Witam !
U was też tak jest ? Po wylogowaniu się z banku (oczywiście https) naciskając "wstecz" widzę ponownie stronę szyfrowaną ze wszystkimi danymi... ! /opera 8.5/
Ta sama operacja pod IE/ Avant Browser przebiega prawidłowo - nie da się nic podejrzeć .
Wydawało mi się ,że wszystko poustawiane mam prawidłowo , ale jak widać niekoniecznie...
Gdzie szukać błędu ?
Będę wdzięczny za odzew w tej ważnej dla mnie sprawie.
Pozdrawiam - jate
Potwierdzam, Opera przechowuje w pamięci RAM ostatnie strony i z tej pamięci je odczytuje. jedynym wyjściem jest zamknąć okno. Ponowne otwarcie skutkuje stroną logowania. Pocieszające jest to, że tak czy owak nie da się wykonać żadnej operacji, ponieważ sesja jest zakończona, a wyświetlany obraz strony pochodzi z pamięci Opery, co nie zmienia faktu, że jest to NIEDOPUSZCZALNY bug.
Przydałaby się np dezaktywacjaprzycisków Dalej/Wstecz na stronach https albo coś...
Małe to pocieszenie ,że nie tylko u mnie tak jest...Wykonać operacji może i się nie da, ale jak na dłoni widoczne są wszystkie namiary stanu kont, ich numerów , stanu kart kredytowych i ...Aż się wierzyć nie chce!
Jak twórcy opery przepuścili taką niedoróbkę ???!!!
Dzięki za odpowiedź.
Originally posted by yarecco:
[...]jest to NIEDOPUSZCZALNY bug.
Przydałaby się np dezaktywacjaprzycisków Dalej/Wstecz na stronach https albo coś...
No nie wiem czy to jest takie dobre rozwiazanie. Kiedy korzystam ze stron mojego banku
ciagle uzywam Wstecz. Klikanie po kazdej operacji linka do strony glownej czy poziom wyzej
w opcjach jest uciazliwe, ladowanie strony (na ktorej przed chwila bylem!) zajmuje kilkadziesiat
sekund.
Nie powinno byc natomiast mozliwosci zrobienia Wstecz juz po zakonczeniu polaczenia z bezpieczna
witryna. Chyba kwalifikuje sie to jako blad bezpieczenstwa.
Hmmm.. przyznam, że sprawdzałem to na stronach https ale nie bankowych. Jesli chodzi o BZ WBK i jego Centrum 24 to nie ma szans na takie numery. Po wylogowaniu się i naciśnięciu WSTECZ widzisz białą stronę.
Przy okazji słowo na ten temat od kogoś z Opera Software:
Originally posted by yngve:
It is up to the webmaster to indicate how sensitive a document really is.
There are two options available for the webmaster: "no-store", which indicate memory-only storage, and "must-revalidate" which indicates that the validity of the document must be checked each time the document is displayed.
W skrócie: webmaster decyduje, czy strona ma pozostawać w RAM cache czy byc odświeżana przy każdym wyświetleniu i taka informacja idzie do przeglądarki. jeśli to pierwsze ( tak jest w Twoim przypadku, i w Panelu Neostrada na przykład) - to Opera trzyma ją w cache. Gdyby autor strony uzył "must-revalidate" - wówczas Opera zażądałaby odświeżenia strony, czyli powtórnego zalogowania przy każdym wyświetleniu.
Na Twoim miejscu po prostu zmieniłbym bank:)
BTW: co to za bank tak "zabezpiecza" swoje strony?
Ten bank to poczciwy ... mbank !!! Internetowy wszak ,więc tam dbałość o bezpieczeństwo powinna być na wzorcowo, wysokim poziomie...
Ale podobnie jest też w BOŚ / bossa/...
Gdzie jeszcze ? Może dopisujcie te perełki ?
Ja z kolei potwierdzam, że w mBanku po wylogowaniu i cofnięciu się na poprzednie strony pokazuje mi wszystko tak, jakbym był zalogowany. Oczywiście serwis nie działa, ale można na przykład podejrzeć stan konta i takie tam drobiazgi.
DODANE: Opera 8.51, kompilacja 7712, Windows XP SP2
Oj chyba cos nie tak u Ciebie z poprawnym wylogowaniem.
U mnie po wylogowaniu i wciśnięiu BACK strona wygląda tak:
mbank.JPG
ew. tak:
error.JPG
czyli cała transakcyjna częśc strony jest niewidoczna, a próba odświeżenia kieruje na strone logowania.
Originally posted by AbdulMumit:
DODANE: Opera 8.51, kompilacja 7712, Windows XP SP2
Potwierdzam
Wersja 8.51 Kompilacja 1462 Platforma Linux System i686, 2.6.10-6-k7 Biblioteka Qt 3.3.3
Przed zalogowaniem wyczyściłem pamięć podręczną. Po prawidłowym wylogowaniu się moge wciskając klawisz wstecz, prześledzić każdą stronę jaką zobaczyłem w trakcie "bankowania".
Potwierdzam dla mBanku - WinXP SP2, Opera 8.51 b. 7712.
Pozdrawiam,
janbar.)
Opera 9.00 Preview 1 #1428, Linux jest to samo, tyle że można na sprawę patrzeć dwojako. Albo oczami paranoika, dla którego bezpieczeństwo to podstawa albo oczami osoby, która ceni sobie również funkcjonalność. IMO podejście praktyczne, tj. takie, w którym strony za zapisywane w pamięci, jest tym właściwym, bo de facto niewiele się na bezpieczeństwie traci. Wystarczy przecież zamknąć tab, żeby dane zostały usunięte z pamięci. Oczywiście, miła byłaby opcja automatycznego usuwania bezpiecznych stron z pamięci po przejściu na piniebezpieczną stronę, ale jest to jednak, w moim odczuciu, bajerek.
Originally posted by mina86:
Wystarczy przecież zamknąć tab, żeby dane zostały usunięte z pamięci.
Chyba raczej „zamknąć Operę”, bo po zamknięciu i otwarciu taba „wstecze” nadal działają, jak opisano.
Hmm... no to rzeczywiście... W takim razie, potrzebna jest opcja usuwania z pamięci bezpiecznych stron po zamknięciu tabu
Właśnie się natknąłem na opcje, które rozwiązują chyba problem: opera:config -> Cache -> Always Reload HTTPS In History oraz Cache HTTPS After Sessions. Nie wiem czy są obecne w czymś wczesniejszym niż Opera 9.0TP2.
Zaptaszkowanie tej opcji rozwiązuje problem dla MBanku — potwierdzam. Ale to i tak mierne zabezpieczenie, bo działa w chwili powracania na stronę, a nie wychodzenia z niej, a zatem jeśli ja wyloguję się z MBanku, a nawet zamknę kartę, to ktoś potem może:
— odptaszkować stosowną opcję,
— przywrócić stosowną kartę,
— oglądać sobie, co też ten AbdulMumit ma na koncie.
Inteligo:
swobodnie można podróżować wstecz i naprzód w histori stron, później wciskając cokolwiek zostajemy przeniesieni do strony logowania, no ale pooglądać wszystko można...
Konfiguracja w stopce.
Ps. Jakiś rok temu zgłosiłem ten problem administratorom Inteligo - kategorycznie zabronili mi używać Opery do korzystania z rachunku i namawiali mnie abym logował się przy pomocy bezpieczniejszego Internet ExploDera
Pozostaje tylko na koniec sesji https wcisnąć >Wyczyść hstorię pzeglądania...ale wtedy tracimy wszystko z cashu.
Mówiąc szczerze taki stan rzeczy dyskwalifikuję OPERĘ jako bezpieczną przeglądarkę, a swoim tłumaczeniem gość z OSA się ośmiesza. Ciekawe ze IE i Firefox reagują na ten stan rzeczy poprawnie. Zamiast zganiać winę na webmastera goście z OSA powinni uderzyć się pierś i w nastepnej wersji ten błąd bezwzględnie usunąć.
Originally posted by marekk:
a swoim tłumaczeniem gość z OSA się ośmiesza.
Taki z ciebie fachowiec?
Opera robi dokladnie to, czego chce od niej webmaster. A ze webmaster nie wie, czego tak naprawde chce, bo nie wie, ze jest cos takiego jak RAM cache i ze dla zachowania bezpieczenstwa danych nalezy ustawic odpowiedni parametr, to juz nie wina Opery, a nieuctwa webmastera.
Originally posted by marekk:
Ciekawe ze IE i Firefox reagują na ten stan rzeczy poprawnie
Przegladarki te zachowuja sie niezgodnie ze zdefiniowanymi oczekiwaniami, wiec reaguja niepoprawnie. Pewnie dlatego, ze IE w ogole nie posiada RAM cache, natomiast w Firefoksie wprowadzono to dobiero w wersji 1.5.
Reasumujac: troche logiki. W tym wypadku to nie Opera jest niebezpieczna. To serwisy nie sa bezpieczne przez ignorancje tworzacych je ludzi.
Operze moze nie pozostac nic innego, jak zmienic zachowanie przyszlych wersji tak, aby dzialaly niezgodnie ze specyfikacja i zawsze odswiezaly strony https, gdyz w przeciwnym wypadku "wybitni fachowcy" beda w nieskonczonosc oskarzac jej tworcow o osmieszanie sie... A moze powinni pojsc jeszcze dalej i w ogole zrezygnowac z funkcji RAM cache. Po co ona komu, skoro w IE jej nie ma, a tworcy bezpiecznych podobno serwisow nie potrafia jej prawidlowo obsluzyc?
Zdaje sie, ze powinni dodac te opcje wlasnie na wypadek zle zaprojektowanego serwisu.
Pozdrawiam,
janbar.)
Originally posted by nunio:
Originally posted by marekk:
a swoim tłumaczeniem gość z OSA się ośmiesza.
Operze moze nie pozostac nic innego, jak zmienic zachowanie przyszlych wersji tak, aby dzialaly niezgodnie ze specyfikacja i zawsze odswiezaly strony https, gdyz w przeciwnym wypadku "wybitni fachowcy" beda w nieskonczonosc oskarzac jej tworcow o osmieszanie sie...
Akurat w kwestii trzymania lub raczej nie trzymania standardów, OPERA już dawno straciła cnotę. Pisali już na tym forum o tym lepsi znawcy tej przeglądarki ode mnie. Typowy przykład moralności Kalego.
Originally posted by marekk:
Typowy przykład moralności Kalego.
O to, to, to... Jak na Kalego przystalo wolales pominac milczeniem glupkowatosc swojej poprzedniej wypowiedzi .
A to, o czym tutaj mowimy, nie jest standardem.
Wersja 8.52 nie wniosła niestety nic nowego - czyli dalej jest źle...
dodam , że podobnie jest z pocztą na wp , po wylogowaniu swobodnie można wrócić do strony z pocztą i..zobaczyć okieno z mailami które przed chwilą opuściłem.
No to w takim razie 'respecta' dla home.pl, gdzie mam konto
Logowanie > lista maili > otwarcie maila > wylogowanie > wstecz: strona logowania!
//edit
poczta.onet.pl....
kupa, można czytać wstecz.