Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

KK, Air Polonia, SSL - a moze to ja gupi jezdem?

0 views
Skip to first unread message

bzdreg

unread,
Sep 13, 2004, 10:10:38 AM9/13/04
to
Witam.
Jestem sobie na stronce "Kup bilet" f-my Air Polonia.
(www.airpolonia.com.pl KupBilet itd...)
Formularz zapewnia o 128b. szyfrowaniu SSL, prosi mnie o podanie numeru
karty kredytowej, a nie świeci się żadna kłódka...
W tym samym czasie, na tej samej przeglądarce przy otwarciu np. strony
logowania w mBanku kłódka jest jak trza...

Na dowód screenshoty (gif-y po ok 40kB każdy):
http://republika.pl/bzdreg/img/airpol.gif
http://republika.pl/bzdreg/img/mbank.gif

Czy ja może czegoś nie wiem (nie rozumiem), czy ktoś tu ściemnia?
Jak to jest z tym szyfrowaniem?


--

Thanks. Regards. bzd.


ruf10

unread,
Sep 13, 2004, 10:14:10 AM9/13/04
to
bzdreg wrote:
> <...>

> Czy ja może czegoś nie wiem (nie rozumiem)

masz rację, nie rozumiesz;
strona z formularzem nie musi być szyfrowana - nie ma na niej żadnych
poufnych danych, dopiero jak wyślesz przeglądarka (może) pokaże kłódke.
nie musi, bo wynikiem szyfrowanego zapytania może być przekierowanie do
nieszyfrowanej strony.

jak chcesz mieć pewność zobacz czy jest na stronie
<form action="https://...


--
rufio.pzdr();

bzdreg

unread,
Sep 13, 2004, 10:40:42 AM9/13/04
to
Użytkownik "ruf10" <ru...@op-kropka-pl.nospam> napisał w wiadomości
news:4145abb4$1...@news.home.net.pl...

1. Dziękkuję za objaśnienie. Rozumiem. :)
Tylko - że to troszkę do bani, jeśli juzer nie widzi, czy strona jest
naprawdę szyfrowana :(
Dla mnie istotne jest, czy dane z formularza zostaną przesłane w połączeniu
szyfrowanym - wolałbym tę kłódkę widzieć zanim numer karty wyślę w świat.

2. Nie ma <form action="https...
Jedyne "https" na tej stronie jest zdaje się "w moją stronę", przed
"wyślij" - ale może to już jest to, o czym piszesz, tylko troszkę inaczej:
<iframe frameborder="0" marginwidth="0" marginheight="0" scrolling="auto"
src="https://www.booksecure.net/AirPolonia/Criteria.aspx?lang=pl"
name="booking" width="780" height="1200" marginwidth="0" marginheight="0"
align="left" frameborder="0">IFRAME here !</iframe>

Tylko w takim razie dlaczego nie ma kłódki?
(Tzn sam sobie odpowiem - pewnie dlatego, że szyfrowana jest tylko ramka, a
nie strona - ale problem nr 1. pozostaje: ja, juzer, chcę widzieć kłódkę
_zanim_ wklepię numer...)


--

Dziekuje. bzd.


ruf10

unread,
Sep 13, 2004, 10:53:21 AM9/13/04
to
bzdreg wrote:

> 2. Nie ma <form action="https...
> Jedyne "https" na tej stronie jest zdaje się "w moją stronę", przed
> "wyślij" - ale może to już jest to, o czym piszesz, tylko troszkę inaczej:
> <iframe frameborder="0" marginwidth="0" marginheight="0" scrolling="auto"
> src="https://www.booksecure.net/AirPolonia/Criteria.aspx?lang=pl"
> name="booking" width="780" height="1200" marginwidth="0" marginheight="0"
> align="left" frameborder="0">IFRAME here !</iframe>

no to przejrzyj źródło ramki

> Tylko w takim razie dlaczego nie ma kłódki?
> (Tzn sam sobie odpowiem - pewnie dlatego, że szyfrowana jest tylko ramka, a
> nie strona - ale problem nr 1. pozostaje: ja, juzer, chcę widzieć kłódkę
> _zanim_ wklepię numer...)

nie ma problemu - można zaszyfrować strone z formularzem a dane wysłać
niezaszyfrowane, po czym przekierować na strone zaszyfrowaną.
efekt= kłódka jest a dane idą otwartym tekstem :D


--
rufio.pzdr();

MiKo

unread,
Sep 13, 2004, 11:26:37 AM9/13/04
to
bzdreg wrote:

> 1. Dziękkuję za objaśnienie. Rozumiem. :)
> Tylko - że to troszkę do bani, jeśli juzer nie widzi, czy strona jest
> naprawdę szyfrowana :(
> Dla mnie istotne jest, czy dane z formularza zostaną przesłane w połączeniu
> szyfrowanym - wolałbym tę kłódkę widzieć zanim numer karty wyślę w świat.

I to jest niestetu grzech Microsoftu - zamiast wyedukowac ludzi na czym
polega szyfrowane polaczenie, wmawia im ze jak "jest klodka" to jest
bezpiecznie a jak nie ma - to niebezpiecznie. Ech....

Mozna poprosic airpolonia o dodanie gifa: <img src="klodkassl.gif"> i
juz userzy beda szczesliwi ;)

> nie strona - ale problem nr 1. pozostaje: ja, juzer, chcę widzieć kłódkę
> _zanim_ wklepię numer...)

Przy bankomacie rowniez?

Miko

Michał Szafrański

unread,
Sep 13, 2004, 12:47:09 PM9/13/04
to
Jednak autor wątku ma rację. Airpolonia rzeczywiście 'ściemnia'.
Faktem jest, że stosują szyfrowanie przesłanych danych, ale robiąc
to w ten sposób niewiele zabezpieczają. Jeśli strona z formularzem
jest niezabezpieczona SSL-em to nie mam pewności czy wypełniam go na
prawdziwej czy podstawionej stronie. I nawet gdy w 'action' jest
'https://' to i tak nie mogę mieć pewności, że zostanę prawidłowo
przekierowany, bo nie wiem czy certyfikat na docelowej
stronie jest poprawny. Odwrotnie, gdy strona z formularzem jest
szyfrowana i uwierzytelniona to jestem pewien, że łączę się
z właściwą stroną airpolonii i (hipotetycznie) mam do nich
zaufanie, że strona docelowa formularza również będzie szyfrowna.
--
m.

MK

unread,
Sep 13, 2004, 3:31:47 PM9/13/04
to
"bzdreg" <bzdreg_at_o...@null.com> wrote in message
news:ci4ben$88e$1...@news.onet.pl...

>
> Tylko w takim razie dlaczego nie ma kłódki?
> (Tzn sam sobie odpowiem - pewnie dlatego, że szyfrowana jest tylko ramka,
a
> nie strona - ale problem nr 1. pozostaje: ja, juzer, chcę widzieć kłódkę
> _zanim_ wklepię numer...)
>

Nie ma problemu.
https://www.booksecure.net/AirPolonia/Criteria.aspx?lang=pl klikasz i
widzisz...

Maciej

Marek Wawro

unread,
Sep 13, 2004, 5:52:26 PM9/13/04
to
bzdreg wrote:
> Witam.
> Jestem sobie na stronce "Kup bilet" f-my Air Polonia.
> (www.airpolonia.com.pl KupBilet itd...)
> Formularz zapewnia o 128b. szyfrowaniu SSL, prosi mnie o podanie numeru
> karty kredytowej, a nie ¶wieci siê ¿adna k³ódka...
> W tym samym czasie, na tej samej przegl±darce przy otwarciu np. strony
> logowania w mBanku k³ódka jest jak trza...
>
> Czy ja mo¿e czego¶ nie wiem (nie rozumiem), czy kto¶ tu ¶ciemnia?

> Jak to jest z tym szyfrowaniem?

Formularz faktycznie jest wysyłany via ssl na strone securebook.net
(cholera ci wie co to jest) ale co śmieszne zwracany jest w formie nie
kodowanej (w przypadku błedu w źle wypełnionych danych).
Co powoduje, że wykonywanie transakcji przy pomocy strony airpolonia.com
jest ryzykowane, w momencie gdy ktoś może nasłuchować ruch z naszego
komputera (sieci osiedlowe, wirus itp itd).

Zresztą airpolonia pisze jest "zabezpieczone" a nie "bezpieczne" ;)

Marek Wawro

Gradda Makker

unread,
Sep 14, 2004, 5:24:00 AM9/14/04
to
MiKo napisał(a) [9/13/2004 5:26 PM]:

> bzdreg wrote:
>
>> 1. Dziękkuję za objaśnienie. Rozumiem. :)
>> Tylko - że to troszkę do bani, jeśli juzer nie widzi, czy strona jest
>> naprawdę szyfrowana :(
>> Dla mnie istotne jest, czy dane z formularza zostaną przesłane w
>> połączeniu
>> szyfrowanym - wolałbym tę kłódkę widzieć zanim numer karty wyślę w świat.
>
> I to jest niestetu grzech Microsoftu - zamiast wyedukowac ludzi na czym
> polega szyfrowane polaczenie, wmawia im ze jak "jest klodka" to jest
> bezpiecznie a jak nie ma - to niebezpiecznie. Ech....

Nie masz racji. "Kłódka" (na ramce poza stroną) to sposób, w który przeglądarka
informuje, że połączenie jest szyfrowane, przesłane zostały niezmienione dane od
tego nadawcy co trzeba, certyfikaty zostały sprawdzone itp. Jest to dużo więcej
niż tylko fakt, że wysyłka będzie zaszyfrowana.

Grzechem Microsoftu jest jedynie to, że w jego oprogramowaniu zdarzają się błędy
(implementacji i konstrukcji) umożliwiające obejście tych zabezpieczeń i
wyświetlenie "kłódki" mimo wszystko.

> Mozna poprosic airpolonia o dodanie gifa: <img src="klodkassl.gif"> i
> juz userzy beda szczesliwi ;)

Czy ty ręcznie weryfikujesz certyfikaty? Czy może wystarczy Ci tylko napis https?

>> nie strona - ale problem nr 1. pozostaje: ja, juzer, chcę widzieć kłódkę
>> _zanim_ wklepię numer...)

I tak trzymać!

[...]

GM

Michał Szafrański

unread,
Sep 14, 2004, 6:54:18 AM9/14/04
to
MK wrote:


> Nie ma problemu.
> https://www.booksecure.net/AirPolonia/Criteria.aspx?lang=pl klikasz i
> widzisz...
>

Nie ma problemu? Po pierwsze okazuje się, że dane klienta trafiają
do firmy będącej właścicielem domeny www.booksecure.net a nie
do AirPolonii. O tej firmie nia ma informacji na stronie AirPolonia
a ich własna wygląda tak: https://www.booksecure.net/
A nawet gdyby na stronach airpolonii informowali, że transakcje
obsługuje firma trzecia, to nadal nie mam pewności, czy faktycznie
tak jest bo ich strona nie jest uwierzytelniana certyfikatem.

--
m.

Adam Płaszczyca

unread,
Sep 14, 2004, 7:53:09 AM9/14/04
to
On Tue, 14 Sep 2004 12:54:18 +0200, Michał Szafrański
<sta...@variable.not.found> wrote:

>Nie ma problemu? Po pierwsze okazuje się, że dane klienta trafiają
>do firmy będącej właścicielem domeny www.booksecure.net a nie
>do AirPolonii. O tej firmie nia ma informacji na stronie AirPolonia
>a ich własna wygląda tak: https://www.booksecure.net/
>A nawet gdyby na stronach airpolonii informowali, że transakcje
>obsługuje firma trzecia, to nadal nie mam pewności, czy faktycznie
>tak jest bo ich strona nie jest uwierzytelniana certyfikatem.

Ech, znowu ludziom sie wydaje, że numer i data ważności karty to
tajemnica straszliwa i jak się wyda, to strasliwe nieszczęścia
następują...
--
___________ (R)
/_ _______ Adam 'Trzypion' Płaszczyca (+48 502) 122 688
___/ /_ ___ ul. Ludwiki 1 m. 74, 01-226 Warszawa
_______/ /_ IRC: _555, http://trzypion.oldfield.org.pl/wieliczka/
___________/ mail: _5...@irc.pl UIN: 4098313 GG: 3524356

Wojciech Nawara

unread,
Sep 14, 2004, 10:00:44 AM9/14/04
to
Adam Płaszczyca napisał(a):

> Ech, znowu ludziom sie wydaje, że numer i data ważności karty to
> tajemnica straszliwa i jak się wyda, to strasliwe nieszczęścia
> następują...

To podaj mi swój :-) Może być na priv...

Michał Szafrański

unread,
Sep 14, 2004, 10:48:21 AM9/14/04
to
Adam Płaszczyca wrote:


> Ech, znowu ludziom sie wydaje, że numer i data ważności karty...

...i pełne dane adresowe, i e-mail, i dwa numery telefonu.

--
m.

0 new messages