Zdá sa, že len a len verejné pranierovanie má aký-taký význam, aby sa veci pohli. Preto som sa rozhodol, že z času na čas uverejním článok, kde zhromaždím bezpečnostné chyby na ktoré som narazil pri využívaní služieb na internete. V prvom kroku samozrejme nezverejním o aký web sa jedná. Súčasťou snahy o nápravu je aj e-mail, ktorý obsahuje odkaz na tento článok zaslaný kontaktnej osobe. Čo bude v kroku dva, závisí od smutného webu.
Na začiatok si objasníme pojmy:
- smutný web – web, ktorý má bezpečnostný problém
- veselý web – web, ktorý od ostatného upozornenia vykonal nápravu
- parazitný prístup – vstup do chránenej zóny niekoho, kto by sa tam nemal dostať
Referrer s aktívnym SID
Začnem pekne zhurta. V referreroch tohoto webu mi pristál odkaz. Ten odkaz obsahuje SID. Po kliknutí na tento odkaz som sa úspešne dostal do konta klienta na smutnom webe. Poprezeral som si jeho aktivity a vypadol oddiaľ. Ja som tam naozaj nemal čo robiť. Okrem SID overiť aktuálnu IP adresu by asi nemal byť problém. To mi len tak napadlo ako prvé, čím sa môj parazitný prístup od autorizovaného líšili. Druhá možnosť je ošetriť odchádzajúce linky z privátnej zóny tak, aby neodovzdávali referrer.
Nekonečné prihlásenie
V tomto prípade už oprava nezávisle na mne nastala, takže zo smutného webu sa stal medzičasom web veselý. Akokoľvek, pre poučenie to pridávam.
Druhý dnešný prípad sa týka užívateľskej pohodlnosti. Neustále sa prihlasovať do konta je otrava. Tak vychádzajú prevádzkovatelia užívateľom v ústrety tak, že prehliadač si chvíľu pamätá, že som prihlásený a pri najbližšej návšteve smutného webu ma automaticky prihlási a pustí do vnútra. Otázka je ako dlho by toto automatické prihlásenie malo trvať. Určite by ale nemalo byť nekonečné. Jeden smutný web ma pustí do privátnej zóny aj po zavretí prehliadača, dokonca aj po odpojení a pripojení k sieti, teda z novou IP adresou.
Aj to by som smutnému webu odpustil, ale problém je, že nie je možné toto nekonečné prihlásenie vypnúť. Také to zaškrtávacie políčko „Pamätaj si ma pri budúcom prihlásení“ nie je súčasťou prihlasovacieho formulára. Namietnete niečo o ručnom mazaní cookies, ale to nie je riešenie pre obyčajného užívateľa. Rovnako je chyba, ak to zaškrtávacie políčko je implicitne zaškrtnuté. Vlezdoprdelizmus voči klientom a zákazníkom by mal mať svoje bezpečnostné hranice.
Fáma na záver
Jedna babka hovorila, že vraj je prístup do systému Czech POINT zle zabezpečený. Minister povedal, že meno a heslo je OK a v prípade, že ho zamestnanec prezradí má to trestnoprávne dôsledky. Nuž, všetci vieme ako je to z heslami. A všetci vieme ako je to, keď užívateľské heslá podliehajú nejakému vnútrofiremnému predpisu. Čím sú heslá zložitejšia a čím sa musia častejšie meniť, tým je väčšia afinita si ich zapísať na samolepku prilepenú na monitor. O číselnej rade nútene menených hesiel ani nehovoriac.
Takže to máme dnešný prídel bezpečnostných chýb. Nabudúce, okrem nájdených dier bude vrámci fámy na záver čosi o bezpečnejších platobných kartách s čipom. Jednu som nedávno dostal a smejem sa pri každom platení. Ak máte nejaký zaujímavú skúsenosť, ozvite sa e-mailom, či cez G-talk. Dieru preskúmam a v duchu korektného upozornenia budem verejne informovať, ako vec dopadla.
Úlohou článku je ukázať, že zabezpečenie nie je otázka drahých investícii, ale zdravého rozumu a kritického prístupu k technológiám.
V komentároch prosím nespomínať menovite, žiadne konkrétne weby. Komentáre, ktoré to porušia bez milosti zmažem a o autorovi budem uvažovať v súvislostiach môjho komentárového spamlistu.
Súhlasím, zabezpečenie je v prvom rade otázka zdravého rozumu. Len kde ten zdravý rozum vziať? V prípade masy…