Allegro usunie błąd, eBay zagrożony - AKTUALIZACJA 2
Serwis Allegro.pl podjął działania mające na celu usunięcie luki w zabezpieczeniach, o której pisaliśmy w Dzienniku Internautów w środę, w informacji pt. "Niebezpieczna luka na Allegro", która to dawała możliwość podmiany zawartości strony aukcji poprzez style CSS.
Opisywana luka bezpieczeństwa wykorzystuje możliwości niektórych atrybutów CSS, za pomocą których można wpłynąć na widoczność niektórych elementów strony.
Pracownicy serwisu testują obecnie rozwiązanie, które być może pozwoli na rozwiązanie problemu bez ograniczania dostępu do formatowania wyglądu aukcji przez CSS. Jeśli wyniki tego testu okażą się pozytywne pod względem bezpieczeństwa, zostanie ono wprowadzone w życie. W przeciwnym wypadku w opisach licytacji oraz na stronach "o mnie" zablokowana zostanie możliwość stosowania następujących parametrów CSS: position, display, z-index.
Zanim rozpoczęły się testy nad metodą nieograniczającą CSS, rzecznik prasowy Allegro.pl - Bartek Szambelan - mówił: "Prosimy naszych użytkowników o usunięcie z opisów aukcji i stron "O mnie" powyższych stylów CSS. Ponieważ są one stosowane przez wielu użytkowników, zapowiedziana zmiana zostanie wprowadzona po miesięcznym okresie przejściowym, 1 sierpnia 2007. 17 lipca zostanie uruchomiona strona, na której można będzie sprawdzić poprawność opisu aukcji po usunięciu wymienionych stylów.
Jednocześnie Bartek Szambelan przypomina, iż regulamin Allegro zabrania przemieszczania, blokowania, zakrywania lub dublowania stałych elementów strony z opisem (w tym m.in. okien, które służą do składania ofert w aukcjach) (punkt 19.10).
Tymczasem Paweł "Krejd" Węgrzyn, który zademonstrował działanie luki mówi, że widzi również inny sposób na usunięcie problemu, na razie jednak nie zdradził redakcji szczegółów.
Okazuje się jednak, że zagrożenie dotyczy nie tylko Allegro, ale też eBaya. Gdy ponad rok temu sprawę opisywał na łamach serwisu Aukcje.org Jacek Z. Strzembkowski, problem dotyczył też eBaya (wszystkie filie), Świstaka i wszystkich filie QXL (włącznie z zamkniętym już serwisem Aukcje24.pl).
"eBay nadal nie jest szczelny na opisane tricki. Wie o nich centrala - byłem w warszawskiej siedzibie eBaya po wykryciu luki" - mówi Jacek Z. Strzembkowski.
Obecnie oczekuję na odpowiedź eBay.pl na pytanie czy i na kiedy serwis planuje likwidację zagrożenia. Tymczasem, jak zauważa Jacek, w przypadku eBaya zagrożeń jest znacznie więcej. Jego zdaniem w tym przypadku można zagrozić użytkownikom też innymi technikami, m.in. JavaScriptem, choć nie tylko.
Również w przypadku Świstaka nadal możliwe jest użycie w stylach wymienionych na początku artykułu parametrów. Jednak jak mówi jeden z przedstawicieli tej platformy, Krzysztof Michalak, opracowanie zabezpieczeń antyphishingowych jest aktualnie dla Świstaka działaniem priorytetowym. Dodaje też, że niedawno w wyniku interwencji pracowników serwisu zlikwidowana została strona phisherów, którzy za cel obrali sobie użytkowników tego serwisu.
AKTUALIZACJA
Do redakcji dotarł mail, w którym Bartek Szambelan napisał, iż testy metody rozwiązania problemy zostały zakończone. W liście czytamy:
W tej chwili problem został rozwiązany tak, by w jak najmniejszym stopniu ingerował w opisy przedmiotów, uniemożliwiając jednocześnie złośliwe wykorzystanie kodu na stronach przedmiotów.
Użytkownicy nadal mają możliwość modyfikacji części z opisem przedmiotu, nie mogą jednak wykorzystać kodu zakrywając stronę Allegro spreparowanymi elementami ze zmienionymi/fałszywymi linkami i formularzami, co zdarzyło się ostatnio.
Niestety nie padły konkrety co do metody, jaką zastosowali pracownicy Allegro. Jednak jak twierdzi Paweł "Krejd" Węgrzyn - lukę nadal można wykorzystać.