W zeszłym tygodniu informowaliśmy o wykryciu w Allegro luki bezpieczeństwa pozwalającej na podmienienie znajdujących się na stronie odnośników. Allegro częściowo pozbyło sie problemu, jednak w międzyczasie pojawił się nowy.
Pierwszej luka wykorzystywała możliwość pozycjonowania znajdujących się na stronie elementów za pomocą atrybutów CSS. W piątek pracownicy Allegro zdołali częściowo usunąć problem - w wyniku podjętych działań nie można już podmieniać stałych elementów strony za pomocą atrybutu position: absolute, mimo, iż nadal można wykorzystywać go w opisie aukcji.
Jak jednak dość szybko zauważył Paweł "Krejd" Węgrzyn, który niedawno prezentował lukę - rozwiązanie okazało się niepełne. Nadal istnieje bowiem możliwość wykorzystania luki w nieco zmodyfikowanej formie - za pomocą atrybutu position: fixed. Co prawda po zastosowaniu tej metody osoby przewijające stronę aukcji za pomocą suwaka przeglądarki nie dostaną się do właściwego opisu (fragment strony objęty tym znacznikiem pozostanie w jednym miejscu ekranu), ale jeśli ktoś będzie przemieszczał się po aukcji za pomocą rolki myszy, może odnieść wrażenie, że aukcja jest zupełnie "normalna".
Jednocześnie jak zauważa Jacek Z. Strzembkowski z serwisu Aukcje.org, nawet niezmodyfikowaną wersję luki można wykorzystać na stronach starej kafejki Allegro.
Więcej luk
Na tym jednak nie koniec. Pod koniec ubiegłego tygodnia jeden z bloggerów, Adriano, zauważył inne luki bezpieczeństwa. Jak się okazuje możliwe jest zmylenie algorytmów, za pomocą których Allegro interpretuje kod HTML/CSS aukcji. Dzięki temu można wykorzystać znaczniki CSS i HTML spoza dozwolonej przez Allegro listy. Za pomocą odkrytych luk można między innymi wstawić na aukcję skrypty JavaScript czy obiekty flash (przykład w archiwizatorze aukcyjnym).
Jak groźne są nowo odkryte błędy zauważył na swojej stornie Paweł "Krejd" Węgrzyn. Okazuje się bowiem, iż za pomocą dziur odkrytych przez Adriano można wyjątkowo łatwo manipulować cudzym kontem. Wystarczy, że dana osoba będzie zalogowana i wyświetli odpowiednio spreparowaną aukcję, nie musząc nawet na nic klikać w jej obrębie!
Co na to Allegro
Rzecznik Allegro, Bartek Szambelan, zapewnił, iż trwają prace nad wyeliminowaniem zagrożenia. Twierdzi też, iż po odkryciu pierwszej z omawianych luk, na stronie komunikatów Allegro znajdowała się informacja na temat zagrożenia. Obecnie jednak, po wykryciu, iż zastosowane zabezpieczenie jest niepełne i ujawnieniu kolejnych luk, informacji takiej nie widać, a użytkownicy serwisu o konieczności zachowania ostrożności dowiadują się z forów, blogów, grup dyskusyjnych i informacji umieszczanych na stronach typu Wykop.pl.
Tymczasem Jacek Z. Strzembkowski zauważa, iż serwisy takie jak Allegro mają obowiązek ostrzeżenia swoich użytkowników o zaistniałym zagrożeniu. Wskazuje przy tym na ustawę o świadczeniu usług drogą elektroniczną:
Art. 6. Usługodawca jest obowiązany zapewnić usługobiorcy dostęp do aktualnej informacji o:
1) szczególnych zagrożeniach związanych z korzystaniem z usługi świadczonej drogą elektroniczną,
Jacek Z. Strzembkowski przypomina też, że obowiązek odpowiedniego zabezpieczenia danych osobowych wynika z ustawy o ochronie danych osobowych
Świstak, eBay
Te dwa serwisy dotknięte są tylko pierwszą z wymienionych dziur bezpieczeństwa. W przypadku Świstaka trudno określić kiedy problem z użyciem atrybuty CSS position zostanie usunięty, jak jednak zapewniają pracownicy serwisu - "na pewno nie później niż w ciągu najbliższych 3 miesięcy" (sic! miejmy nadzieję, że jednak dużo wcześniej).
Jeśli chodzi o eBay - stanowisko tej platformy ma zostać przesłane do redakcji DI we wtorek, 10 lipca br.
W Dragon's Den wszystko było wyreżyserowane. Nasz projekt był z góry łatwy do określenia, że nie wiadomo, o co nam chodzi i nie umiemy tego zaprezentować - mówi Dziennikowi Internatów uczestnik Dragon's Den, Ziemowi Gólski, który odpadł z programu, ponieważ nikt nie zrozumiał jego projektu. więcej
Kilka dni temu publikowaliśmy treść listu Radia Wolne Media do ZPAV w sprawie próby pobrania przez pracownika tej instytucji opłat za korzystanie z utworów na licencji Creative Commons. Sprawie przyjrzeliśmy się bliżej, wysyłając do ZPAV-u prośbę o komentarz. Przy okazji zadaliśmy też pytanie, czy ZPAV stara się dotrzeć do producentów, w obronie których pobiera opłaty. więcej
Wydatki związane z przeglądem czy zakupem klimatyzacji lub instalacją rolet można zaliczyć w koszty firmy. Dotyczy to nie tylko samochodów, ale także firmowych lokali. W ten sposób można zaoszczędzić na podatku nawet 1,5 tys. zł. więcej
Od jakiegoś czasu abonenci telewizji satelitarnej n są nękani bardzo uciążliwą reklamą emitowaną zaraz po każdym uruchomieniu dekodera. Reklama ma formę planszy zastępującej właściwy obraz i zachęcającej do skorzystania z oferty wypożyczalni VOD operatora - pisze Czytelnik Dziennika Internautów. więcej
phishing
Zobacz wszystkie (3)
Pobieranie danych...