Na blogu Michała Majchrowicza pojawiła się informacja o luce w Allegro, która według autora była łatana przez ponad miesiąc czasu. Pracownicy Allegro zaprzeczają temu, że trwało to tak długo i zwracają uwagę na to, że załatano ją bez żadnego zgłoszenia. Użytkownikom nasunie się w tej sytuacji pytanie - co robić, aby na aukcjach być bezpiecznym?
Wspomniana luka była związana z niepoprawną obsługą nazw zmiennych. Jej dokładniejszy opis możemy znaleźć na blogu Michała Majchrowicza. Dobrze, że została ona już załatana, ale bloger ma wątpliwości co do szybkości działania Allegro w podobnych sprawach. Według niego luka mogła być obecna przez ponad miesiąc czasu. Z pewnością była aktywna jeszcze 2 stycznia.
Przedstawiciele platformy aukcyjnej twierdzą, że luka nie mogła być obecna w serwisie przez miesiąc. Michał Majchrowicz nawet przy takim założeniu nie ustaje w twierdzeniu, że łatanie luki trwało zbyt długo. Według niego usunięcie tego błędu wcale nie było trudne i w "naprawdę pesymistycznym przypadku" mogło zająć tydzień. Dodatkowo należałoby założyć, że po opisaniu innych luk w Allegro w serwisie Hacking.pl (co miało miejsce w połowie grudnia) ekipa techniczna sprawdziła dokładnie serwis.
Allegro: poradziliśmy sobie!
Przedstawiciel Allegro jest innego zdania
- Pracownicy Allegro.pl pracują nad bezpieczeństwem serwisu bez przerwy. Świadczyć może o tym fakt, że to my, bez żadnego zgłoszenia znaleźliśmy i usunęliśmy problem o którym pisze autor tego bloga - napisał w e-mailu dla DI Patryk Tryzubiak, PR Manager Allegro.pl.
Przedstawiciel Allegro zaznaczył także, że ostatnie informacje na temat "dziur" w Allegro.pl dotyczyły takich usterek, których wykorzystanie wymagało interakcji z użytkownikiem (tj. kliknięcia w link). Po raz kolejny warto więc zaapelować do użytkowników, aby nie klikali w linki, których nie znają. Próba przekonania użytkownika do kliknięcia w nieznany odnośnik nadal wydaje się najbardziej popularna metodą wśród cyberprzestępców.
Luki w serwisach aukcyjnych - niekończąca się historia?
Czytelnikom pozostawiamy kwestię oceny, czy Allegro w tym przypadku działało szybko, czy nie. Zwracamy jednak uwagę na to, że tematyka błędów w Allegro od pewnego czasu powraca jak bumerang. Może to martwić, ale świadczy również o tym, że coraz intensywniej mówi sie o problemie, który byłby znacznie groźniejszy gdyby go przemilczano.
Jak już wspomniano, w grudniu ubiegłego roku na łamach serwisu Hacking.pl pojawił się artykuł o luce pozwalającej na dokonanie ataku XSS i CSRF dzięki spreparowanym linkom. Jeszcze wcześniej - we wrześniu ubiegłego roku - w serwisie Aukcje.org można było poczytać o luce w zabezpieczeniach Allegro pozwalającej na dokonanie ataku XSS. O tej wrześniowej luce pisaliśmy również w DI. Wtedy Łukasz Pilorz cytowany w naszym artykule radził czytelnikom, aby aukcje internetowe odwiedzali z wyłączonym JavaScriptem.
Zarówno użytkownicy, jak i programiści powinni mieć świadomość, że bezpieczeństwo serwisów aukcyjnych zawsze będzie szukaniem kompromisu pomiędzy swobodą użytkownika a bezpieczeństwem. Jak słusznie zauważył redaktor serwisu Aukcje.org przy okazji doniesień wrześniowych - najbardziej szkodliwe będzie przekonanie, że "nic się nie może stać".
W Dragon's Den wszystko było wyreżyserowane. Nasz projekt był z góry łatwy do określenia, że nie wiadomo, o co nam chodzi i nie umiemy tego zaprezentować - mówi Dziennikowi Internatów uczestnik Dragon's Den, Ziemowi Gólski, który odpadł z programu, ponieważ nikt nie zrozumiał jego projektu. więcej
Kilka dni temu publikowaliśmy treść listu Radia Wolne Media do ZPAV w sprawie próby pobrania przez pracownika tej instytucji opłat za korzystanie z utworów na licencji Creative Commons. Sprawie przyjrzeliśmy się bliżej, wysyłając do ZPAV-u prośbę o komentarz. Przy okazji zadaliśmy też pytanie, czy ZPAV stara się dotrzeć do producentów, w obronie których pobiera opłaty. więcej
Gdy posiadasz prywatny samochód, komputer czy inny sprzęt i chcesz wykorzystać go na potrzeby działalności gospodarczej, wprowadzając do ewidencji środków trwałych firmy, musisz ustalić wartość początkową, od której rozpoczniesz amortyzację danego składnika. Jest nią cena nabycia, a gdy nie możesz jej ustalić, dokonaj wyceny, uwzględniając ceny rynkowe. więcej
Od jakiegoś czasu abonenci telewizji satelitarnej n są nękani bardzo uciążliwą reklamą emitowaną zaraz po każdym uruchomieniu dekodera. Reklama ma formę planszy zastępującej właściwy obraz i zachęcającej do skorzystania z oferty wypożyczalni VOD operatora - pisze Czytelnik Dziennika Internautów. więcej
Zobacz wszystkie (1)
Pobieranie danych...