Twierdzenie w internecie, że dana strona czy usługa jest odporna na ataki hakerskie, to w dzisiejszych czasach zaproszenie do nieautoryzowanych testów penetracyjnych. Boleśnie przekonał się o tym pewien specjalistyczny serwis.
Są w sieci miejsca, gdzie czas się zatrzymał. Szczególnie widać to w małych serwisach internetowych, skierowanych do wąskich grup odbiorców, powstałych co najmniej kilka lat temu i od tamtego czasu jak zamrożonych. Świat idzie jednak do przodu i pewnych zmian oczekuje – szczególnie w obszarze bezpieczeństwa.
Proszę wyłączyć to ostrzeżenie
Wszystko zaczęło się od zgłoszenia „problemu” z Firefoksem. Firefox, podobnie jak Chrome, od niedawna wyświetla informację „strona niebezpieczna” przy witrynach, w których panel logowania lub przesyłania danych kart płatniczych nie jest zabezpieczony za pomocą protokołu HTTPS. Najwyraźniej nie spodobało się to pewnej firmie, której klienci taki komunikat zauważyli:
Firma żąda w nim usunięcia ostrzeżenia na swojej witrynie, ponieważ dysponuje własnymi systemami bezpieczeństwa i nigdy nie doszło do włamania przez ponad 15 lat istnienia serwisu. Oczywiście już samo żądanie jest kuriozalne, jednak ciąg dalszy jest jeszcze lepszy.
Ktoś zwrócił uwagę na powyższy wpis i wrzucił go na Reddita. W ciągu mniej niż godziny najpierw pojawiła się informacja, że panel logowania zawiera błąd typu SQLi oraz że hasła użytkowników przechowywane są w formie jawnej (nie widzieliśmy dowodu na to drugie twierdzenie).
Po następnych kilku minutach ktoś najwyraźniej zadbał o bezpieczeństwo haseł, ponieważ cała tablica je zawierająca wydaje się być nieobecna…
PS. Strona tej samej firmy umożliwiająca płatność za usługi i przesłanie danych swojej karty kredytowej również działa po HTTP…
Komentarze
HTTP to sprawdzona technologia, nie to co ten cały „s” :)
Mam pytanie, czy jeśli miałbym stronkę z odbiciem do dotpay lub innego payU to muszę to robić po https? czy zakładam, że bezpieczeństwem zajmuje się operator i umożliwiam tylko wybór usługi i kwoty, a resztę robi operator?
Jeżeli korzystasz z ich gateway’ów – automatycznie przekierowuje na https. Jeżeli korzystasz z API itp. – po Twojej stronie leży obowiązek zabezpieczenia przesyłanych danych.
Ale i tak warto zadbać o bezpieczeństwo DO klientów (nazwiska, adresy, numery tel, mail). Jeżeli prowadzisz sklep internetowy/subskrypcje (artykuły) płatne itp. – https jest lepszy wizerunkowo (coraz więcej klientów zwraca uwagę na „zieloną kłódkę”) + zawsze to jakieś dodatkowe zabezpieczenie (wg mnie podstawowe) i obecnie już darmowe (zobacz: letsencrypt.org)
„Darmowe” pentesty…
Jakież to piękne :D
Takie czasy, strony zatrzymały sie w czacie :) T nawet zalogować się nie można :) http://szpitalmiejski.elblag.pl/rejestracja/
Aktualnie cała strona leży, nic tam nie ma, nawet komunikatu, że coś robią ;)
HTTP Error 404. The requested resource is not found.
adres niezabezpieczonej strony do płatności miażdży :D
http://www.oilandgasinternational.com/SSL_Subscribe/subscribe_us.aspx
SSL_Subscribe
SSL
xD
test
Nie wyrokujmy. Poczekajmy na wypowiedź Dr. Bitcoina w mediach.
Wygląda na to, że strona znów ruszyła. Nawet certyfikat zainstalowali :) Tyle tylko, że nie wymusili logowania się po SSL, więc ktoś kto wchodzi na stronę, dostanie standardowy http :D