Poczta o2.pl - bezpieczniejsza i bardziej społecznościowa

, 25-02-2010, 11:52

Wychodząc naprzeciw oczekiwaniom internautów, administratorzy poczty o2.pl włączyli szyfrowanie procesu zmiany hasła. Pojawiły się również pierwsze funkcje ułatwiające użytkownikom korzystanie z serwisu społecznościowego Facebook.

W połowie lutego do redakcji Dziennika Internautów trafiło zgłoszenie dotyczące poczty o2.pl. Czytelnik się skarżył, że logowanie do usługi odbywa się przy użyciu bezpiecznego protokołu, ale "nie można się doprosić u tych panów, by wprowadzili SSL na opcji zmiany hasła".

Dlaczego to takie ważne? Brak szyfrowania transmisji podczas zmiany danych dostępowych umożliwia podsłuchanie zarówno starego, jak i nowego hasła użytkownika. Wystarczy, że atakujący znajdzie się w tej samej sieci lokalnej, co ofiara, lub uzyska kontrolę nad którymkolwiek z urządzeń sieciowych pomiędzy ofiarą a serwerami o2.pl. Można to zrobić, używając programu, którego zadaniem jest przechwytywanie i analizowanie danych przepływających w sieci, takiego jak np. Wireshark.

>> Czytaj także: Jak usunąć swoje konto z o2.pl

Identyczną podatność wykryto także w poczcie Wirtualnej Polski. Zdania ekspertów co do jej wagi są podzielone. Wojciech Smol, redaktor naczelny serwisu HARD CORE SECURITY LAB, uważa ją za groźny błąd projektowy.

Piotr Konieczny, współzałożyciel serwisu Niebezpiecznik.pl, uspokaja natomiast, że dziura nie jest taka straszna, jak ją malują (choćby dlatego, że użytkownicy tak naprawdę rzadko zmieniają hasła do poczty elektronicznej). W poświęconym temu zagadnieniu wpisie można przeczytać: "Twierdzimy wręcz, że tak jak przed wykryciem tego błędu, tak i po jego załataniu dalej będzie można podejrzeć czyjąś pocztę. Słowa klucze: session hijacking i cookie stealing" (wyjaśnienie, co znaczą te terminy, znajdziemy w artykule pt. Błędy w WP.pl i O2.pl pozwalają na podsłuchanie hasła do poczty).

>> Czytaj także: Antyspamowe nowości w poczcie o2.pl

Na doniesienia o błędach jako pierwsza zareagowała Wirtualna Polska, o2.pl podążyło jej śladem. W liście, który do redakcji Dziennika Internautów dotarł 24 lutego w godzinach wieczornych, Dyrektor Biura Zarządu Dariusz Kołtko napisał: "W celu zwiększenia bezpieczeństwa użytkowników poczty wczoraj o2 wyłączyło możliwość zmiany hasła bez szyfrowania. Hasło można zmienić tylko przez bezpieczne połączenie SSL. W ustawieniach poczty należy kliknąć w link Przejdź do strony bezpiecznej zmiany hasła".

Taka reakcja zasługuje oczywiście na pochwałę. Dobrze by było, żeby oba serwisy wprowadziły jeszcze przesyłanie ciasteczek (ang. cookies) tylko za pomocą protokołu SSL i z flagą HTTP-only, która ukryje je przed skryptami, o czym pisze Piotr Konieczny we wspomnianym wyżej artykule.

Poczta o2.pl bardziej social

Przy okazji warto wspomnieć o uzupełnieniu poczty o2.pl o kilka funkcji ułatwiających użytkownikom korzystanie z serwisu społecznościowego Facebook. Powiadomienia z serwisu, które zawierają linki do zdjęć, wyświetlają teraz całe obrazki w treści wiadomości (konieczne jest podanie swojego loginu i hasła do Facebooka). Ponadto e-maile wysyłane przez Facebook zostają oznaczone specjalną ikonką na liście wiadomości oraz awatarem.

W planach są kolejne etapy integracji z tym serwisem społecznościowym - na blogu Grupy o2 wspomina o tym Krzysztof Sierota. Ruch ten może trochę dziwić, kiedy się weźmie pod uwagę wcześniejszą wypowiedź innego przedstawiciela Grupy o2 - Michała Brańskiego, który komentując wprowadzenie do Gmaila funkcji społecznościowych, stwierdził, że jest to "wyraz technokratycznego i inżynierskiego podejścia do internetu".


Źródło: Dziennik Internautów, Niebezpiecznik.pl, HCSL

Warto przeczytać:

Komentuj na Facebooku
Komentarze
comments powered by Disqus
Komentarze archiwalne    Zobacz wszystkie (22)
To warto przeczytać










  
znajdź w serwisie

RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Sierpień 2014»
PoWtŚrCzwPtSbNd
 123
45678910
11121314151617
18192021222324
25262728293031
Serwisy specjalne:
Wydarzenia:
Jak czytać DI?
Newsletter

Podaj teraz tylko e-mail!



RSS
Copyright © 1998-2014 by Dziennik Internautów Sp. z o.o. (GRUPA INFOR PL) Wszelkie prawa zastrzeżone.