digis HU vonalról jöttem, ha számít
screenshot: https://i.imgur.com/Ma83z6S.png
tartalék link screenshotra: https://i.ibb.co/wyKMGwt/otp.png
- m.informatikus blogja
- A hozzászóláshoz be kell jelentkezni
Hozzászólások
Itt is. Epikus kudarcnak tunik.
- A hozzászóláshoz be kell jelentkezni
Most fixed:
SHA-256: 77:38:1A:1A:0F:E4:C7:98:90:41:E3:03:5C:D0:6D:27:82:14:14:8E:20:A7:AF:CE:96:45:E0:34:95:8F:36:EC
SHA-1: B2:B5:01:CB:5F:FD:FF:E8:AA:FE:6B:A3:28:41:00:85:9A:01:0C:E3
- A hozzászóláshoz be kell jelentkezni
Bravó, ez mióta jelentkezik? Én is Digi-s vagyok.
- A hozzászóláshoz be kell jelentkezni
Valami visszaált a hétvégén backupból :D
Amit most mutat, azt augusztus 5-én állították ki, szóval úgy tűnik, egyszer már normál időben lecserélték...
- A hozzászóláshoz be kell jelentkezni
Erdekes, T iranybol jo. Olyan, mintha valami felrekonfiguralt LB miatt felhuzott volna valami invalid image -t beegetett cert -el a bendojeben es digi iranyokbol erre terelne a forgalmat.
Error: nmcli terminated by signal Félbeszakítás (2)
- A hozzászóláshoz be kell jelentkezni
T iranybol is rossz volt egy par percig. Mar valid a cert, fingerprint feljebb.
- A hozzászóláshoz be kell jelentkezni
mikor én írtam, már a digi irányából is jó volt
- A hozzászóláshoz be kell jelentkezni
``Átmenetileg nem tud bejelentkezni az internetbankba. Kérjük, próbálja meg később! Megértését köszönjük.''
- A hozzászóláshoz be kell jelentkezni
UPC irányból is:
NET::ERR_CERT_DATE_INVALID
Subject: www.otpbank.hu
Issuer: DigiCert SHA2 Extended Validation Server CA
Expires on: Aug 22, 2019
Current date: Apr 14, 2020
Kapcsolódhat: Eddig nem volt HSTS header, most már van: Strict-Transport-Security: max-age=31536000; includeSubDomains; preload
Update: Közben már meg sem nyílik
$ curl -siL "otpbank.hu"
HTTP/1.0 302 Found
Location: https://www.otpbank.hu/portal/hu/fooldal
Server: BigIP
Connection: Keep-Alive
Content-Length: 0
* Connection #0 to host otpbank.hu left intact
* Issue another request to this URL: 'https://www.otpbank.hu/portal/hu/fooldal'
* Trying 195.228.112.193...
* TCP_NODELAY set
* connect to 195.228.112.193 port 443 failed: Connection refused
* Failed to connect to www.otpbank.hu port 443: Connection refusedUpdate #2: Most már jónak tűnik, de a hsts még nem valid: https://hstspreload.org/?domain=otpbank.hu (csak a www.otpbank.hu request-ben szerepel és az otpbank.hu -nak a www.optbank.hu -ra kellene irányítania)
- A hozzászóláshoz be kell jelentkezni
Digiből is használható, ha nem böngészőből, hanem app-ból indítom a bejelentkezést. Ha Desktop/ mobil használtam, akkor a tanúsítvány lejárt.. hibát kaptam. Ha az (andriodra) telepített app-ot használtam, akkor hibajelzés nélkül elfogadta a bejelentkezést, és a tranzakciót
- A hozzászóláshoz be kell jelentkezni
böngészők szeretik cachelni a certet, így böngésző restart segíthet
- A hozzászóláshoz be kell jelentkezni
Hujuj m.informatikus oldalán nem történt még ilyesmi, soha nem is fog, ő a fő szolgáltató.
OTPnél is emnerek dolgoznak .. de még telesírtad a "sz.r" SSL cert-el a blogodat, addigra fixed lett az egésez.
De lehet téged kellett volna alkalmazniuk, mert akkor ilyen nem történhetett volna meg!!! (vagy azt a sok "szakembert" aki erre ráugrott)
- A hozzászóláshoz be kell jelentkezni
A legtöbben csak találgattunk - pláne a lokációfüggő(nek tűnő) hiba miatt. Az, hogy ezt felkaptuk, talán annyiból mindenképp érthető, hogy az ország nagy többsége rendelkezik ott valamilyen számlával. Én pl. telekomosként nem tapasztaltam, de Kollegám -aki szintén digi előfizető- igen.
Error: nmcli terminated by signal Félbeszakítás (2)
- A hozzászóláshoz be kell jelentkezni
Egy ilyen rutin művelet (a cert csere/megújítás 2020 környékén már elég rutin tevékenységnek számít) sikerességén vagy nem-sikerességén le lehet mérni az adott cég IT fejlettségi szintjét.
Egy cert, főleg ha az nem csak azért van a cég weboldalán mert "httpS nélkül a gugli hátrasorol minket a találatok között", hanem tényleges funkciója is van, pl. mert pénzügyi, levelezési vagy szimplán érzékeny adatokat véd, akkor az a kritikus infrastruktúra része. Mivel ha rossz kezekbe kerül, a támadó potenciálisan meg tudja személyesíteni az áldozatot más jellegű támadásban is. Éppen ezért, pl. az OTP esetében kifejezetten nem lenne szabad félvállról venni egy cert-el kapcsolatos eseményt. Elég ha egy 5-10 percre van valami gikszer, egy célzott támadáshoz tökéletesen elég lehet ennyi. Aztán mintha mi sem történt volna, már megy tovább az OTP webszervere, a töbségnek fel sem tűnik h. volt ott valami pár perc erejéig.
Példák certificate-el kapcsolatos hanyagságra, tetszőleges magyar kkv v. itthoni multinál (a példákat az élet szülte)
1. szint: teljesen szarunk a tanúsítványunkra, hagyjuk lejárni mint a fene. Jött ugyan lejáratra figyelmeztető üzenet (még időben, és több is!) a cert kiadótól, de szart rá mindenki. Aztán mikor másnap elkezdenek jönni az alarmok h. a service-k leálltak, nem tudunk levelet küldeni és fogadni, akkor lóhalálában rendelik az új certet. Ami 1 év múlva ugyanígy lejár, ugyanúgy kezdődik megint a kapokodás, és ez így megy tovább míg a világ világ. Mivel a 2 év után már az 1 éves cert élettartam is lassan veszélybe kerül az ipar legnagyobb szereplőinek közbenjárása miatt, ideje lesz a rendszergazdának, v. IT üzemeltetésnek legrosszabb esetben papír alapú határidőnaplót vezetni, amibe pennával bejegyzetelik mikor melyik cert jár le, és előtte 1 héttel érdemes volna hozzákezdeni a megújítás előkészítéséhez.
2. szint: van cert, foglalkoznánk is vele, de felkészületlenül: a cert lejáratra való figyelmeztető emailt még időben megkapjuk, csak éppen az 1 dedikált ember, a Józsi mailbox-ba jut. Ahelyett h. lenne rá 1 disztrib csoport, amiben legalább 2-3 ember benne van. Szóval ha Józsi dögrováson van, és nem olvas emailt, akkor se áll le minden, mert lejárt a cert.
3. szint: letsencrypt-et (is) használunk, automatizálva van a megújítás. Ez már egy egész jó szint, itt arra kell figyelni, hogy valami monitorozás azért legyen a letsencrypt szkripteken, hogy azonnal kiderüljön ha valamelyik megújítás nem sikerült, és legyen elég idő a korrigálásra. Természetesen nem mindenhova jó a LE, de ez már jelzi h. a cég IT szempontból nem a középkorban jár (főleg ha az előzőleg leírt monitoring-ot alkalmazzák a LE-re is).
4. szint: dedikált IT a cert-re, figyelik a lejáratot, proaktívan monitorozva, a risztások csoportoknak mennek nem 1személyes hősöknek, a megújítás gördülékenyen megvan 1-2 nap alatt, megvannak a bevált és letesztelt folyamatok a rutinműveletekre, és arra is ha beüt a gebasz (pl. cert érvénytelenítés, visszavonási listák hatékony szétküldése)
- A hozzászóláshoz be kell jelentkezni
Ezekben nagyon igazad van, de en megis arra gondolok, hogy valahol valami backend egy full outdated image -bol indult el (tippjeim szerint az image kb egy eves lehetett); az LB pedig erre terelte a forgalmat. Ilyet siman tud Layer 4 alatt az LVS, vagy a Cisco CSS is, nincs olyan függés, mint ami Layer 7 -ben, app level LB esetén (pl.) az nginx -nek kellene a cert -el foglalkoznia globálisan.
Ha a feltetelezesem igaz, akkor maga a kodbazis is johetett az image -vel, ami viszont nagyon gaz lenne.
Error: nmcli terminated by signal Félbeszakítás (2)
- A hozzászóláshoz be kell jelentkezni
-1
- A hozzászóláshoz be kell jelentkezni
butthurt much? neked sikerült elcseszni? :)
- A hozzászóláshoz be kell jelentkezni
pardon, ha megzavartam a lelki békéd.
nem a cég a lényeg a storyban, lehetett volna akármi más.
- A hozzászóláshoz be kell jelentkezni
Mit kell(ett) nézni?
- A hozzászóláshoz be kell jelentkezni
Tenyleg minden ilyen aprosagon fenn kell akadni (igen, ez az). Kb. mint az Eon-os spam, van vagy 150 hsz a semmire, amikor minden heten erkezik ket hasonlo, az is teljesen erthetetlen.
- A hozzászóláshoz be kell jelentkezni
A hatterben valami outdated fos toltodik be a legnagyobb magyar bank rendszerebe, es valami loadbalancer mechanizmus szerint erre a gepre toljak a digi iranybol erkezo usereket. Ha ez egy regi image -bol jon, akkor nagy esellyel regi kodbazist is hoz magaval.
Ha szerinted ez aprosag, akkor csak remelni tudom, hogy nem banki rendszereket uzemeltetsz...
Error: nmcli terminated by signal Félbeszakítás (2)
- A hozzászóláshoz be kell jelentkezni
Gyakorlatilag mire a kollega kirakta, mar megoldodott. Hiba mindenhol elofordul, ezt raadasul gyorsan korrigaltak is.
Egyebkent meg rahibaztal, mert de. Csak masik bankban.
- A hozzászóláshoz be kell jelentkezni
Nálam a topic indítása után 2 órával is még hibát jelzett. Nyilván előfordul az ilyesmi, de ettől függetlenül hasznos olyan szempontból, hogy tanuljunk belőle máskor/máshol kevésbé forduljon elő.
- A hozzászóláshoz be kell jelentkezni
En "lazabb" teruleten vagyok, de akkor Te pontosan erzed a sulyat :)
Hibazni emberi dolog, de tanulni kell belole, elbagatelizalni azonban -szerintem- soha nem szabad. Gondolom, az ilyenekbol a bankoknal esettanulmanyok keszulnek.
Error: nmcli terminated by signal Félbeszakítás (2)
- A hozzászóláshoz be kell jelentkezni
A szerelvenybolt.hu online fizetős opciója a secureshop.firstdata.lv-ra visz el, itt kéne az állítólagos Unicredit Bank fizetési szolgáltatásában bankkártya adatokat megadni. Ti meg mernétek?????????
A cert így néz ki:
CN = secureshop.firstdata.lv
O = First Data Corporation
L = Atlanta
ST = Georgia
C = US
- A hozzászóláshoz be kell jelentkezni
Nem, pedig a google-n rákeresve elég sok hazai webshop használja: "Az internetes kártyás fizetés technikai lebonyolítását az UniCredit Bank Hungary Zrt. megbízott partnere a First Data Magyarország Kft. hajtja végre, aki a saját platformjával áll ügyfeleink rendelkezésére."
Szóval valószínű valid, de mint mindig most is érdemes one-time/webkártyát használni.
curl -v https://firstdata.lv/
* connect to 193.29.39.1 port 443 failed: Connection refused- A hozzászóláshoz be kell jelentkezni
..most is érdemes one-time/webkártyát használni.
Azt tettem.
- A hozzászóláshoz be kell jelentkezni