Maily na zoznam.sk volne dostupne

03.02.2003 17:19 | blackhole

Ešte ani neutichol povyk okolo odhalených fotiek na pokeci, a už tu máme ďalšiu chybu. Teraz trochu nebezpečnejšiu a opäť zbytočnú. Bez akéhokoľvek overovania (hesla). Si môže hocikto pozerať cudziu poštu.

Jediná vec, ktorú treba poznať k tomu, aby si hocikto mohol pozerať vašu poštu, je vaša mailová adresa. Nebudem sa nejak rozpisovať o tom, ako to funguje, pretože je to tak primitívne, že každému postačí nasledujúci riadok:

http://mail.zoznam.sk/majl?folder=~UZIVATEL@zoznam.sk/INBOX&sid=0&smai l=1

Dôležité sú tieto premenné:
folder = ~uzivatel (meno uživateľa)
smail = cislo mailu (čísla idú po sebe

Takže iba zvyšovaním posledného čísla si može dotyčný pozrieť všetky maily užívateľa, ktorý ho zaujíma.

Chyba je to naozaj primitívna. Dokáže ju zneužiť aj ten, kto dokáže
napísať zoznam.sk.

Administrátori zoznam.sk boli kontaktovaní. Do 2 hodiniek bola chyba odstránená a za upozornenie poďakovali. Tu je vidieť prístup profesionálov.

Problém je však oveľa väčší. V krátkom časovom intervale sa odhalili viaceré bezpečnostné chyby vo webových aplikáciach najpoužívanejších slovenských portálov. Či je to už spomenutý pokec.sk s fotkami, centrum.sk s údajmi o užívateľoch, alebo naposledy spomínaná chyba na zoznam.sk. Je viac ako isté, že tieto chyby boli známe dlhšiu dobu a nezávisle sa zneužívali. Až keď vyšla na povrch prvá, postupne sa objavovali ďalšie chyby (a ďalšie môžu nasledovať). Jasne z toho vyplýva, že zverejňovanie bezpečnostných chýb je na prospech všetkým zúčastneným stranám. Najviac však samotnému užívateľovi. A o to predsa všetkým ide, či nie?

Predpokladám, že ešte veľa portálov trpí podobnými \"lamerskými\" chybami. Je to tým, že väčšia dôležitosť sa prikladá designu, prípadne tomu, ako dotiahnuť aj tu hŕstku surfujúcich na svoj web. Príliš často sa na SK nete neobjavujú podobné informácie, kde sú menované konkrétne firmy / osoby zodpovedné za chyby. Preto sa nikto netrápi so zabezpečovaním. Avšak, keď bude podobných správ viac, určite sa zvýši bezpečnosť webových aplikácii. A aj na slovenskú spoznajú slová ako bezpečnostný audit a pod. Nikto nemôže ponúkať kvalitné služby, keď sú dáta jeho používateľa voľne prístupné na internete.mis0 truban