BlogPlay.eu



[Aktualizacja]24.playmobile.pl używa nieprawidłowego certyfikatu bezpieczeństwa

03.14.2009 17:52:37 · Opublikowano w ciekawostki, inne, PLAY news

Myślę, że komentarz w tej sprawie jest nie potrzebny, poniższe obrazki wyjaśnią wszystko:

obrazek-11

obrazek-12

obrazek-13

Źródło: DeathName

Najpierw Play zapomina opłacić swoją domenę. Teraz zapomina przedłużyć certyfikat. Ludzie odpowiedzialni za sprawy webowe coś ostatnio nawalają. Miało być fresh a jak jest? …

Aktualizacja:

O komentarz w sprawie certyfikatu poprosiliśmy serwis hack.pl. Oto odpowiedzi na nasze pytanie przesłane przez Mateusza Stępień:

1. Czym jest certyfikat bezpieczeństwa i do czego on służy?

Certyfikat SSL służy przede wszystkim dwom celom:
1. Potwierdzenie autentyczności witryny
2. Zapewnienie szyfrowania danych które będą przesyłane przez sieć

Mówiąc o potwierdzeniu autentyczności witryny – wydawcy certyfikatów maja obowiązek zweryfikować autentyczność podmiotu kupujacego certyfikat. Kupując na przykład certyfikat dla swojej firmy mogę spodziewać się jakiejś formy weryfikacji. Gdy ostatnio kupowałem certyfikaty, Verisign poprosił o dokumenty potwierdzające istnienie firmy oraz potwierdzenie własności domeny. Weryfikacja dokumentów trwała trochę czasu, wiec uzyskanie certyfikatu to faktycznie 2-3 dni. Każda firma ma jednak swoje własne procedury, czy to Thawte czy Geotrust czy tez inni (często reseller stosuje uproszczona procedurę) – najkrótsza i zarazem najmniej pewna procedura z jaka się spotkałem polegała automatyczne na weryfikacji telefonicznej. Ostatnimi czasy wprowadzono tzw. certyfikaty EV (ang. extended validation), które potwierdzają jeszcze autentyczność podmiotu stojącego za dana domena. Osobiście jakoś nie widzę w tym wielkiej korzyści – jest to zwyczajnie kolejny sposób na podniesienie cen (kiedyś to co teraz robi się przez EV było standardem). Tak wiec jeśli łączymy się ze strona, która posiada aktualny (ważny) certyfikat, wystawiony przez ogólnie uznawana jednostkę to generalnie możemy przyjąć, ze na pewno łączymy się z prawdziwym serwerem, należącym do tej organizacji o której mówi certyfikat. Oczywiście i tu mogą być pewne wyjątki ale to już całkiem osobny temat.

W kwestii szyfrowania – certyfikat stanowi podstawę do nawiązania szyfrowanego połączenia. Jeśli chcemy stosować szyfrowanie SSL do własnych celów i nie będziemy udostępniać naszego systemu większemu gronu użytkowników, możemy sami wystawić sobie certyfikat SSL, jednak wtedy każda przeglądarka, klient pocztowy i inne programy będą nas informować, ze certyfikat nie został wystawiony przez zaufany podmiot i zapyta czy chcemy ten certyfikat zaakceptować. To podejście ma sens jednak trzeba być świadomym, że każdy może wygenerować bardzo podobny lub prawie identyczny certyfikat do naszego i podszyć się pod dana
stronę, uzyskując – tak samo jak my – pełne szyfrowanie transmisji
pomiędzy klientem a serwerem.

2. Czym grozi wygasły certyfikat bezpieczeństwa?

Wygaśniecie certyfikatu może oznaczać ogólnie dwie rzeczy – wygaśniecie okresu ważności lub anulowanie certyfikatu przez jego użytkownika lub jednostkę wystawiającą certyfikat z jednego z kilku powodów. Trywialny przypadek to właśnie utrata ważności spowodowana upływem czasu. Jeśli certyfikat jest podpisany przez zaufany podmiot ale wygasł, nadal będziemy mieli dostęp do szyfrowania i wszystkich pozostałych funkcji, jednak dostaniemy informacje, ze certyfikat jest niepoprawny. Innym przypadkiem wygaśnięcia ważności certyfikatu jest jego anulowanie. Główne powody anulowania certyfikatów to ujawnienie prywatnej części klucza szyfrującego (co oznacza, ze nowy posiadacz klucza może do woli fałszować nasz stronę i użytkownicy nie będą w stanie stwierdzić że takie coś ma właśnie miejsce). Jeśli np ktoś włamie się od naszego serwera WWW gdzie mieliśmy zainstalowany
certyfikat SSL, dla pewności i własnego bezpieczeństwa należałoby certyfikat anulować i wystąpić o nowy a w ten sposób uniemożliwić włamywaczowi uruchomienie repliki naszej strony z prawdziwym certyfikatem, którego do tej pory używaliśmy i w ten sposób oszukiwanie naszych klientów. W przypadku włamań do serwerów WWW zasada jest prosta – jeśli nie masz 100% pewności, że włamywacz nie wszedł w posiadanie klucza, należy go jak najszybciej anulować i zastąpić nowym.

3. Jaki ma wpływ wygasły certyfikat na korzystanie przez użytkowników z witryny?

Mówiąc o wygaśnięciu certyfikatu poprzez upłyniecie okresu ważności sytuacja jest dość prosta – w pewnym sensie zabawna a w pewnym sensie tragiczna. Zabawna ponieważ firma powinna pomyśleć o tym wcześniej i wystąpić o nowy certyfikat (tym bardziej ze zaczynając na 3 miesiące przed wygaśnięciem certyfikatu była już bombardowana mailami przypominającymi o jego wygaśnięciu). Tragizm w tym wypadku oznacza utratę zaufania klientów – jak klient ma dokonać np zakupu w naszym sklepie internetowym, jeśli nie ma pewności, że dane są szyfrowane i nikt nie podszywa się pod nas (sklep) w trakcie transakcji? To ile transakcji stracimy w okresie nie posiadania ważnego certyfikatu bardzo łatwo jest przełożyć na pieniądze (utracone korzyści) ale prawdziwe koszty są znacznie większe. Jeśli klient nie dokona transakcji bo nam nie ufa to nie prędko wróci. Moje doświadczenia pokazują, że tzw “utracone korzyści” odbijają się echem przez około miesiąc czasu lub dłużej – w zależności od wagi problemu.

Moje rady dotyczące korzystania z certyfikatów SSL:
Klienci – gdy zobaczycie, ze Waszej przeglądarce nie podoba się certyfikat który dostała od serwera, sprawdźcie co dokładnie jej się nie podoba zamiast klikać w ciemno OK czy inny przycisk, który spowoduje załadowanie strony. Tylko w ten sposób możecie mieć jakakolwiek pewność co dzieje się z Waszymi danymi, informacjami o
kratach kredytowych itd.
Właściciele firm – pilnujcie swoich certyfikatów jak oka w głowie. Jeśli miało miejsce włamanie na serwer to wskazana wymiana serwera na czysty, poprawnie zabezpieczony i koniecznie nowy certyfikat SSL. Nie
bójcie się anulować certyfikat – to zawsze można wykorzystać jako pozytywny, budujący aspekt – w końcu chodzi o poszanowanie Waszych klientów.

Be Sociable, Share!
Źródło:

37 komentarze dla wpisu “[Aktualizacja]24.playmobile.pl używa nieprawidłowego certyfikatu bezpieczeństwa”

  1. dzwon do Gie niech naprawia !!!!1111jedenjeden

  2. A jest overdue.

  3. Sebastian22 napisał:

    No niezła wtopa….

  4. Już nie mówiąc o tym, że każda podstrona zupełnie inaczej wygląda od głównej (np. kolory w menu).Nie można otworzyć elementów memu jako kart, bo zamiast normlanych linków ktoś wsadził kod js.
    A i play24 aktualnie się rozsypuje (przynajmniej u mnie).

  5. IE7: “Wystąpił problem z certyfikatem zabezpieczeń tej witryny sieci Web” 😀 a tak wogóle to sprzydałaby się jakas light’owa strona playa a nie flash syf ;(

  6. DeathName napisał:

    U mnie tylko problemy na FF występują z wyświetlaniem strony, na IE6 jest ok. Ale o certyfikatach nieważnych i tu i tu woła :).

  7. potargany napisał:

    certyfikaty można ominąć
    ale teraz wyskakuje pętla przekierowań

  8. nasa też jest podejrzana witryną 😀
    ale to jest święta prawda 😀

  9. O, Mac OS. 😀 / Ble, Apple.

  10. Trochę to śmieszne POWAŻNA FIRMA

  11. Oni (Play) wogole o wszystkim zapominaja, to przez niedbalosc, bo robia wszystko na szybko w mysl zasady, ze liczy sie ilosc, a nie jakosc. U mnie w miescie chyba zapomnieli, ze zamontowali nadajnik 3G, ktory byl juz gotowy w listopadzie ubieglego roku, a do tej pory (dzis polowa marca 2009) stoi nie uruchomiony. I nie predko sie na to zanosi, bo notorycznie olewaja moje maile w tej sprawie…

  12. Play ostatnio wyżej sra niż d… ma. Odkąd włączyli 2G w Warszawie to ciągle są problemy z MMS i internetem. Nie wiedzieć czemu telefon z 3G często na 2G się przełącza. Ręcznie 3G ustawić na stałe się zaś nie opłaca, bo np. w metrze telefon całkowicie siada. Ciężko jest…

  13. poinformowany napisał:

    A ja z innej beczki.
    Chcę zaapelować do wszystkich odnośnie nowych promocji simplusa a mianowicie tanio ze wszystkimi.

    Wysyłajcie maile do UOKIK no bo to są jakieś jaja plus oskarżał play za reklamę porównawczą a sami nie są warci funta kłaków, oszukują w żywe oczy i nawet niema żadnej gwiazdki no to już nie wiem za miesiąc napiszą ze minuta po ćwierć rubla i może gdzieś tam na końcu napiszą ze to był żart albo między szósmą a kwietniem po północy do tustonki. Ja już wysłałem i zapraszam do wysyłania juz wiele osób poparło ten pomysł trzeba walczyć z niezdrową konkurencją.

    Największa sieć w Polsce burzy stary porządek – tak jest reklamowana nowa taryfa Simplusa – taki napis widnieje na ulotkach hehe śmiechu warte.
    Za dużo sobie pozwalają.
    link do foto ulotki —>
    http://www.telepolis.pl/news.php?id=14256

    Pozdro Elo

  14. Pamiętam na pooczątku przez parę miesięcy walczyłem z debilami (sorry ale taka prawda), żeby poprawili stronę logowania, bo regularnie trafiałem w ‘pustkę’ czyli nigdzie. Co prawda ja to obszedłem, ale inni z pewnością nie.

    Ale naprawili – co prawda po nie wiem ilu interwencjach i miesiącach…

    Niestety mam jak najgorsze zdanie o informatykach, którzy mają do czynienia ze stronami web – gdziekolwiek – zwykła arogancja i brak profesjonalizmu. Pierwszym lepszym przykładem jest robienie stron POD ich ekran komputerowy i zapominanie o innych urzytkownikach (nagminne jest ‘panoramowanie’). A wystarczyłoby przyswoić sobie ABC przyzwoitego projektowania stron, tudzież weryfikowanie zgodności ze standardami.

  15. Bartosz – mnie też wkurzały zawsze strony z setkami fleshy – to ostatnio jakaś szaleńcza moda – w końcu założyłem dodatek w FF i mam spokój. W miejsce fleshy mam ikonki i nic więcej… :))

    A jak chcę jakiegoś flesha zobaczyć, wystarczy przycisnąć na ikonkę.

  16. A jaka to wtyczka do ff jest o której mówisz? Bo chętnie taka zainstaluje

  17. a ja właśnie ciągle trafiam w pustkę przy logowaniu…. muszę to obchodzić dodatkowymi linkami :/

  18. Galaktyczny Edek napisał:

    Ja dodam jeszcze jeden kamyczek do ogródka – serwis Playa słabo działa z przeglądarką Opera, na przykład należy zapomnieć o serwisie Play24 jeśli ktoś używa Opery 9.xx.

  19. failled napisał:

    polecam przeglądarkę Safari od apple’a, strona playmobile.pl najlepiej działa na tej przeglądarce… potwierdzam, Operę najczęściej używam i playmobile.pl sypie się całkowicie.

  20. Na Telepolis jest test Samsunga F480, najlepszego telefonu w Play za 1 zł :-))

  21. no a czy ktos korzystał z serwisu polbank.pl tam to sa cyrki i syf to sie nazywa jak spier**** strone web i obsługe klienta przez beznadziejny serwis .

  22. tomme45i napisał:

    @Galaktyczny Edek, skorzystaj z Opery 10.xx – działa zdecydowanie lepiej i możesz się bez problemu zalogować na stronie 24.playmobile.pl

  23. @tomme45i no tak ale co to za frajda logować się jeżeli połączenie nie będzie uwierzytelnione ?? Zawsze jest jakieś niebezpieczeństwo 🙂

  24. jednak do kitu dalej Hi Hi Hi

  25. ddluk to czemu dalej można pisać umowy bez bezpiecznego połączenia? 🙁

    bo Play ma to w dupie 😀

  26. @aaaa

    Dla mnie jest to paranoja. Więcej nie będę mówił bo szkoda słów.

  27. POLBANK :)))) No tak – TYLKO na IE – w FF nie można już nic zrobić, bo wymyślili sobie porąbane certyfikaty i szyfrowanie – używam TYLKo dlatego, że mają dobry procent na rachunku, bez ograniczń wypłat – ale w porównaniu choćby do mBank, to można na Polbanku osiwieć, nim cokolwiek się zrobi – do tego od tygodnia chyba coś zmieniają i już w ogóle nic nie chodzi :)))

    Ach ci informatycy… :)))

  28. Brak certyfikatu nie oznacza braku szyfrowanego polączenia … oznacza tylko nie potwierdzony klucz a to co innego

  29. JAK sprawdzić Limit bo niema możliwości a na *500 Zero kontaktu ai tak najczęściej zero kompetencji.

  30. ZANIM DOSTANĄ OD THAWTE CERTYFIKAT KLUCZ PUBLICZNEGO PODPISANY CERTYFIKATEM THAWTE MINĄ JAKIEŚ 2DNI!MYŚLĘ ŻE JAK UBŁAGAJĄ THAWTE TO IM PO POŁUDNIU WYDADZĄ!!JEST PEŁNO FIRM W POLSCE, KTÓRE TWORZĄ WŁASNY SSL NIEUWIERZYTELNIONY PRZEZ KOGOKOLWIEK.ZUS CHYBA TAK MA, ZE STWORZYLI SOBIE WŁASNEGO SSL I NIKT GO NIE UWIERZYTELNIA.GENERALNIE KAŻDY MOŻE SAM SOBIE STWORZYĆ SSL TYLKO KTO GO UWIERZYTELNI:)?TO KOSZTUJE GRUBE MILIONY.POZDRAWIAM

  31. Witam
    Teraz do tego dochodzi niemożność wejścia na blog Gruszki “podana strona nie istnieje” 🙁

  32. Ten Play24 to jakaś porażka. Działa jak chce. Zresztą sama strona też nie zachwyca. Mogliby się za to w końcu wziąć.

  33. RastaMan napisał:

    bez paniki 😉 awarie zdarzaja sie wszedzie

  34. Fantastic website you have here but I was curious if you
    knew of any community forums that cover the same topics talked about here?
    I’d really like to be a part of group where I can get feedback from other experienced individuals that share the same interest. If you have any suggestions, please let me know. Appreciate it!

  35. Dzis maja taki sam problem!! Jak to moszliwe ze taki duzi operator zapomyna cos takiego!!

Napisz komentarz

Redakcja serwisu Blog Play zastrzega sobie możliwość moderacji (edycja, usuwanie) komentarzy zawierających wpisy niezgodne z Polskim prawem, obrażające innych użytkowników, zawierające wulgarne czy też obraźliwe treści. Ponadto zabronione jest zamieszczanie ogłoszeń reklamowych.

Redakcja nie ponosi odpowiedzialności za zamieszczone komentarze będące prywatnymi opiniami użytkowników.

Zamieszczone przez użytkowników komentarze nie stanową stanowiska serwisu.