Zespół Bezpieczeństwa PCSS poddał testom 50 losowo wybranych sklepów internetowych w Polsce, w celu sprawdzenia, na ile bezpieczne jest dokonywanie zakupów w Sieci.
Robiąc internetowe zakupy zwykle ujawniamy wiele informacji na swój temat. Są one nie tylko cenne dla różnego rodzaju agencji reklamowych czy konkurencyjnych sklepów, ale również dla przestępców, którzy na przykład mogą wykorzystać je w celu wyszukiwania potencjalnych ofiar, dokonywania wymuszeń itp.
Według specjalistów Poznańskiego Centrum Superkomputerowo Sieciowego (PCSS) dokonując zakupów w polskich sklepach nie możemy czuć się w pełni bezpiecznie, gdyż około połowa z nich nie zabezpiecza odpowiednio danych osobowych, które przekazujemy podczas przeprowadzania transakcji.
Testom poddano zarówno sklepy wykorzystujące technologie komercyjne (np. firmy Microsoft), jak i te wykorzystujące szeroko rozumiane technologie typu open source. Wyboru badanej 50-tki dokonano z około 3,3 tys. internetowych punktów handlowych, bez zawężania typów sklepów, platformy serwerowej, ani skryptów obsługujących sklepy.
Analitycy zwracają uwagę, że przeprowadzone badania nie są kompletnymi testami bezpieczeństwa wybranych sklepów. Posłużyły one wyłącznie do sprawdzenia poziomu bezpieczeństwa implementacji mechanizmów tworzenia sesji użytkownika przez skrypty serwera.
Ponieważ wykorzystywany w internecie protokół HTTP (wraz z bezpieczną, szyfrowaną wersją HTTPS) jest protokołem bezstanowym, to nie jest on w stanie bezpośrednio "pamiętać" historii, ani stanu konkretnego połączenia z serwerem. Do obejścia tego problemu służą sesje i "ciasteczka", na których to właśnie skupili się eksperci PCSS.
Mechanizmy sesji to konkretne połączenia przeglądarki użytkownika z serwerem.
Z kolei "ciasteczka", czyli cookies, to niewielkie porcje informacji w formacie tekstowym zapisywane na dysku użytkownika za pośrednictwem przeglądarki. Ciasteczka zapisywane są na żądanie serwera WWW i w razie potrzeby odsyłane z powrotem na serwer.
Podczas badania okazało się, że w połowie przypadków serwery udostępniające usługę e-sklepu są nieprawidłowo skonfigurowane. Eksperci odkryli, że wyświetlają zbyt dużo informacji o błędach, które mogą być przydatne dla włamywacza planującego atak. Odpowiedni dobór danych wysłanych przez osobę atakującą do serwera pozwala na identyfikację sposobu przechowywania danych sesji na serwerze. Dodatkowo, w przypadku błędnej konfiguracji języka PHP, istnieje możliwość uzyskania informacji o pełnej ścieżce uruchamianych na serwerze skryptów.
Z kolei w przypadku "ciasteczek" odkryto, że mają one zbyt długi okres ważności - najczęściej do końca trwania sesji. Taka sytuacja zwiększa czas, w jakim napastnik może daną sesję zaatakować, szczególnie jeśli użytkownik nie kończy sesji,czyli pobytu na stronach sklepu, kliknięciem przycisku Wyloguj. W jednym ze internetowych punktów handlowych odkryto np. ciasteczko, którego czas ważności wyniósł 7 dni!
Co więcej, ponad dwie trzecie sklepów nie zabrania spreparowania własnego identyfikatora sesji, co ułatwia atak przez podstawienie adresu URL nieświadomemu użytkownikowi. Niemal żaden z badanych przez specjalistów PCSS e-sklepów nie stosował dodatkowych mechanizmów, które utrudniłyby atak.
Jak widać, wyposażony w odpowiednią wiedzę włamywacz może w przypadku takich sklepów dokonać nieautoryzowanych zakupów w imieniu innego użytkownika. Przykładowo, może przejąć kontrolę nad jego sesją i zmienić miejsce dostawy zakupionego oraz opłaconego już przez ofiarę towaru. Innym poważnym zagrożeniem jest możliwość przejęcia danych osobowych klienta sklepu, bądź uzyskania informacji o jego specyficznych preferencjach i zainteresowaniach - co może posłużyć np. do szantażu lub wymuszenia.
Na podstawie wykonanych testów badacze PCSS wnioskują, że znaczna część sklepów nie wykonała należytej pracy nad zabezpieczeniem swoich serwisów. Tym samym narażają swoich klientów nie tylko na straty finansowe, ale również utratę poufnych danych.
W Dragon's Den wszystko było wyreżyserowane. Nasz projekt był z góry łatwy do określenia, że nie wiadomo, o co nam chodzi i nie umiemy tego zaprezentować - mówi Dziennikowi Internatów uczestnik Dragon's Den, Ziemowi Gólski, który odpadł z programu, ponieważ nikt nie zrozumiał jego projektu. więcej
Kilka dni temu publikowaliśmy treść listu Radia Wolne Media do ZPAV w sprawie próby pobrania przez pracownika tej instytucji opłat za korzystanie z utworów na licencji Creative Commons. Sprawie przyjrzeliśmy się bliżej, wysyłając do ZPAV-u prośbę o komentarz. Przy okazji zadaliśmy też pytanie, czy ZPAV stara się dotrzeć do producentów, w obronie których pobiera opłaty. więcej
Przed wyjazdem na zagraniczne wakacje warto otworzyć sobie rachunek walutowy z kartą. Dzięki temu nie musimy zabierać ze sobą dużej ilości waluty w gotówce. Korzystając z takiego rozwiązania, nie potrzebujemy karty kredytowej, aby np. zarezerwować hotel czy wynająć za granicą samochód. Walutę na taki rachunek możemy też tanio kupić w kantorze internetowym. więcej
Od jakiegoś czasu abonenci telewizji satelitarnej n są nękani bardzo uciążliwą reklamą emitowaną zaraz po każdym uruchomieniu dekodera. Reklama ma formę planszy zastępującej właściwy obraz i zachęcającej do skorzystania z oferty wypożyczalni VOD operatora - pisze Czytelnik Dziennika Internautów. więcej
sesje
Zobacz wszystkie (9)
Pobieranie danych...