Apple Facebook Google Microsoft badania bezpieczeństwo patronat DI prawa autorskie serwisy społecznościowe smartfony

Wychodząc naprzeciw oczekiwaniom internautów, administratorzy poczty o2.pl włączyli szyfrowanie procesu zmiany hasła. Pojawiły się również pierwsze funkcje ułatwiające użytkownikom korzystanie z serwisu społecznościowego Facebook.

W połowie lutego do redakcji Dziennika Internautów trafiło zgłoszenie dotyczące poczty o2.pl. Czytelnik się skarżył, że logowanie do usługi odbywa się przy użyciu bezpiecznego protokołu, ale "nie można się doprosić u tych panów, by wprowadzili SSL na opcji zmiany hasła".

Dlaczego to takie ważne? Brak szyfrowania transmisji podczas zmiany danych dostępowych umożliwia podsłuchanie zarówno starego, jak i nowego hasła użytkownika. Wystarczy, że atakujący znajdzie się w tej samej sieci lokalnej, co ofiara, lub uzyska kontrolę nad którymkolwiek z urządzeń sieciowych pomiędzy ofiarą a serwerami o2.pl. Można to zrobić, używając programu, którego zadaniem jest przechwytywanie i analizowanie danych przepływających w sieci, takiego jak np. Wireshark.

>> Czytaj także: Jak usunąć swoje konto z o2.pl

Identyczną podatność wykryto także w poczcie Wirtualnej Polski. Zdania ekspertów co do jej wagi są podzielone. Wojciech Smol, redaktor naczelny serwisu HARD CORE SECURITY LAB, uważa ją za groźny błąd projektowy.

Piotr Konieczny, współzałożyciel serwisu Niebezpiecznik.pl, uspokaja natomiast, że dziura nie jest taka straszna, jak ją malują (choćby dlatego, że użytkownicy tak naprawdę rzadko zmieniają hasła do poczty elektronicznej). W poświęconym temu zagadnieniu wpisie można przeczytać: "Twierdzimy wręcz, że tak jak przed wykryciem tego błędu, tak i po jego załataniu dalej będzie można podejrzeć czyjąś pocztę. Słowa klucze: session hijacking i cookie stealing" (wyjaśnienie, co znaczą te terminy, znajdziemy w artykule pt. Błędy w WP.pl i O2.pl pozwalają na podsłuchanie hasła do poczty).

>> Czytaj także: Antyspamowe nowości w poczcie o2.pl

Na doniesienia o błędach jako pierwsza zareagowała Wirtualna Polska, o2.pl podążyło jej śladem. W liście, który do redakcji Dziennika Internautów dotarł 24 lutego w godzinach wieczornych, Dyrektor Biura Zarządu Dariusz Kołtko napisał: "W celu zwiększenia bezpieczeństwa użytkowników poczty wczoraj o2 wyłączyło możliwość zmiany hasła bez szyfrowania. Hasło można zmienić tylko przez bezpieczne połączenie SSL. W ustawieniach poczty należy kliknąć w link Przejdź do strony bezpiecznej zmiany hasła".

Taka reakcja zasługuje oczywiście na pochwałę. Dobrze by było, żeby oba serwisy wprowadziły jeszcze przesyłanie ciasteczek (ang. cookies) tylko za pomocą protokołu SSL i z flagą HTTP-only, która ukryje je przed skryptami, o czym pisze Piotr Konieczny we wspomnianym wyżej artykule.

Poczta o2.pl bardziej social

Przy okazji warto wspomnieć o uzupełnieniu poczty o2.pl o kilka funkcji ułatwiających użytkownikom korzystanie z serwisu społecznościowego Facebook. Powiadomienia z serwisu, które zawierają linki do zdjęć, wyświetlają teraz całe obrazki w treści wiadomości (konieczne jest podanie swojego loginu i hasła do Facebooka). Ponadto e-maile wysyłane przez Facebook zostają oznaczone specjalną ikonką na liście wiadomości oraz awatarem.

W planach są kolejne etapy integracji z tym serwisem społecznościowym - na blogu Grupy o2 wspomina o tym Krzysztof Sierota. Ruch ten może trochę dziwić, kiedy się weźmie pod uwagę wcześniejszą wypowiedź innego przedstawiciela Grupy o2 - Michała Brańskiego, który komentując wprowadzenie do Gmaila funkcji społecznościowych, stwierdził, że jest to "wyraz technokratycznego i inżynierskiego podejścia do internetu".


Aktualności | Porady | Gościnnie | Katalog
Bukmacherzy | Sprawdź auto | Praca


Artykuł może w treści zawierać linki partnerów biznesowych
i afiliacyjne, dzięki którym serwis dostarcza darmowe treści.

              *              



Ostatnie artykuły:

fot. HONOR








fot. Freepik



fot. ING