ZBYNEK: Napada me, ze by mohlo by jit o veci typu ze dolar, procento nebo zavinac v hesle se nekde omylem expanduje v nejake sablone na jmeno promenne za tim. Podobne uvozovky a apostrof by nekde mohly omylem ukoncit retezec a zmenit interpretaci okolniho kodu. Takovy veci by se fakt nemely dit, ale kdyz jsi paranoidni opsec, muze byt IMHO lakavy proste vyhlasit befelem zakaz specialnich znaku v libovolnym uzivatelskym vstupu (poznamky k prikazum, hesla, jmena). Lomitka tam pak treba spadnou se vsim ostatnim bordelem ^o^

NELDE: Jestli tou "bezpečnostní dírou" myslíš něco ve stylu XSS (což je ale riziko při zpracování výstupu v prohlížeči, nikoliv bezpečnostní riziko v serverové části), tak řešení na úrovni "zakážeme v heslu vše mimo písmen a čísel" je amatérské řešení.

Jestli myslíš něco jiného, tak jsem fakt zvědavej...

NELDE: Lomítko není v HTML žádný speciální znak.
A netuším co myslíš tou bezpečnostní dírou.

ZAPPO: Některé aplikace, nejspíše aby si to heslo mohli uložit plaintext, omezují vstupní pole třeba na 20 znaků - takže když tam ty z klíčenky pošleš náhodných 32, těch posledních 12 to prostě uřízne a počítá to za validní vstup.

ZAPPO: A testovat varianty bez lomitka, pripadne zdvojene nebo escapovane te to asi nenecha, co? tuhle chybu uz jsem videla vickrat, ale podezrivala bych lomitko. Sama mam v hesle bez potizi &$%@! a cisla. Kazdopadne ano, jsou to blbci.

NELDE: jj byl, minimalne cislo a pomlcka, nejsem si jistej jestli me i lomitko. Ano, je to soucast meho podezreni:)

NELDE: ...coz je taky dost zvlastni, ze (ne jen) banky nepovoluji v heslech znaky mimo a-z A-Z a 0-9. Drive bylo slusnosti davat do hesla aspon nejakou tecku, pomlcku, plus, rovna se atd. A zrovna v hesle jim to muze byt fuk, protoze se z toho stejne udela jen hash a ten se ulozi.

ZAPPO: Nebyl v tom generovaném hesle nějaký speciální znak?

Ja jsem dneska chtel zmenit heslo v internetbankingu Fio
Vysledek je zablokovany ucet a ceka me cesta na pobocku.
Krasa.
Zjevne to ma spatne napsany input validator - takze kdyz jsem zada nove heslo (generovane), tak to na nej zmenilo, ale vzalo to jen neznamou cast - protoze kdyz jsem se pak zkusil prihlasit tim heslem (ulozenym, ctrl C, ctrl V) tak to neslo.
Parada

Dnes vtipná a smutná zkušenost s Monetou. Táta chtěl poslat platbu, ale povedlo se mu (díky omylem přepnuté klávesnici) zablokovat si internetbanku. Chtěl to vzdát, že holt teda zajede na pobočku, aby mu jí odblokovali. Tak říkám, že to zkusíme s tím jejich hlasovým automatem. První pokus zkoušel sám, nebyl úspěšný, nepochopil, že mluví s automatem a že je potřeba čísla diktovat velmi pomalu a zřetelně. Tak jsem to zkusil za něj a když jsem s TOMem prošel všemi diktovacími ověřeními, tak mi TOM oznámil, že internetbanka není zablokovaná. Bohužel dle PC neměl pravdu. takže holt táta cestě na pobočku neujde. Beztak tam bude muset účet zrušit, protože od jara už nebude přihlášení přes SMS dostupné a chytrý mobil táta mít nechce a nebude.

SAYUZ: Zalozeno komplet online. Ani bych si v dnesni dobe netroufal nabizet banku, ktera nedokaze zalozit ucet online, nebo pro overeni totoznosti zada navstevu pobocky (jako treba Fio a Raiffka pri zmene obcanky)

SAYUZ: To asi umožňuje: "Pro dokončení žádosti potřebujete platný občanský průkaz a jako druhý doklad řidičský průkaz nebo cestovní pas. Jiné doklady totožnosti v současné době neakceptujeme. Dále je nutné doložit měsíční výpis z účtu. Doklady nesmí být upravovány a musí být čitelné."

SAYUZ: Zkusil bych tu MaxBank. Hodně záleží na kolik peněz to je potřeba. Já mám mBank jako hlavní a stačí mi ten limit u mSpoření (5,5%). Ale aplikace asi bude jednodušší.

QUIP: Psal jsem to níže, možnost přeposlat peníze hned přes IB a zřízení také přes IB