Błędy w serwisach internetowych, jeśli już zostaną wykryte, najczęściej są zgłaszane administracji serwisu, która - dbając o bezpieczeństwo użytkowników - powinna starać się usunąć je jak najszybciej. Czasem jednak administracja po prostu lekceważy sprawę i osobę zgłaszającą błąd. Przekonał się o tym ostatnio jeden z naszych czytelników, który alarmował o błędach w serwisie Gazeta.pl.
Andrzej Górz, korzystając ze swojego konta w portalu Gazeta.pl, postanowił przyjrzeć się swojemu profilowi. Sprawdzając jedną z opcji profilu natrafił na ślad, który skłonił go do sprawdzenia, czy serwis jest odpowiednio zabezpieczony przed atakami XSS. Już pierwsze testy wypadły na niekorzyść portalu.
To jeszcze żadna afera. Błąd nie był bardzo poważny i może się zawsze przytrafić. Andrzej Górz postanowił (jak każdy uczciwy znalazca błędu) skorzystać z formularza kontaktowego do zgłaszania błędów i problemów. W zamian otrzymał grzeczną autoodpowiedź. Dopiero po powtórzeniu zgłoszenia jeden z administratorów poczty odpisał. Problem miał być wkrótce rozwiązany.
Zgłoszenie błędu miało miejsce 18 lutego. Od tej pory serwis Gazeta.pl cały czas zawiera ten sam błąd. Mieliśmy okazję się o tym przekonać, bo otrzymując informacje od Pana Górza poprosiliśmy o zaprezentowanie nam techniki ataku. Trzeba tutaj dodać, ze wykryty błąd nie pozwala na kradzież danych.
Pozwala on natomiast na wstrzyknięcie kodu JavaScript czy HTML na stronę webmaila. Odpowiednio twórczy cyberprzestępca mógłby go wykorzystać np. w atakach phishingowych.
- Nie możemy mieć pretensji do Gazety, że projektując swój serwis popełniono mniejsze lub większe błędy programistyczne, projektowe, czy mające na celu zabezpieczenie serwisu. - mówi Górz - Wysoce nieodpowiedzialny był natomiast brak reakcji na zgłoszenie przeze mnie owego błędu. Przez ponad dwa tygodnie spokojnie można było go rozwiązać. Co więcej, administracja Gazety z podobnymi zgłoszeniami miała już styczność, o czym można się przekonać czytając blogi poświęcone bezpieczeństwu.
Również nasz redakcyjny kolega, Michał Majchrowicz, przeprowadził własne testy bezpieczeństwa portalu i znalazł podobne błędy dotyczące trzech podserwisów Gazeta.pl. W chwili pisania tego tekstu były one aktywne. Przedstawiciele Gazeta.pl jak na razie nie skomentowali sprawy. Obiecali to zrobić w najbliższym czasie i cały czas (od tygodnia) czekamy na ich stanowisko w tej sprawie.
W Dragon's Den wszystko było wyreżyserowane. Nasz projekt był z góry łatwy do określenia, że nie wiadomo, o co nam chodzi i nie umiemy tego zaprezentować - mówi Dziennikowi Internatów uczestnik Dragon's Den, Ziemowi Gólski, który odpadł z programu, ponieważ nikt nie zrozumiał jego projektu. więcej
Kilka dni temu publikowaliśmy treść listu Radia Wolne Media do ZPAV w sprawie próby pobrania przez pracownika tej instytucji opłat za korzystanie z utworów na licencji Creative Commons. Sprawie przyjrzeliśmy się bliżej, wysyłając do ZPAV-u prośbę o komentarz. Przy okazji zadaliśmy też pytanie, czy ZPAV stara się dotrzeć do producentów, w obronie których pobiera opłaty. więcej
Gdy posiadasz prywatny samochód, komputer czy inny sprzęt i chcesz wykorzystać go na potrzeby działalności gospodarczej, wprowadzając do ewidencji środków trwałych firmy, musisz ustalić wartość początkową, od której rozpoczniesz amortyzację danego składnika. Jest nią cena nabycia, a gdy nie możesz jej ustalić, dokonaj wyceny, uwzględniając ceny rynkowe. więcej
Od jakiegoś czasu abonenci telewizji satelitarnej n są nękani bardzo uciążliwą reklamą emitowaną zaraz po każdym uruchomieniu dekodera. Reklama ma formę planszy zastępującej właściwy obraz i zachęcającej do skorzystania z oferty wypożyczalni VOD operatora - pisze Czytelnik Dziennika Internautów. więcej
Zobacz wszystkie (7)
Pobieranie danych...