Na aukcje z wyłączonym JavaScriptem?
W zeszłym tygodniu w serwisie Aukcje.org można było poczytać o luce w zabezpieczeniach Allegro pozwalającej na dokonanie ataku XSS. Tę lukę już załatano, ale są powody aby przypuszczać, że dość spor podobnych dziur można wciąż znaleźć w każdym serwisie aukcyjnym.
reklama
Atak XSS możliwy jest wszędzie tam, gdzie gdzie aplikacja internetowa wysyła do klienta niesprawdzony kod HTML pobrany z zewnątrz. Tymczasem serwisy aukcyjne mają to do siebie, że umożliwiają zbudowanie strony "o mnie" i opisów aukcji przy pomocy kodu HTML. Podobnie ma się rzecz w serwisach randkowych, ogłoszeniowych itd.
Luka... jakich wiele?
Tydzień temu na łamach Aukcje.org pojawił się zrzut z ekranu przedstawiający stronę "o mnie", która wyświetlała zawartość pliku cookie odwiedzającego, wraz z kluczem sesji oraz ramką iframe. Mimo że ilustracja zawierała tylko ciąg znaków wyglądających na przypadkowe - demonstrowała coś naprawdę poważnego.
Kiedy odwiedzamy serwis i logujemy się na swoje konto użytkownika, na naszym komputerze zapisywana jest mała porcja danych - klucz sesji. Przy pomocy tego klucza, serwis przechowuje informację o tym, że jesteśmy zalogowani - tzn, że podaliśmy właściwe hasło i login (samego loginu i hasła zapisana porcja danych nie zawiera).
Jeżeli skopiujemy plik zawierający klucz sesji na inny komputer - a sesja ta będzie nadal aktywna - serwis rozpozna ten komputer jako zalogowany. Wtedy oczywiście otrzymujemy dostęp do czyichś informacji i aukcji. Newralgiczne strony serwisów aukcji bardzo często wymagają ponownego zalogowania.
Rzecznik Allegro w e-mailu dla Dziennika Internautów potwierdził, że luka opisana w Aukcje.org rzeczywiście istniała i została już załatana. Co ciekawe, zademonstrowana technika wykorzystywała - z lekką modyfikacją - błędy o jakich na Aukcje.org pisano blisko pół roku temu.
Czy łatanie wystarczy?
Ataki XSS mają jednak bardzo wiele wariantów i zabezpieczenie przed wszystkimi może być trudne. Uważa tak m. in. Łukasz Pilorz, który osobiście zidentyfikował kilka rodzajów ataków działających w Allegro i powiadomił o nich platformę aukcyjną. Pilorz przyznaje, że znalezienie działających wariantów luk, które już zgłosił, jest wysoce prawdopodobne. A czy można się przed nimi chronić?
- Moim zdaniem dobrze byłoby informować użytkowników o tym, aby używać serwisów aukcyjnych z wyłączonym JavaScriptem. Na Allegro nie znalazłem takiej informacji - mówi Pilorz.
Tymczasem Jacek Strzembkowski, redaktor serwisu Aukcje.org, tłumaczy, że bezpieczeństwo jest zawsze kwestią kompromisu pomiędzy tym, co bezpieczne, a tym, jak bogate treści może zamieścić użytkownik w serwisie. Pełne zabezpieczenie mogłoby dać efekt nie do przyjęcia, bo czy ktoś chciałby widzieć sam tekst w opisie aukcji?
- Dochodzi jeszcze jedna sprawa - podsumowuje Strzembkowski - Im więcej zabezpieczeń, tym większa iluzja bezpieczeństwa i pewność, że "nic się nie może stać". To usypia czujność. Doniesienia o dziurach powodują wzmożoną obserwację pewnych nietypowych zachowań użytkowników i wydarzeń w serwisie. W takim nadzorze widzę lepsze zabezpieczenie, niż w szybkim i czasem nieprzemyślanym łataniu.