Minął rok, od kiedy Interia została po raz pierwszy poinformowana przez Marka Futregę o lukach w systemie pocztowym portalu. Sprawa do tej pory pozostaje niezałatwiona, podczas gdy konkurencyjne portale potrafiły poradzić sobie z problemem nawet w jeden dzień. Tymczasem błędy w poczcie Interii umożliwiają przeprowadzenie naprawdę niebezpiecznych ataków, łącznie z kradzieżą danych - wszystko zależy tylko od wyobraźni atakującego.
Jak pisze na swoim blogu Marek Futrega na stronach poczty elektronicznej portalu Interia znajduje się kilka luk typu XSS. Zagrożeni są użytkownicy kont tego portalu, sprawdzający pocztę przy pomocy przeglądarki Internet Explorer Microsoftu.
Wspomniane luki umożliwiają wykonanie dowolnego kodu JavaScript u użytkownika systemu Interii. Wystarczy by otworzył w przeglądarce IE odpowiednio przygotowany e-mail, dzięki któremu atakujący może m.in. wykraść cookies użytkownika poczty Interii, skasować jego pocztę z serwera, wysłać ją innym osobom, przekierować na dowolną stronę, poprosić o powtórne wprowadzenie hasła celem wykradnięcia itp. - pisze Marek Futrega.
Interia miała sporo czasu na załatanie luk. Pierwsze powiadomienie zostało wysłane 16 stycznia 2006 roku, drugie pół roku później. Co ciekawe - jak informuje Futrega - pracownicy Interii potwierdzili w obydwu przypadkach przyjęcie zgłoszeń i... na tym poprzestali. Nic nie zrobiono nawet po ostrzeżeniu, które Marek Futrega wysłał do Interii dwa tygodnie temu, w którym poinformował, że po 16 stycznia ujawni informacje o lukach w systemie pocztowym tego portalu, bez czekania na ich usunięcie.
Jeszcze ciekawszy może wydawać się fakt, że luki te dotyczyły także systemów pocztowych innych polskich portali oraz polskich firm oferujących konta poczty elektronicznej. Te jednak poważnie podeszły do zgłoszenia i załatały dziury - portal Onet potrzebował na to 1 dnia, pozostałe od kilku dni do kilku tygodni.
Podatność poczty Interii na wspomniane luki można sprawdzić wysyłając e-mail testowy za pomocą formularza przygotowanego przez Marka Futregę. Nastepnie należy wejść na skrzynkę pocztową na Interii przy pomocy przeglądarki Internet Explorer i otworzyć e-mail zatytułowany: xss test v.2006-01-16. Potem już trudno zamknąć przeglądarkę (przynajmniej IE7) w standardowy sposób ;-)
Testy przeprowadzone przez redakcję DI w przeglądarce Firefox i Opera nie zakończyły się tak dramatycznie, jak w przypadku Internet Explorera.
W Dragon's Den wszystko było wyreżyserowane. Nasz projekt był z góry łatwy do określenia, że nie wiadomo, o co nam chodzi i nie umiemy tego zaprezentować - mówi Dziennikowi Internatów uczestnik Dragon's Den, Ziemowi Gólski, który odpadł z programu, ponieważ nikt nie zrozumiał jego projektu. więcej
Kilka dni temu publikowaliśmy treść listu Radia Wolne Media do ZPAV w sprawie próby pobrania przez pracownika tej instytucji opłat za korzystanie z utworów na licencji Creative Commons. Sprawie przyjrzeliśmy się bliżej, wysyłając do ZPAV-u prośbę o komentarz. Przy okazji zadaliśmy też pytanie, czy ZPAV stara się dotrzeć do producentów, w obronie których pobiera opłaty. więcej
Gdy posiadasz prywatny samochód, komputer czy inny sprzęt i chcesz wykorzystać go na potrzeby działalności gospodarczej, wprowadzając do ewidencji środków trwałych firmy, musisz ustalić wartość początkową, od której rozpoczniesz amortyzację danego składnika. Jest nią cena nabycia, a gdy nie możesz jej ustalić, dokonaj wyceny, uwzględniając ceny rynkowe. więcej
Od jakiegoś czasu abonenci telewizji satelitarnej n są nękani bardzo uciążliwą reklamą emitowaną zaraz po każdym uruchomieniu dekodera. Reklama ma formę planszy zastępującej właściwy obraz i zachęcającej do skorzystania z oferty wypożyczalni VOD operatora - pisze Czytelnik Dziennika Internautów. więcej
XSS
Zobacz wszystkie (6)
Pobieranie danych...