KarelP

Komentáře a hodnocení k uskutečněným obchodům. POZOR!!! - Přispívat mohou pouze prodávající a kupující !!
tompi23
Příspěvky: 35
Registrován: 07. 01. 2023, 22:12
Bydliště: Mělník
Věk: 41
Kontaktovat uživatele:

Re: KarelP

#16

Příspěvek od tompi23 »

Pane Myslivče, děkuji za vysvětlení. Rozumím tomu, že fórum není bazarová platforma a nemůže mít ochranné mechanismy jako Aukro. Chápu také, že jde o zneužitý účet.

Jen mě trochu mrzí, že se to z pohledu poškozeného může jevit, jako by šlo jen o „uživatelský problém“. Ve skutečnosti už jsme minimálně dva poškození – já přišel o 26 000 Kč a druhý uživatel o 46 000 Kč. Celková škoda tedy přesahuje 70 000 Kč a věc už je nahlášena a v šetření Policie ČR.

Píšu to hlavně proto, aby si ostatní uživatelé dali pozor. I starší účty s historií mohou být zneužity a v rámci šetření se budou brát v potaz i samotné účty zde na fóru.
TS Optics Apochromatic refractor AP 115/800 ED Triplet Photoline OTA
Celestron Advanced VX
QHY 268C
Celestron StarSense Autoguider
Uživatelský avatar
Psion
Příspěvky: 12472
Registrován: 02. 01. 2001, 05:03
Bydliště: Praha
Věk: 62
Kontaktovat uživatele:

Re: KarelP

#17

Příspěvek od Psion »

Těch neaktivních uživatelů je tady tisíce, asi by opravdu stále za to všem resetovat hesla, ať si vytvoří nové. Každopádně u tak málo aktivních uživatelů nepošlu ani 1000 Kč natož vyšší částky. Navíc, ne všichni astronomové jsou poctiví, měli jsme zde takový případ. Díky AI budou tyto případy jen narůstat.
Uživatelský avatar
MMys
Příspěvky: 18155
Registrován: 02. 01. 2001, 05:03
Bydliště: Běleč nad Orlicí
Věk: 52
Kontaktovat uživatele:

Re: KarelP

#18

Příspěvek od MMys »

Já tak zhruba jednou za rok mažu uživatele, kteří za poslední dva roky měli do dvou příspěvků a rok se nepřihlásili. Takže jsem to udělal zase.
To trochu sníží riziko ukradení účtu.
http://hvbo.cz/foto_astronomy_cz, http://hvbo.cz, e-mail: martin(*)myslivec(a)volny(*)cz, Dobson 400mm, N400/1600, Refraktor Borg 77ED, Montáž EQ6, Hvězdárna s montáží vlastní výroby, kamery MII C3-61000, ZWO ASI 1600MM
Uživatelský avatar
varan1975
Příspěvky: 97
Registrován: 28. 09. 2017, 22:34
Věk: 49

Re: KarelP

#19

Příspěvek od varan1975 »

Možná by bylo fajn říct, že kupující a v tomto případě poškození, neměli sebemenší možnost a nebudou to v budoucnu ani další poškození, ověřit jak je na tom prodávající co se udržení bezpečnosti svých hesel týče. Jestliže prodávající nakládá se svými hesly nezodpovědně, kupující to nemůže nijak ovlivnit a v případě, že je díky tomu už v rukou podvodníka, tak je vymalováno.

Toto vlákno by mělo jednak poukázat na to, že mezi naší vzácně skvělou a poctivou komunitou může být i podvodník a vybídnout ostatní k opatrnosti, ale domnívám se, že byť jsou možnosti phpBB velmi omezené, nebylo by od věci, aby se minimalizovaly podobné případy do budoucna. Tedy zkusme hledat reálné cesty, jak i v tomto jednoduchém "nástěnkovém" bazaru přijít s radami, zkušenostmi apod., jak zvýšit bezpečnost transakcí.

Já již některé používám a to nejen zde:

1) chci s prodejcem mluvit po telefonu (cizinec používající translátor pro podvod odmítne)
2) u dražších položek bych trval na osobním předání a i když je to Slovensko, zkusil bych dohodu potkat se třeba na půl cesty, přijít o 500 v benzínu je lepší než o 1000 EUR a více

Pokud někdo znáte nějakou ověřenou platformu pro bezpečnou platbu na bazarech, já jsem našel, ale aniž by si o ní kdokoliv cokoliv zjistil, odsoudil jí jako nedůvěryhodnou podle toho jak vypadá web. Může a nemusí to tak být, pokud někdo máte zkušenost nebo znáte jiné řešení, sem s tím. Podvodníků v online bude přibývat a poškozených taky, tak proč bychom nemohli společně udělat něco pro svou vlastní bezpečnost na fóru, které všichni máme tak rádi ;)
Pavel Štěpina
T: +420 773 978 125
B: 223169305/0600 | MONETA
Uživatelský avatar
MMys
Příspěvky: 18155
Registrován: 02. 01. 2001, 05:03
Bydliště: Běleč nad Orlicí
Věk: 52
Kontaktovat uživatele:

Re: KarelP

#20

Příspěvek od MMys »

Po pravdě, telefonát nebo aspoň delší online pokec přes nějakou platformu (messenger, whatsapp) s prodávajícím považuju za úplnou samozřejmost, bez toho bych žádný větší obnos v řádu desítek tisíc nikomu neposlal. Pokud mi dotyčný odmítne tohle, tak je pro mne výsledek jasný.

V sekci viewtopic.php?t=14479 jsem nastínil možné řešení. Sice trochu náročnější na moderátory (ze začátku) ale asi by to dost pomohlo.
http://hvbo.cz/foto_astronomy_cz, http://hvbo.cz, e-mail: martin(*)myslivec(a)volny(*)cz, Dobson 400mm, N400/1600, Refraktor Borg 77ED, Montáž EQ6, Hvězdárna s montáží vlastní výroby, kamery MII C3-61000, ZWO ASI 1600MM
Uživatelský avatar
Psion
Příspěvky: 12472
Registrován: 02. 01. 2001, 05:03
Bydliště: Praha
Věk: 62
Kontaktovat uživatele:

Re: KarelP

#21

Příspěvek od Psion »

varan1975 píše: 16. 08. 2025, 10:53 Pokud někdo znáte nějakou ověřenou platformu pro bezpečnou platbu na bazarech, já jsem našel, ale aniž by si o ní kdokoliv cokoliv zjistil, odsoudil jí jako nedůvěryhodnou podle toho jak vypadá web. Může a nemusí to tak být, pokud někdo máte zkušenost nebo znáte jiné řešení, sem s tím. Podvodníků v online bude přibývat a poškozených taky, tak proč bychom nemohli společně udělat něco pro svou vlastní bezpečnost na fóru, které všichni máme tak rádi ;)
Vyjadřuj se prosím adresně. Já jsem podíval na safedeal.cz z hlediska kontaktů, kdo za tím projektem stojí, kdo platformu používá a zda je dobře hodnocená. Nenašel jsem prakticky nic a na webu kontakty žádné, adresa společnosti žádná, telefon žádný - to není pro mě důvěryhodné.
To už je lepší použít https://www.escrow.com.
Uživatelský avatar
varan1975
Příspěvky: 97
Registrován: 28. 09. 2017, 22:34
Věk: 49

Re: KarelP

#22

Příspěvek od varan1975 »

Požádal jsem schválně AI o audit našeho fóra a vysvětlil co se nyní děje a požádal jí o radu jak zvýšit bezpečnost. Nejsem programátor a tak neověřím validnost textu.

Checklist pro adminy – bezpečnost a bazar

1. Ochrana účtů
• Zapnout HTTPS (Let’s Encrypt certifikát, v ACP nastavit „cookie_secure=On“, „cookie_httponly=On“, „SameSite=Lax“).
• Dvoufaktorové ověření (2FA)
• Stáhnout a nainstalovat extension phpBB Two Factor Authentication.
• Povolit v ACP → Customise → Manage Extensions.
• Nastavit povinně pro skupinu „Bazar“.
• OAuth přihlášení (volitelné, pro pohodlí a silnější hesla)
• Nainstalovat extension Extend OAuth Login.
• Aktivovat poskytovatele (Google, GitHub, Discord).

2. Prevence falešných účtů
• StopForumSpam extension – blokace registrace z podezřelých IP/e-mailů.
• reCAPTCHA v3 – získat klíče na Google, vložit do ACP → Spambot countermeasures.
• V ACP → Security → zapnout kontrolu síly hesla (min. délka, složitost).

3. Ochrana bazaru
• Auto Groups extension
• Vytvořit skupinu Bazar.
• Nastavit: min. 30 dní od registrace + min. 10 příspěvků → auto-přidání.
• Oprávnění v bazarových fórech dát jen této skupině.
• Trader/Feedback extension
• Nainstalovat a zapnout.
• Zobrazit hodnocení pod avatarem uživatele.
• Posting/Topic Template extension
• Vytvořit šablonu (viz níže).
• Nastavit jako povinnou pro sekce bazaru.
• Moderace nových inzerátů – v ACP nastavit, že první X inzerátů uživatele jde do fronty ke schválení.
• Sticky vlákno „Jak bezpečně obchodovat“ s doporučením escrow (SafeDeal, PayPal Goods & Services, bankovní převod s ověřeným účtem).

4. Incident response
• V ACP → Security → možnost force password reset pro vybranou skupinu.
• Vytvořit interní postup: při podezření na kradený účet → ihned reset hesla, zablokovat session, oznámit členům.
• Zapnout notifikace e-mailem pro změnu hesla a e-mailu účtu.




Návrh pravidel bazaru (ke zveřejnění)

Bezpečnostní pravidla pro obchodování na fóru:
1. Přístup do bazaru mají jen členové skupiny Bazar (min. 30 dní na fóru a 10 příspěvků).
2. Každý inzerát musí obsahovat:
• datumované foto se štítkem/nápisem (uživatelské jméno + datum),
• přesný model a stav,
• cenu a měnu,
• lokalitu,
• způsob dopravy a platby.
3. Povolené platby: bankovní převod, PayPal Goods & Services, escrow služby (např. SafeDeal).
• Zakázané: PayPal Friends & Family, kryptoměny bez escrow, anonymní platby.
4. Po obchodu ohodnoťte protistranu v systému hodnocení (Trader).
5. Fórum ani administrátoři neručí za obsah inzerce – obchodujete na vlastní odpovědnost, ale dodržování výše uvedených pravidel vás chrání.
Pavel Štěpina
T: +420 773 978 125
B: 223169305/0600 | MONETA
Uživatelský avatar
varan1975
Příspěvky: 97
Registrován: 28. 09. 2017, 22:34
Věk: 49

Re: KarelP

#23

Příspěvek od varan1975 »

Psion píše: 16. 08. 2025, 11:08
varan1975 píše: 16. 08. 2025, 10:53 Pokud někdo znáte nějakou ověřenou platformu pro bezpečnou platbu na bazarech, já jsem našel, ale aniž by si o ní kdokoliv cokoliv zjistil, odsoudil jí jako nedůvěryhodnou podle toho jak vypadá web. Může a nemusí to tak být, pokud někdo máte zkušenost nebo znáte jiné řešení, sem s tím. Podvodníků v online bude přibývat a poškozených taky, tak proč bychom nemohli společně udělat něco pro svou vlastní bezpečnost na fóru, které všichni máme tak rádi ;)
Vyjadřuj se prosím adresně. Já jsem podíval na safedeal.cz z hlediska kontaktů, kdo za tím projektem stojí, kdo platformu používá a zda je dobře hodnocená. Nenašel jsem prakticky nic a na webu kontakty žádné, adresa společnosti žádná, telefon žádný - to není pro mě důvěryhodné.
To už je lepší použít https://www.escrow.com.
Přesně tohle mělo zaznít hned na první dobrou ;) Pak je všem kteří jsou jen běžní uživatelé jasné, z čeho nedůvěra pramení ;) A navíc tu zazněl tip na escrow.com. SUPER! Navíc cílem tohoto článku by měla být ochrana nás všech a proto bych se přimlouval, kdo prostě je v těchto věcech erudovaným odborníkem, ať nabídne buď své služby pro update fóra nebo implementaci bezpečnostních prvků, nebo ať poradí jak třeba řeší podobné věci on sám a nějakou službu třeba dlouho a ke vší spokojenosti používá.
Pavel Štěpina
T: +420 773 978 125
B: 223169305/0600 | MONETA
Uživatelský avatar
MMys
Příspěvky: 18155
Registrován: 02. 01. 2001, 05:03
Bydliště: Běleč nad Orlicí
Věk: 52
Kontaktovat uživatele:

Re: KarelP

#24

Příspěvek od MMys »

https samozřejmě server používá
ReCAPTCHA v3 je nasazená, moc spamu v poslední době není, to prolomení je dost vyjímečné
Na ten plugin pro 2FA kouknu, jestli to půjde pro nás použít.

Omezení na sílu hesla jsou pouze na délku, ale po pravdě, většina útoků je ukradenými hesly, takže to moc neřeší

Extra skupinu pro bazar jsem navrhoval před hodinou v jiném tématu. Bude to sice ze začátku trochu nápor pro moderátory a opruz pro uživatele, ale určitě by to pomohlo.

Jakmile je skupina "bazarníků" vytvořená, tak už je v případě podezření samozřejmě vše trochu jednodušší.

Na druhou stranu, pokud někdo ukradne uložená hesla z PC členovi s přístupem do bazaru, tak to opět nic neřeší. Jen ta šance že se to stane, bude podstatně nižší, protože z celkového počtu uživatelů těch ve skupině bazar bude zlomek.

Mimochodem, každý rok mažu uživatele, co se rok nepřihlásili a za poslední dva roky mají do dvou příspěvků.
http://hvbo.cz/foto_astronomy_cz, http://hvbo.cz, e-mail: martin(*)myslivec(a)volny(*)cz, Dobson 400mm, N400/1600, Refraktor Borg 77ED, Montáž EQ6, Hvězdárna s montáží vlastní výroby, kamery MII C3-61000, ZWO ASI 1600MM
tompi23
Příspěvky: 35
Registrován: 07. 01. 2023, 22:12
Bydliště: Mělník
Věk: 41
Kontaktovat uživatele:

Re: KarelP

#25

Příspěvek od tompi23 »

Díky za reakci. Myslím, že je ale lepší hledat cesty, jak bezpečnost zlepšit, než říkat, že to nejde. Už jen 2FA, potvrzení změny e-mailu přes původní adresu nebo login notifikace by riziko s ukradenými účty hodně snížily. phpBB sice není bazar, ale základní ochrany proti podvodníkům se k němu určitě přidat dají
TS Optics Apochromatic refractor AP 115/800 ED Triplet Photoline OTA
Celestron Advanced VX
QHY 268C
Celestron StarSense Autoguider
Uživatelský avatar
Psion
Příspěvky: 12472
Registrován: 02. 01. 2001, 05:03
Bydliště: Praha
Věk: 62
Kontaktovat uživatele:

Re: KarelP

#26

Příspěvek od Psion »

Ještě je služba v Německu https://paylax.com/en
Uživatelský avatar
MMys
Příspěvky: 18155
Registrován: 02. 01. 2001, 05:03
Bydliště: Běleč nad Orlicí
Věk: 52
Kontaktovat uživatele:

Re: KarelP

#27

Příspěvek od MMys »

No tak jsem na ten 2FA plugin koukal, a to pro nás nebude. K funkci to vyžaduje U2F zařízení, tedy hardwarový USB nebo NFC klíč (např. od Yubico), navíc s problematickou podporou v různých prohlížečích (s jistotou pouze Chrome, se Safari na Apple smůla, v ostatních prohlížečích s nutností pluginů). Takže přes tenhle 2FA plugin fakt cesta nevede :(

Myslím si že v neplacené nekomerční verzi fóra prostě žádné 2FA funkční na všech platformách (ne jen přes Google) není možné. Ale budu zkoumat dál.
varan1975 píše: 16. 08. 2025, 11:19
• Dvoufaktorové ověření (2FA)
• Stáhnout a nainstalovat extension phpBB Two Factor Authentication.
http://hvbo.cz/foto_astronomy_cz, http://hvbo.cz, e-mail: martin(*)myslivec(a)volny(*)cz, Dobson 400mm, N400/1600, Refraktor Borg 77ED, Montáž EQ6, Hvězdárna s montáží vlastní výroby, kamery MII C3-61000, ZWO ASI 1600MM
Uživatelský avatar
midars
Příspěvky: 1125
Registrován: 13. 03. 2018, 12:02
Bydliště: Hlučín
Věk: 70
Kontaktovat uživatele:

Re: KarelP

#28

Příspěvek od midars »

Martine při změně e-mailu se reaktivace provádí na novém účtu a na starý účet nepřijede informace o změně. Šlo by aspoň poslat informaci na starý účet, že došlo ke změně, případně totéž při změně hesla.
Moje astro, Astrofotky , Hlucin počasí, radiace a mag.pole
Cesta je cílem, a cíl je jen konec cesty a začátek cesty nové
Uživatelský avatar
nou
Příspěvky: 1980
Registrován: 10. 12. 2006, 05:10
Kontaktovat uživatele:

Re: KarelP

#29

Příspěvek od nou »

MMys píše: 16. 08. 2025, 12:08 No tak jsem na ten 2FA plugin koukal, a to pro nás nebude. K funkci to vyžaduje U2F zařízení, tedy hardwarový USB nebo NFC klíč (např. od Yubico), navíc s problematickou podporou v různých prohlížečích (s jistotou pouze Chrome, se Safari na Apple smůla, v ostatních prohlížečích s nutností pluginů).
Tento plugin? je tam aj podpora pre TOTP na čo existujú rôzne appky do mobilu a zadáva sa 6 miestny PIN kód.

Ten popis je tiež starý lebo na wiki
U2F security keys are supported by Google Chrome since version 38,[2] Firefox since version 57[16] and Opera since version 40.
A môžem potvrdiť že sám používam yubi key napríklad na firefoxe.
SW 150/750, TS UNC 200/800, SW EQ6-R, Canon R10, ASI220Mini, ASI1600MM Pro, ASI485MC, SW Flex 300/1500 INDI/KStars build skript FITS/XISF prehliadač
Uživatelský avatar
MMys
Příspěvky: 18155
Registrován: 02. 01. 2001, 05:03
Bydliště: Běleč nad Orlicí
Věk: 52
Kontaktovat uživatele:

Re: KarelP

#30

Příspěvek od MMys »

midars píše: 16. 08. 2025, 12:16 Martine při změně e-mailu se reaktivace provádí na novém účtu a na starý účet nepřijede informace o změně. Šlo by aspoň poslat informaci na starý účet, že došlo ke změně, případně totéž při změně hesla.
Ne, to evidentně nelze. Vše už letí na ten nový e-mail.
http://hvbo.cz/foto_astronomy_cz, http://hvbo.cz, e-mail: martin(*)myslivec(a)volny(*)cz, Dobson 400mm, N400/1600, Refraktor Borg 77ED, Montáž EQ6, Hvězdárna s montáží vlastní výroby, kamery MII C3-61000, ZWO ASI 1600MM
Odpovědět