[Question] [Thắc mắc] Bảo mật site chứng khoán |
13/04/2009 01:12:20 (+0700) | #1 | 176865 |
hoangtu_giabang2006
Member
|
0 |
|
|
Joined: 24/01/2008 15:18:08
Messages: 96
Location: .........
Offline
|
|
Mấy hôm nay em có lên các trang chứng khoán của VN xem. Em thấy có mấy tin này.
http://khonggian-it.com/BaoMat/View.php?idTin=2368
http://www.quantrimang.com.vn/baomat/hacker/37913_Bao_mat_chung_khoan_lam_kinh_hai_hacker.aspx
Vậy những trang này độ bảo mật thấp như thế thì sẽ ảnh hưởng đến kinh tế thị trường VN rất trầm trọng.
Ví dụ như một vài người giàu có thuê một hacker giỏi hack trang web của một sàn chứng khoán hạ giá một loại chứng khoán thành chỉ số ảo trong vòng vài tiếng khiến hàng trăm người bán đổ bán tháo cổ phiếu của mình khi đó chủ mưu chỉ cần ung dung mua vào lượng lớn chứng khoán với giá rẻ và trả lại chỉ số thật thì người đó sẽ kiếm lợi rất lớn.
Một hành động như thế chỉ cần diễn ra trong nữa tiếng cũng đủ gấy ảnh hưởng lớn đến thị trường kinh tế rồi. Trong khi các nhà chức trách muốn khác phục vá lỗi bắt người thì tính từ thời điểm phát hiện đến khi hoàn tất cũng đủ để kẻ tội phạm trốn mất.
Vậy ở VN có trường hợp nào như vậy chưa??? Trên thế giới đã có những trường hợp nào lừa đảo kinh tế như thế??? Những nhà chức trách sẽ làm gì với những trường hợp này??? Vì không thể nào định tội một người mua chứng khoán lượng lớn trong khi hạ giá. Và nghi ngờ vẫn là nghi ngờ (mặc dù biết từ ý tưởng đến thực tế là rất xa nhưng một số hacker giỏi chắc chắn sẽ làm được hi vong thắc mắc của em khong làm nãy sinh những ý xấu của một số hacker )
Câu hỏi đặt ra ở đây là làm sao để có thể biết và xác định độ bảo mật của một trang chứng khoán trực tuyến bằng cách nhanh nhất để bảo đảm an toàn đầu tư. Các trang chứng khoán trực tuyến nào là an toàn. Và nhận biết khi nào là trang đó có vấn đề vì thị trường lên xuống thất thường thì không thể chỉ dựa vào các con số. (các bác có thể kể tên giùm em vài trang có thể tin tưởng vì em đang đầu tư)
Thắc mắc thứ 2 là vì sao dạo này bác seamuon thần tượng của em hoạt động im hơi lặng tiếng vậy. bác đằng hắng cho em biết tin cái nào
MỘt góp í nhỏ là bác quanta và conmale khó tính hơn rồi đó người ta thường nói già rồi nên đổi tính không biết có phải vậy không |
|
|
|
|
[Question] Re: [Thắc mắc] Bảo mật |
13/04/2009 01:24:35 (+0700) | #2 | 176866 |
|
quanta
Moderator
|
Joined: 28/07/2006 14:44:21
Messages: 7265
Location: $ locate `whoami`
Offline
|
|
Title wrote:
[Thắc mắc] Bảo mật
Đọc cái title này lên người ta sẽ tự hỏi là không biết bạn thắc mắc về bảo mật cho cái gì? Do đó, nếu không sửa lại thì rất có thể chủ đề này sẽ bị dời vào Trash. |
|
Let's build on a great foundation! |
|
|
|
[Question] Re: [Thắc mắc] Bảo mật |
13/04/2009 01:35:06 (+0700) | #3 | 176867 |
hoangtu_giabang2006
Member
|
0 |
|
|
Joined: 24/01/2008 15:18:08
Messages: 96
Location: .........
Offline
|
|
quanta wrote:
Đọc cái title này lên người ta sẽ tự hỏi là không biết bạn thắc mắc về bảo mật cho cái gì? Do đó, nếu không sửa lại thì rất có thể chủ đề này sẽ bị dời vào Trash.
Lại "bắt" với "bẻ" sao bác không trả trả lời câu hỏi của em mà bác bắt bẻ em hoài vậy. Đành là "em sai" nhưng mà bác bắt bẻ thì phải trả lời câu hỏi chứ
--------------------
Bác này già thiệt rồi |
|
|
|
|
[Question] Re: [Thắc mắc] Bảo mật |
13/04/2009 03:15:21 (+0700) | #4 | 176883 |
|
kenshin8x
Member
|
0 |
|
|
Joined: 29/11/2006 20:45:54
Messages: 195
Location: ĐH CNTT
Offline
|
|
quanta wrote:
Title wrote:
[Thắc mắc] Bảo mật
Đọc cái title này lên người ta sẽ tự hỏi là không biết bạn thắc mắc về bảo mật cho cái gì? Do đó, nếu không sửa lại thì rất có thể chủ đề này sẽ bị dời vào Trash.
mấy cái chủ đề lan man như thế này nên cho vào mục những thảo luận khác.
còn nếu nhảm nhí quá thì bác quanta cứ move vô trash cho lẹ.
@hoangtu_giabang2006: các bác quanta và conmale còn dễ đấy chắc gặp bác gammar chắc cho bạn đi nghỉ phép rồi
|
|
|
|
|
[Question] Re: [Thắc mắc] Bảo mật site chứng khoán |
21/04/2009 13:30:18 (+0700) | #5 | 177979 |
|
Hollaking
Member
|
0 |
|
|
Joined: 25/11/2007 06:14:58
Messages: 1
Offline
|
|
vẫn chưa có ai có câu trả lời cho câu hỏi chính ? chỉ xoay quanh vấn đề nguyên tắc post bài thôi à |
|
|
|
|
[Question] Re: [Thắc mắc] Bảo mật site chứng khoán |
22/04/2009 04:21:33 (+0700) | #6 | 178032 |
8668
Member
|
0 |
|
|
Joined: 25/06/2008 18:30:36
Messages: 24
Offline
|
|
Tôi có chơi CK và có nhiều TK giao dịch.
Về bố cục và tính bảo mật của các website tôi khá hài lòng,không đơn thuần là bảo mật chỉ bằng username và pass như mấy tay nhà báo hóng hớt đó viết đâu!
Ngoài ra,một số bác lão làng trên đây cũng đang làm tại các công ty CK,không lẽ không nhận thức được vấn đề.
Nói tóm lại,không có gì bàn luận! |
|
|
|
|
[Question] Re: [Thắc mắc] Bảo mật site chứng khoán |
23/04/2009 04:16:13 (+0700) | #7 | 178140 |
thangdiablo
HVA Friend
|
Joined: 11/05/2003 17:31:58
Messages: 734
Offline
|
|
Không biết các trang CK nó bảo mật thế nào? Mình cũng tò mò quá |
|
Hãy sống có Tuệ Giác. |
|
|
|
[Question] Re: [Thắc mắc] Bảo mật site chứng khoán |
23/04/2009 05:08:14 (+0700) | #8 | 178145 |
8668
Member
|
0 |
|
|
Joined: 25/06/2008 18:30:36
Messages: 24
Offline
|
|
Bác thử chơi CK xem,dạo này đang sôi lên vì CK lại đó.
Về website,thì cũng giao dịch như ngân hàng,xác thực qua mã KH,password,mã PIN theo một thẻ đi kèm,ghi âm giọng nói,mã hóa SSL,.... |
|
|
|
|
[Question] Re: [Thắc mắc] Bảo mật site chứng khoán |
23/04/2009 05:22:32 (+0700) | #9 | 178147 |
thangdiablo
HVA Friend
|
Joined: 11/05/2003 17:31:58
Messages: 734
Offline
|
|
Oh hay nhỉ? Có cả vụ ghi âm giọng nói nữa à?
Vụ thẻ đi kèm thì có thể là smart card hoăc matrix card.
Mã hóa SSL cho website giao dịch trực tuyến
Theo mọi người còn phương thức nào giúp cho Khách Hàng khi sử dụng website giao dịch trực tuyến của công ty CK an toàn hơn không?
Ngoài ra các công ty CK khi nào hay vướng những sai lầm chết người về bảo mật nào không? |
|
Hãy sống có Tuệ Giác. |
|
|
|
[Question] Re: [Thắc mắc] Bảo mật site chứng khoán |
23/04/2009 05:50:11 (+0700) | #10 | 178148 |
8668
Member
|
0 |
|
|
Joined: 25/06/2008 18:30:36
Messages: 24
Offline
|
|
1.Chính xác,là matrix card.
2. Tôi giao dịch online tại một cty CK ý thức tốt về bảo mật. Ngoài ra vẫn có một số nơi giao dịch khá lởm khởm,website chỉ chạy cho IE version < 7; chỉ xác thực mã KH và mật khẩu.
3. Sai lầm thì tôi không rõ,nhưng những website lởm khởm mà tôi nói ở trên thì dùng các công nghệ quá cũ rồi (thường là mua của nước ngoài),website khó sử dụng,KH dùng vài lần cũng chán mà bỏ,nên chắc cũng không cần bảo mật!
|
|
|
|
|
[Question] Re: [Thắc mắc] Bảo mật site chứng khoán |
23/04/2009 05:58:21 (+0700) | #11 | 178149 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
Hầu hết những tay chơi stock có đồ nghề thứ thiệt (thick client) và được subscribe trực tiếp với nguồn. Các đồ nghề này không những lấy thông tin gần như real time mà còn có khả năng tính toán và hiển thị theo ý người dùng (theo loại stock mà người dùng chọn). Ngoài ra, chúng còn có khả năng phỏng đoán và đề nghị thay đổi chiến thuật. Tuy vậy, dân chơi stock sành sõi lại ít khi dựa vào những khả năng này của software mà hầu hết là dựa vào khả năng tính toán và kinh nghiệm của bản thân.
Những thông tin hiển thị trên trang web của một trang chứng khoán nào đó chỉ mang tính indicative và thiếu toàn cảnh. Bởi thế, nếu xét về độ thực dụng (khoan hẵng nói đến chuyện bảo mật) thì cũng đã không thể dùng một cách chuyên nghiệp và kịp thời rồi. Đừng nói chi đến chuyện thông tin bị sửa đổi hay phá hoại gì đó, thông tin thứ thiệt mà hiển thị chậm và cập nhật chậm thì coi như là thua.
Nói về khía cạnh bảo mật, những trang chứng khoán nổi tiếng có tiêu chuẩn bảo mật cực cao. Tất cả những ứng dụng được đưa vào hoạt động phải thỏa mãn một loạt tiêu chuẩn thử nghiệm và lúc nào cũng có một ban bảo mật túc trực theo dõi và bảo vệ. Những thứ linh tinh như xss, sql inj... thì khó lòng mà làm được gì. Đó là chưa kể đến khía cạnh topology phức tạp của các web application mà site chứng khoán thường có. Ví dụ:
http://www.stockcompany.com chỉ là một trang chủ nhưng mỗi: /quotes, /prices, /changes..... có thể trỏ đến các bộ phận (server, app, technology....) hoàn toàn tách biệt. Những cái này được các hệ thống "reverse proxy" xử lý và bảo vệ đến mức tối đa. Tất nhiên, high-availability là chuyện không thể thiếu rồi.
Ý tưởng "kiểm tra xem trang chứng khoán nào bảo mật" rồi mới dám chơi thì hỏng bét ngay từ đầu và hình như chỉ thấy có ở VN. Sao không xét đến khía cạnh rằng một site thuộc dạng "chứng khoán" phải bảo đảm thỏa mãn những điều kiện nào đó và thỏa mãn có một chế độ bảo trì, bảo vệ khả dĩ trước khi được phép hoạt động mà là nghĩ đến chuyện tìm lỗi nó sau khi nó đã hoạt động? |
|
What bringing us together is stronger than what pulling us apart. |
|
|
|
[Question] Re: [Thắc mắc] Bảo mật site chứng khoán |
23/04/2009 07:34:47 (+0700) | #12 | 178155 |
|
maithangbs
Elite Member
|
0 |
|
|
Joined: 28/11/2007 21:39:53
Messages: 567
Location: Д.и.Р
Offline
|
|
thangdiablo wrote:
Không biết các trang CK nó bảo mật thế nào? Mình cũng tò mò quá
Cáo đội lốt thỏ |
|
|
|
|
[Question] Re: [Thắc mắc] Bảo mật site chứng khoán |
23/04/2009 13:39:00 (+0700) | #13 | 178189 |
thangdiablo
HVA Friend
|
Joined: 11/05/2003 17:31:58
Messages: 734
Offline
|
|
8668 wrote:
1.Chính xác,là matrix card.
2. Tôi giao dịch online tại một cty CK ý thức tốt về bảo mật. Ngoài ra vẫn có một số nơi giao dịch khá lởm khởm,website chỉ chạy cho IE version < 7; chỉ xác thực mã KH và mật khẩu.
3. Sai lầm thì tôi không rõ,nhưng những website lởm khởm mà tôi nói ở trên thì dùng các công nghệ quá cũ rồi (thường là mua của nước ngoài),website khó sử dụng,KH dùng vài lần cũng chán mà bỏ,nên chắc cũng không cần bảo mật!
Ngoài matrix card theo như mình để ý thấy các công ty CK bây giờ cũng sử dụng nhiều giải pháp bảo vệ KH như OTP sử dụng token là thông dụng nhất, hoặc cài software lên máy tính hoặc điện thoại Smart Phone.
Website giao dịch trực tuyến phải được bảo vệ bằng SSL và CA phải từ những nhà cung cấp có uy tín ( Trusted Root CA )
Nhưng hình như đó chỉ là dự thảo. Không biết có công ty CK nào sử dụng 1 công nghệ nào đó hiện đại ( nhưng không hại điện nhé ) mà ít người biết không . Cái này mình thực sự rất tò mò.
Còn về website theo như bạn mô tả thì từ "lởm khởm" nó hơi rộng. Lởm khởm ở mức ứng dụng hay lởm khởm ở mức bảo mật. Mà bảo mật ở mức độ coding hay server chứa website hay hệ thống bảo vệ server đó. Có nhiều yếu tố cấu thành nên sự "lởm khởm" của 1 website.
Tôi nghĩ các công ty CK và Ủy Ban CK Nhà Nước bây giờ cũng đã bắt đầu chú trọng vào việc an toàn trong giao dịch. Tuy nhiên, có thật sự an toàn hay không còn tùy thuộc vào hệ thống của từng công ty và những con người quản trị nó. |
|
Hãy sống có Tuệ Giác. |
|
|
|
[Question] Re: [Thắc mắc] Bảo mật site chứng khoán |
23/04/2009 13:54:59 (+0700) | #14 | 178190 |
thangdiablo
HVA Friend
|
Joined: 11/05/2003 17:31:58
Messages: 734
Offline
|
|
conmale wrote:
Hầu hết những tay chơi stock có đồ nghề thứ thiệt (thick client) và được subscribe trực tiếp với nguồn. Các đồ nghề này không những lấy thông tin gần như real time mà còn có khả năng tính toán và hiển thị theo ý người dùng (theo loại stock mà người dùng chọn). Ngoài ra, chúng còn có khả năng phỏng đoán và đề nghị thay đổi chiến thuật. Tuy vậy, dân chơi stock sành sõi lại ít khi dựa vào những khả năng này của software mà hầu hết là dựa vào khả năng tính toán và kinh nghiệm của bản thân.
Chắc mấy dân chơi stock ở bên nước ngoài được cài phần mềm hỗ trợ phân tích kỹ thuật và thông tin về các mã CP. Theo em tìm hiểu, ở Việt Nam cũng đã có những công ty bán các phần mềm dạng này.
Và dân Việt Nam mình cũng không tin vào mấy cái phân tích kỹ thuật này lắm, không phải vì chúng phân tích sai. Mà do thị trường mình lên xuống bất tuân quy luật
conmale wrote:
Những thông tin hiển thị trên trang web của một trang chứng khoán nào đó chỉ mang tính indicative và thiếu toàn cảnh. Bởi thế, nếu xét về độ thực dụng (khoan hẵng nói đến chuyện bảo mật) thì cũng đã không thể dùng một cách chuyên nghiệp và kịp thời rồi. Đừng nói chi đến chuyện thông tin bị sửa đổi hay phá hoại gì đó, thông tin thứ thiệt mà hiển thị chậm và cập nhật chậm thì coi như là thua.
Xét về tính thực dụng, theo em tìm hiểu thì các website của các công ty CK đã cập nhật bảng giá từ 2 sàn HoSE và HASTC theo dạng real time. Nghĩa là giá sẽ được update liên tục và độ trễ tối đa cho phép là < 5s. Theo cá nhân em nghĩ, độ trễ như vậy là chấp nhận được.
conmale wrote:
Nói về khía cạnh bảo mật, những trang chứng khoán nổi tiếng có tiêu chuẩn bảo mật cực cao. Tất cả những ứng dụng được đưa vào hoạt động phải thỏa mãn một loạt tiêu chuẩn thử nghiệm và lúc nào cũng có một ban bảo mật túc trực theo dõi và bảo vệ. Những thứ linh tinh như xss, sql inj... thì khó lòng mà làm được gì. Đó là chưa kể đến khía cạnh topology phức tạp của các web application mà site chứng khoán thường có.
Xét về khía cạnh bảo mật thì đúng là các công ty CK Việt Nam còn phải làm rất nhiều thứ nếu muốn giảm thiểu rủi ro cho công ty mình cũng như cho nhà đầu tư CK.
Tuy nhiên, nếu nhìn vào mặt tích cực thì hiện tại Nhà Nước mình đã và đang áp dụng hàng loạt dự thảo về an toàn hệ thống thông tin đối với các công ty CK. Hy vọng tình hình sẽ được cải thiện.
http://www.stockcompany.com chỉ là một trang chủ nhưng mỗi: /quotes, /prices, /changes..... có thể trỏ đến các bộ phận (server, app, technology....) hoàn toàn tách biệt. Những cái này được các hệ thống "reverse proxy" xử lý và bảo vệ đến mức tối đa. Tất nhiên, high-availability là chuyện không thể thiếu rồi.
Hệ thống có hiện đại tới đâu, nhưng em nghĩ còn người đóng vai trò rất quan trọng đối với sự an toàn của hệ thống.
"Hình như" các công ty CK hiện tại cũng có tách biệt server và database riêng biệt giữa những thứ liên quan đến tiền bạc và những thứ chỉ có tính chất thông tin.
Còn về tính HA, hiện tại ở Việt Nam đó là điều bắt buộc
conmale wrote:
Ý tưởng "kiểm tra xem trang chứng khoán nào bảo mật" rồi mới dám chơi thì hỏng bét ngay từ đầu và hình như chỉ thấy có ở VN. Sao không xét đến khía cạnh rằng một site thuộc dạng "chứng khoán" phải bảo đảm thỏa mãn những điều kiện nào đó và thỏa mãn có một chế độ bảo trì, bảo vệ khả dĩ trước khi được phép hoạt động mà là nghĩ đến chuyện tìm lỗi nó sau khi nó đã hoạt động?
Theo em biết vụ này cũng đã có, nhưng còn ở mức rất chung chung. Vd như các máy chủ phải đặt sau firewall này kia .... Nhưng thực ra chưa có ban bệ nào kiểm tra được firewall đó có hoạt động đúng như mong muốn hay không.
Vì mua firewall, IPS, IDS thì dễ. Nhưng con người không quản lý được thì nó cũng chỉ là cục sắt vô dụng mà thôi.
Update tình hình với anh 1 tí để anh biết tình hình cũng không đến nỗi bi đát lắm hehehe. |
|
Hãy sống có Tuệ Giác. |
|
|
|
[Question] Re: [Thắc mắc] Bảo mật site chứng khoán |
23/04/2009 14:15:45 (+0700) | #15 | 178191 |
choc_
Member
|
0 |
|
|
Joined: 27/01/2009 06:46:01
Messages: 122
Offline
|
|
Có cách nào đo mức độ an toàn thông tin của một tổ chức không chỉ? Đo thật đó, chứ không phải kiểu cảm tính là "tôi có vài người giỏi hay lên HVAOnline.net nên tôi thấy tôi an toàn hơn". Có cách nào so sánh hai hệ thống, xem hệ thống nào an toàn hơn không?
|
|
|
|
|
[Question] Re: [Thắc mắc] Bảo mật site chứng khoán |
23/04/2009 22:28:17 (+0700) | #16 | 178225 |
MrNothing
Member
|
0 |
|
|
Joined: 04/01/2008 11:05:37
Messages: 76
Offline
|
|
An toàn theo mình hiểu phải ở 2 mức:
1. Thiết kế hệ thống: Một giao thức được thiết kế không bảo mật, không xác thực hoặc có các điểm yếu để tấn công thì không bảo mật được
2. Mức thực thi: Nếu phần thực thi không an toàn thì dù có thiết kế bảo mật ngon cũng không an toàn được. Ví dụ trong lập trình có một số hàm khuyến cáo không bao giờ nên dùng chẳng chạn. hình như có hàm get trong C.
2 cái trên đo thế nào?
Cái thứ 2 thì có phần mềm tự động scan để tránh các lỗi phổ biến. Chất lượng tùy vào phần mềm kiểm tra.
User vào site chứng khoán thì check certificate xem nó có tin tưởng không (nếu dùng ssl). Còn bên chứng khoán phải cất cho kĩ private key và pass cho file này. Chứ 2 cái này bị ăn cắp rồi thì bị nghe lén với sửa đổi vô tư. |
|
|
|
|
[Question] Re: [Thắc mắc] Bảo mật site chứng khoán |
27/04/2009 13:06:18 (+0700) | #17 | 178638 |
hoangtu_giabang2006
Member
|
0 |
|
|
Joined: 24/01/2008 15:18:08
Messages: 96
Location: .........
Offline
|
|
Nếu như bác conmale va thangdiablo nói thì mình cũng có thể yên tâm về các sàn CK nhà ta yên tâm mà ăn no ngủ kĩ chuẩn bị làm giàu được rồi hehe àh quên mất còn thi đại học nữa chứ tháng 7 sắp tới rồi hehe
Thank các bác nhìu |
|
|
|
|
[Question] Re: [Thắc mắc] Bảo mật site chứng khoán |
27/04/2009 21:56:33 (+0700) | #18 | 178673 |
MrNothing
Member
|
0 |
|
|
Joined: 04/01/2008 11:05:37
Messages: 76
Offline
|
|
Cẩn thận đấy em ơi.
Các bác ấy bảo là các trang chứng khoán cần làm ăn cho tử tế. Các bác ấy không đảm bảo trang chứng khoán đều ngon đâu. Có lỗ hổng. Nhưng công ty chứng khoán không biết, người lập trình không biết. Người dùng thì càng không biết, cứ tin tưởng thôi.
Một công ty chứng khoán thuê một công ty viết phần mềm thiết kế website. Trong khi đó công ty phần mềm đó chả có ai làm về security cả.
Tốt nhất nên mở chục trang chứng khoán ra cùng lúc, rồi so sánh đối chiếu xem các cái nào giống nhau .
Khi vào một trang nào đó, dù nó có bảo bạn view certificate. Ok, bạn view, nhưng bạn có ngó xem, ai xác thực cho nó không? Để lên đến verisign còn có bao nhiêu bước nữa? Có thằng nào trung gian lừa không? Hay là "À, trang này có certificate, tên đúng tên công ty. À, tin được".
Ví dụ Verisign xác thực A, A xác thực B, B bị mất cắp khóa bí mật, nó đem đi xác thực C giả mạo.
Thường nếu muốn vào trang nào thì tin vào toàn bộ quá trình xác thực ngược lên trên. An toàn nhất là độ sâu xác thực là 1 thôi nhỉ. |
|
|
|
|
|
|
|
Users currently in here |
1 Anonymous
|
|
Powered by JForum - Extended by HVAOnline
hvaonline.net | hvaforum.net | hvazone.net | hvanews.net | vnhacker.org
1999 - 2013 ©
v2012|0504|218|
|
|