InKarta, zákaznická karta Českých drah, nutí uživatele k používání nebezpečných hesel. Heslo musí mít přesně sedm znaků, kde první tři znaky musejí být písmena a-z a zbylé čtyři číslice 0-9. Což znamená, že heslo je velmi krátké a navíc má omezený formát. Podle vyjádření tiskového mluvčího ČD jde o důsledek toho, že jde o starou aplikaci z roku 2007 a navíc „bezpečnostní politika vyžadující uvedenou pevnou strukturu hesla vycházela ze snahy zjednodušit situaci uživatelů se zapamatováním hesla a skutečnosti, že se v této době hesla pro přístup tiskla na jehličkových tiskárnách, kde v závislosti na kvalitě tisku byla možnost chybné záměny znaků.“ Autorovi článku se nepodařilo citované prohlášení intelektuálně vstřebat, neboť rozlišení nuly od písmene O zvládají jehličkové tiskárny posledních třicet let, a snahu o zjednodušení zapamatování hesla tím, že předepíšu nesmyslný formát, nepochopil vůbec. Jako pozitivní lze vnímat snad jenom to, že po našem dotazu České dráhy na předmětném serveru vypnuly nebezpečný protokol SSL 3.0. Ponechaly jenom TLS 1.0, který je sice také nebezpečný, ale ne tak moc. Nová verze aplikace by měla být spuštěna ve druhém kvartálu příštího roku. Rozechvěle ji očekáváme.
V zájmu objektivity je nezbytné říci, že na svém hlavním webu www.cd.cz mají České dráhy HTTPS nastavené (o něco málo) lépe, ale z neznámých důvodů jej používají jenom na části webu a většina naopak přesměrovává na nezabezpečené HTTP. Pokud se ostatních dopravců týče, tak Student Agency je na tom v zásadě stejně jako hlavní web Českých Drah a Leo Express se s HTTPS neobtěžuje vůbec. HTTPS na něm sice běží, dokonce se správným certifikátem (ovšem chybným nastavením), ale na daném webu není nic,než testovací stránka Apache. Veškerá hesla uživatelů Leo Expressu tak putují Internetem v neověřené podobě. Kybernetická bezpečnost u českých drážních dopravců je tedy celkově dost příšerná.
- První 2 měsíce za 40 Kč/měsíc, poté za 199 Kč měsíčně
- Možnost kdykoliv zrušit
- Odemykejte obsah pro přátele
- Všechny články v audioverzi + playlist