[quote]Ależ oczywiście... że nie. Każda umowa cywilnoprawna musi być zgodna z obowiązującym prawem. Na pewno znalazło by się coś na czego podstawie można tą umowę podważyć.[/quote]

Pewnie, ze tak. Tylko, ze tu nie widze niezgodnosci z prawem. Poniewaz caly czas uzywasz sformulowan "znalazloby sie cos" to umowmy sie, ze dopoki nie przedstawisz konkretnego paragrafu to jednak moje bedzie na wierzchu. Wiesz, w sadzie tez musialbys na jakiejs podstawie to podwazyc :-).

Poza tym wspominales o konfliktach z np. allegro. Generalnie wiekszosc elementow ochrony prawnej idzie w kierunku ochrony konsumenckiej (to tu najlatwiej znalezc niezgodnosci umow z prawem), w przypadku firm dopuszcza sie wieksza dowolnosc w formulowaniu umow.

[quote]Na pewno wiesz, że dla Ciebie ta informacja nie byłaby tyle warta, ale można też spojrzeć z innej perspektywy.[/quote]

Patrzalem z perspektywy home.pl.

[quote]Swoją drogą gdybym wziął konto na home i nie zapłacił a oni napisaliby, że jak nie wpłacę pieniędzy do tygodnia to skasują pliki i nie przedłużą konta... czy to nie byłaby próba szantażu ;)?[/quote]

No jesli juz podwazysz zgodnosc umowy z home.pl z prawem to mozna sie zastanawiac co dalej ;-). Ale wlasciwie to nadal nie bedzie szantaz, bo przeciez nie obowiazuje Was zadna umowa - Ty tam masz jakies swoje dane w ogole? I jakim prawem? :-).

[quote]Może wyjaśnij jakie to mechanizmy, które zabezpieczą przed używaniem tej samej sesji 2 osoby siedzące na lanie, kiedy mogę podsłuchać cały ruch i po prostu zduplikować wszystko.[/quote]

Mozesz, tylko jak sie wlaczysz to wywali druga osobe. Jeden z pomyslow to stosowanie jednorazowych tokenow. Mozna to rozwijac o kolejne zabezpieczenia (np. przeciw atakowi man-in-the-middle).

[quote]Mi przychodzi do głowy tylko ustalenie kluczy kryptograficznych metodą Diffie-Hellman ale to już zdaje się jest SSL.[/quote]

Niezupelnie, SSL to jest pewien ustalony (choc nieoficjalny) protokol. Ale pomysl ogolnie dobry. Mozesz sobie zrobic jakies wlasne szyfrowanie biegajace po HTTP i nie bedzie mowy o SSL (to kolejny przyklad na to, ze HTTP mozna wykorzystac bezpiecznie :-)). Oczywiscie pytanie po co tak sie trudzic, no ale teoretyzujemy przeciez ;-).

Poza tym Diffie-Hellman w SSL to ostatecznosc, generalnie stosuje sie RSA.

@r-mi - mysle, ze jednak nie uda nam sie przekonac siebie wzajemnie :-).

[quote]No i co z tego, że drugą wywali, przecież dla mnie nie ma to znaczenia jeśli jestem w systemie. I jak chcesz odróżnić osoby, skoro wszystkie dane łącznie z adresem IP są takie same? Mówimy o lanie.[/quote]

Owszem, tak dlugo jak dlugo druga osoba nie bedzie aktywna w systemie, bedziesz mogl dzialac. Ale kolejne zabezpieczenie (prosty JS po stronie klienta) pozwoli Ci symulowac jego aktywnosc, nawet gdy poszedl na kawe. Jesli dwie przegladarki zaczna rownolegle korzystac z tej samej sesji (po zabezpieczeniu np. jednorazowymi tokenami) to mozna wywalic obu uzytkownikow.

Jesli jednak probujesz mnie przekonac, ze zawsze znajdzie sie jakis myk, zeby to obejsc (choc na 3 sekundy) to ja Ci powiem - oczywiscie, ze tak. Ale zaczelismy do tego czy sesja jest bezpieczniejsza od autyryzacji bezposrednio przez GET. I mysle, ze juz mi sie to udalo wykazac.

[quote]Zawsze mnie śmieszyły ograniczenia hostingów nakładane na pornografię.[/quote]

Wiesz, sa firmy, ktore nie maja przeciwko byciu kojarzonym z pornografia i takie, ktore maja cos przeciwko temu. To chyba ich prawo, prawda?

[quote]Co do parametrów - to fakt nie ma w polsce hostingu, który dawałby to za co użytkownik zapłaci.[/quote]

Tez nie przepadam za taka praktyka, pisalem o tym z reszta kiedys: https://di.com.pl/archiwum/13387.html .

Ale coz, do hostingu wkradl sie marketing... Tak jak juz chyba wszedzie z reszta... Nie przepadam za polityka marketingowa wielkich gigantow, ale coz poradzic - ich prawo, a prawem klientow jest nie korzystac z takich ofert. Nie od dzis jednak wiadomo, ze dobrze przemyslany marketing ma jednak korzystne dla firmy dzialanie.

Jesli masz pomysl jak odwrocic ten marketingowy trend i doprowadzic do powrotu do przejrzystych ofert i cennikow to smialo :-).

Dodam tylko, ze czysty FTP nie wygeneruje az takiego obciazenia procesora, sadze wiec, ze jest mozliwosc wykorzystania pelni transferu (na FTP). Zapisy regulaminowe o nadmiernym zuzyciu procesora jakby nie patrzec sluza jednak ochronie klientow wlasnie (aby ktos z zasobozernymi skryptami nie spowolnil serwera, na ktorym "chodza" strony kilkuset klientow).

[quote]Każdy komu nie są obce elementarne zasady logiki pewnie wie, że chyba jakiś debil to pisał. No chyba, że dwie luki dzięki którym uzyskano dostęp są mało istotne.[/quote]

Ja tam nie neguje, tylko caly czas mowie, ze "krytyczne" z punktu widzenia administratora serwisu, a nie home.pl. Nie przekonasz mnie do tak wielkiego nagiecia definicji luki krytycznej :-).

Ojej, jaka sensacja! ;)
Przeciez nawet home pisze gdzieś w regulaminie czy w dokumentacji, że statystyki NIE SĄ chronione przed nieupowaznionym dostępem. I każdy kto ma styczność z home.pl może o tym wiedzieć. Naprawde nie trzeba być hakerem, żeby wykombinować, że wystarczy sprawdzić 1000 adresów i któryś z nich na pewno da dostęp do statystyk.
Oczywiście, że home mogłoby lepiej zabezpieczyc dostęp do statystyk (w ogóle zabezpieczyć) bo ktoś może sobie po prostu nie życzyć żeby np. konkurencja wiedziała jaki ma ruch na stronie ale nie ma to nic wspólnego z bezpieczeństwem. Jeżeli jedynym zabezpieczeniem dostępu do panelu jest jego adres to znaczy, że nie jest on zabezpieczony ale co najwyzej ukryty. Tak samo jak statystyki. Jedyna różnica to to, że jest do sprawdzenia wiecej niż 1000 kombinacji.
A ten supertajny adres można poznać nie tylko analizując statystyki. Wystarczy, że ktoś przejdzie ze swojego supertajnego panelu bezpośrednio na jakąś inną strone i juz admin tamtej strony zna supertajny adres panelu.
W skrócie: hakerzy (zapewne po długotrwałej pracy) odkryli coś co nie było przykryte a home poczuło się szantażowane groźbą ujawnienia fragmentu swojej dokumentacji (czy jakiegos helpa - nie chce mi się teraz szukać) - jedyną ciekawostką wartą relacjonowania jest powaga z jaką obie strony podeszły do sprawy ale media i PR rządzą sie swoimi prawami więc przepychanki będą się pewnie ciagnąć ciągnąć ciągnąć...

ja sie juz kiedys (ok. 2003-4r) zetknalem z dziurami w systemie pocztowym home.pl i olewactwem admina - dalo sie wtedy w banalny sposob przejac sesje usera sprawdzajacego poczte przez www, jesli kliknal on w link do jakiegos serwisu i w chwile po tym admin wyciagnal z logow http-referera z ktorego user poczty wszedl na strone. bo id sesji albo inny odpowiednik byl oczywiscie w linku. napisalem do admina - tamten sciemnal ze "pewnie admin (mojego) lan-u filtruje pakiety" i takie bzdety.