Registrace na Seznamu trpěla bezpečnostní chybou (aktualizováno)

Registrace na Seznamu trpěla bezpečnostní chybou (aktualizováno)

Aktualizováno: Tisková mluvčí Seznamu Irena Zatloukalová mi potvrdila, že programátoři bezpečnostní díru dnes ráno opravili. Registrace by tedy nyní měla být už bezpečná. 


Registrační stránka Seznamu obsahuje potenciální bezpečnostní chybu. Pokud vše vyplníte a klepnete na tlačítko Založit účet, formulář se správně odešle pomocí šifrovaného spojení. Jenže to má háček, kterého si všiml Michal Špaček a pochlubil se na Twitteru.

Data z formuláře se sice odesílají šifrovaně, ale při vyplňování hesla se zjišťuje, jestli je dostatečně silné. Tedy jestli je dostatečně dlouhé a obsahuje nějaké složitější znaky. Problém spočívá v tom, že tato kontrola neprobíhá přímo v prohlížeči, ale heslo se na pozadí přes ajax odesílá na server Seznamu v běžném GET dotazu společně s přihlašovacím jménem a v nešifrované podobě!

Klepněte pro větší obrázek Klepněte pro větší obrázek
Formulář se sice odešle pomocí šifrovaného SSL spojení, ale kontrola síly hesla probíhá na serveru, přičemž komunikace s ním je nešifrovaná

Bezpečnostní díru snadno ověříte v libovolném softwaru na zachytávání paketů v síti, nebo přímo v prohlížeči ve vývojářských nástrojích, které také vypisují HTTP komunikaci. Já jsem zvyklý na klasický Wireshark a na obrázku výše je patrné, jak to dopadlo. Zachytil jsem HTTP GET požadavek Javascriptu, který posílá ke kontrole heslo a přihlašovací jméno na server Seznamu v nešifrované podobě, takže jej může útočník v síti snadno odposlouchávat. Stejně jako jsem odposlouchával sám sebe.

O jak závažnou chybu se jedná? To je opravdu relativní – jedná se spíše o šrám na dobrém renomé Seznamu. Chyba se týká jen registrační stránky, takže k přenosu nešifrovaného hesla dojde u jednotlivce v ideálním případě jen jednou při registraci.

Relativizujícím prvkem je nakonec i prostá empirie. SSL v minulosti nebylo tak rozšířené a samozřejmé jako dnes, a přesto nedocházelo k masivním krádežím hesel a loginů. Ostatně většina menších webů nepoužívá SSL k přenášení hesel ani dnes, takže případný záškodník třeba ve firemních sítích by jich nasbíral docela dost tak jako tak. Ale to samozřejmě není omluva.

Firma velikosti Seznamu by se měla podobných bot opravdu vyvarovat. Přeci jen to není ledajaký blogísek z Horní Dolní.

Témata článku: Seznam.cz, Web, Bezpečnost, Seznam, Ajax

29 komentářů

Nejnovější komentáře

  • Ruda.M 9. 12. 2013 16:55:51
    Kazdy uzivatel ktery se prihlasi na uvodni strance Seznamu, posila heslo v...
  • co to tu koupil 3. 12. 2013 18:01:13
    Když nezvládli vrátit vypnutí spamového filtru uživatelem, tak co od...
  • TrueStory 3. 12. 2013 14:45:47
    Kdo používá Seznam, dělám, že ho neznám! Internet je CELOSVĚTOVÁ...
Určitě si přečtěte

Pojďme programovat elektroniku: Postavíme si titěrnou Wi-Fi meteostanici s lepším teploměrem než Netatmo

Pojďme programovat elektroniku: Postavíme si titěrnou Wi-Fi meteostanici s lepším teploměrem než Netatmo

** Dnes se podíváme na maličkou Wi-Fi destičku Wemos D1 mini ** A připojíme k ní barometrický a teplotní shield ** Poběží na ní web a nabídne i JSON API

18.  6.  2017 | Jakub Čížek | 28

Jak vybrat monitor k počítači: nenechte se zlákat nepodstatnými parametry

Jak vybrat monitor k počítači: nenechte se zlákat nepodstatnými parametry

** Na jaké parametry se zaměřit a kde vás výrobci chtějí nachytat ** Monitory se stále více specifikují pro konkrétní určení ** Náročný hráč nebo profesionální grafik mají různé požadavky

20.  6.  2017 | Tomáš Holčík | 31

Dlouhodobý test HTC Vive: co vám recenze o virtuální realitě neřeknou

Dlouhodobý test HTC Vive: co vám recenze o virtuální realitě neřeknou

** Ani hry se sebelepší grafikou vás nevtáhnou tolik, jako ve virtuální realitě ** Pro sledování filmů není VR ani zdaleka ideální ** I první generace je skvělá, stále však působí jako prototyp

20.  6.  2017 | Stanislav Janů | 22

Jak unikají informace o nových iPhonech? Třeba podprsenkami čínských pracovnic

Jak unikají informace o nových iPhonech? Třeba podprsenkami čínských pracovnic

** Na černém trhu mohou zaměstnanci továren za kradené součástky inkasovat částku ve výši ročního platu ** Velké množství informací je vyneseno i z centrály Applu ** Díly jsou pašovány v botách, podprsenkách i odpadem

21.  6.  2017 | Stanislav Janů | 22


Aktuální číslo časopisu Computer

Bojujeme proti Fake News

Dva velké testy: fotoaparáty a NASy

Co musíte vědět o změně evropského roamingu

Radíme s výběrem základní desky