Serwis Allegro.pl podjął działania mające na celu usunięcie luki w zabezpieczeniach, o której pisaliśmy w Dzienniku Internautów w środę, w informacji pt. "Niebezpieczna luka na Allegro", która to dawała możliwość podmiany zawartości strony aukcji poprzez style CSS.
Opisywana luka bezpieczeństwa wykorzystuje możliwości niektórych atrybutów CSS, za pomocą których można wpłynąć na widoczność niektórych elementów strony.
Pracownicy serwisu testują obecnie rozwiązanie, które być może pozwoli na rozwiązanie problemu bez ograniczania dostępu do formatowania wyglądu aukcji przez CSS. Jeśli wyniki tego testu okażą się pozytywne pod względem bezpieczeństwa, zostanie ono wprowadzone w życie. W przeciwnym wypadku w opisach licytacji oraz na stronach "o mnie" zablokowana zostanie możliwość stosowania następujących parametrów CSS: position, display, z-index.
Zanim rozpoczęły się testy nad metodą nieograniczającą CSS, rzecznik prasowy Allegro.pl - Bartek Szambelan - mówił: "Prosimy naszych użytkowników o usunięcie z opisów aukcji i stron "O mnie" powyższych stylów CSS. Ponieważ są one stosowane przez wielu użytkowników, zapowiedziana zmiana zostanie wprowadzona po miesięcznym okresie przejściowym, 1 sierpnia 2007. 17 lipca zostanie uruchomiona strona, na której można będzie sprawdzić poprawność opisu aukcji po usunięciu wymienionych stylów.
Jednocześnie Bartek Szambelan przypomina, iż regulamin Allegro zabrania przemieszczania, blokowania, zakrywania lub dublowania stałych elementów strony z opisem (w tym m.in. okien, które służą do składania ofert w aukcjach) (punkt 19.10).
Tymczasem Paweł "Krejd" Węgrzyn, który zademonstrował działanie luki mówi, że widzi również inny sposób na usunięcie problemu, na razie jednak nie zdradził redakcji szczegółów.
Okazuje się jednak, że zagrożenie dotyczy nie tylko Allegro, ale też eBaya. Gdy ponad rok temu sprawę opisywał na łamach serwisu Aukcje.org Jacek Z. Strzembkowski, problem dotyczył też eBaya (wszystkie filie), Świstaka i wszystkich filie QXL (włącznie z zamkniętym już serwisem Aukcje24.pl).
"eBay nadal nie jest szczelny na opisane tricki. Wie o nich centrala - byłem w warszawskiej siedzibie eBaya po wykryciu luki" - mówi Jacek Z. Strzembkowski.
Obecnie oczekuję na odpowiedź eBay.pl na pytanie czy i na kiedy serwis planuje likwidację zagrożenia. Tymczasem, jak zauważa Jacek, w przypadku eBaya zagrożeń jest znacznie więcej. Jego zdaniem w tym przypadku można zagrozić użytkownikom też innymi technikami, m.in. JavaScriptem, choć nie tylko.
Również w przypadku Świstaka nadal możliwe jest użycie w stylach wymienionych na początku artykułu parametrów. Jednak jak mówi jeden z przedstawicieli tej platformy, Krzysztof Michalak, opracowanie zabezpieczeń antyphishingowych jest aktualnie dla Świstaka działaniem priorytetowym. Dodaje też, że niedawno w wyniku interwencji pracowników serwisu zlikwidowana została strona phisherów, którzy za cel obrali sobie użytkowników tego serwisu.
AKTUALIZACJA
Do redakcji dotarł mail, w którym Bartek Szambelan napisał, iż testy metody rozwiązania problemy zostały zakończone. W liście czytamy:
W tej chwili problem został rozwiązany tak, by w jak najmniejszym stopniu ingerował w opisy przedmiotów, uniemożliwiając jednocześnie złośliwe wykorzystanie kodu na stronach przedmiotów.
Użytkownicy nadal mają możliwość modyfikacji części z opisem przedmiotu, nie mogą jednak wykorzystać kodu zakrywając stronę Allegro spreparowanymi elementami ze zmienionymi/fałszywymi linkami i formularzami, co zdarzyło się ostatnio.
Niestety nie padły konkrety co do metody, jaką zastosowali pracownicy Allegro. Jednak jak twierdzi Paweł "Krejd" Węgrzyn - lukę nadal można wykorzystać.
W Dragon's Den wszystko było wyreżyserowane. Nasz projekt był z góry łatwy do określenia, że nie wiadomo, o co nam chodzi i nie umiemy tego zaprezentować - mówi Dziennikowi Internatów uczestnik Dragon's Den, Ziemowi Gólski, który odpadł z programu, ponieważ nikt nie zrozumiał jego projektu. więcej
Kilka dni temu publikowaliśmy treść listu Radia Wolne Media do ZPAV w sprawie próby pobrania przez pracownika tej instytucji opłat za korzystanie z utworów na licencji Creative Commons. Sprawie przyjrzeliśmy się bliżej, wysyłając do ZPAV-u prośbę o komentarz. Przy okazji zadaliśmy też pytanie, czy ZPAV stara się dotrzeć do producentów, w obronie których pobiera opłaty. więcej
Wydatki związane z przeglądem czy zakupem klimatyzacji lub instalacją rolet można zaliczyć w koszty firmy. Dotyczy to nie tylko samochodów, ale także firmowych lokali. W ten sposób można zaoszczędzić na podatku nawet 1,5 tys. zł. więcej
Od jakiegoś czasu abonenci telewizji satelitarnej n są nękani bardzo uciążliwą reklamą emitowaną zaraz po każdym uruchomieniu dekodera. Reklama ma formę planszy zastępującej właściwy obraz i zachęcającej do skorzystania z oferty wypożyczalni VOD operatora - pisze Czytelnik Dziennika Internautów. więcej
phishing
Zobacz wszystkie (6)
Pobieranie danych...