fizetõ user.

pl. egy ügyfél kód és egy ügyfél jelszó  (ezt sok helyen használják)

[andrej]

Egy kicsit más dolog:

AKI EMAILBEN KÉR AJÁNLATOT AZ LÉTEZÕ CÍMRÕL TEGYE!

Nomert tegnap volt valaki, aki beesett az oldalunkról (szombat 17:45 körül), hogy szeretne 100MB-ot, csakhogy sikerült nemlétezõ címrõl maileznie. A cím látszólag okés egyébként. Már látom elõre, hogy mi leszünk az üfféllelnemfoglalkozás oltára náluk. Roppantmód boldog tudok ezektõl lenni. Aki esetleg magára ismer és nem sértõdött meg egy életre, az lesz szíves újra mailezni.

[Jahno]

Idézet: qnadam - Dátum: 2005. ápr. 17., vasárnap - 9:46

sok bank csinálja (pl nálam az erste), hogy a jelszavakon felül az adott mûvelet elvégzése elõtt küld egy kódot smsben az elõre megadott számra, és azt is meg kell adnod

Simán. Csak ne hasonlítgassuk a bankot webhostinghoz, vagy fizessenek nekem is annyit, hogy megérjen egy infrastruktúrát fenntartani. Nálam eddig 1 szem cég igényelt https:-t, ami után minden számlát késve fizettek, havidíjat meg nem emeltem érte. Következõnél asszem izmosabb lesz az emelés, mint azt elõre terveztem.