Dzisiaj, przed godz. 8 do skrzynki pocztowej Dziennika Internautów trafiło - poparte zrzutami ekranu - zgłoszenie, z którego mogłoby wynikać, że używany przez Allegro certyfikat bezpieczeństwa utracił swoją ważność. Czy faktycznie tak było, czy może doszło do ataku na użytkowników serwisu aukcyjnego? W aktualizacji podajemy stanowisko Allegro.
static.allegro.pl:443 używa nieprawidłowego certyfikatu bezpieczeństwa.
Ten certyfikat utracił ważność 2008-11-25 06:13.
(Kod błędu: sec_error_expired_certificate)
Zwróciliśmy się już do Allegro z prośbą o skomentowanie zaistniałej sytuacji. Zaraz po otrzymaniu odpowiedzi podzielimy się nią z Czytelnikami Dziennika Internautów.
Atak man in the middle polega na podsłuchu i modyfikacji wiadomości przesyłanych pomiędzy dwiema stronami bez ich wiedzy.
Ze zrzutu ekranu zrobionego przez eksperta kilka minut po godz. 9 rano wynika, że obecny certyfikat Allegro został wystawiony 2007-08-24 14:19:20 i jest ważny do 2009-08-23 14:19:20. Duża liczba komentarzy potwierdzających zjawisko sugeruje jednak, że problem rzeczywiście miał miejsce.
Na uwagę zasługuje też fakt wymuszania przez Allegro logowania bez SSL, nawet jeśli w formularzu zostanie zaznaczona opcja "Bezpieczne przez SSL", o czym ok. godz. 11 poinformował redakcję Michał Piszczek.
AKTUALIZACJA 1
Piotr Konieczny - inny nasz konsultant ds. bezpieczeństwa - potwierdził, że "na obecną chwilę Allegro posługuje się jak najbardziej poprawnym certyfikatem. Certyfikat został wystawiony przez zaufany podmiot (Thawte) i będzie ważny aż do 23 sierpnia 2009. Odpowiednie pole w certyfikacie Allegro zawiera także informację, że ów certyfikat, poświadcza autentyczność strony już od 24 sierpnia 2007".
Sytuacja przedstawiona przez Czytenika mogła się zdarzyć z kilku, teoretycznie możliwych, powodów. Ekspert wymienia dwa najbardziej prawdopodobne.
"Niestety, by rozstrzygnąć, która wersja wydarzeń miała miejsce, musielibyśmy posiadać więcej wiarygodnych informacji dot. błędnego certyfikatu (np. jego odcisk). Tych niestety nie mamy - musimy więc zaufać opinii specjalistów Allegro" - stwierdził Piotr Konieczny.
Allegro zostało powiadomione o problemie dziś rano, zanim jeszcze ten tekst został opublikowany. Odpowiedzi jeszcze nie otrzymaliśmy, mimo kilku prób nawiązania kontaktu, także telefonicznych.
AKTUALIZACJA 2
Patryk Tryzubiak, PR Manager Grupy Allegro.pl, udzielił Dziennikowi Internautów następującego komentarza: "Błąd zgłoszony przez Użytkownika był związany z wymianą wygasającego certyfikatu bezpieczeństwa na nowy certyfikat. Logowanie się w trakcie wymiany certyfikatów i próba autoryzacji wygaśniętym certyfikatem SSL powodowały wyświetlenie informacji o utracie ważności certyfikatu. Zaistniałe zdarzenie nie powodowało utraty funkcjonalności serwisu. Niezbędna aktualizacja trwała około 15 minut, a certyfikat został w pełni zaktualizowany o godzinie 8.34".
Aktualności
|
Porady
|
Gościnnie
|
Katalog
Bukmacherzy
|
Sprawdź auto
|
Praca
biurowirtualnewarszawa.pl wirtualne biura w Śródmieściu Warszawy
Artykuł może w treści zawierać linki partnerów biznesowych
i afiliacyjne, dzięki którym serwis dostarcza darmowe treści.
*