Registrace na Seznamu trpěla bezpečnostní chybou (aktualizováno)

Registrace na Seznamu trpěla bezpečnostní chybou (aktualizováno)

Aktualizováno: Tisková mluvčí Seznamu Irena Zatloukalová mi potvrdila, že programátoři bezpečnostní díru dnes ráno opravili. Registrace by tedy nyní měla být už bezpečná. 


Registrační stránka Seznamu obsahuje potenciální bezpečnostní chybu. Pokud vše vyplníte a klepnete na tlačítko Založit účet, formulář se správně odešle pomocí šifrovaného spojení. Jenže to má háček, kterého si všiml Michal Špaček a pochlubil se na Twitteru.

Data z formuláře se sice odesílají šifrovaně, ale při vyplňování hesla se zjišťuje, jestli je dostatečně silné. Tedy jestli je dostatečně dlouhé a obsahuje nějaké složitější znaky. Problém spočívá v tom, že tato kontrola neprobíhá přímo v prohlížeči, ale heslo se na pozadí přes ajax odesílá na server Seznamu v běžném GET dotazu společně s přihlašovacím jménem a v nešifrované podobě!

Klepněte pro větší obrázek Klepněte pro větší obrázek
Formulář se sice odešle pomocí šifrovaného SSL spojení, ale kontrola síly hesla probíhá na serveru, přičemž komunikace s ním je nešifrovaná

Bezpečnostní díru snadno ověříte v libovolném softwaru na zachytávání paketů v síti, nebo přímo v prohlížeči ve vývojářských nástrojích, které také vypisují HTTP komunikaci. Já jsem zvyklý na klasický Wireshark a na obrázku výše je patrné, jak to dopadlo. Zachytil jsem HTTP GET požadavek Javascriptu, který posílá ke kontrole heslo a přihlašovací jméno na server Seznamu v nešifrované podobě, takže jej může útočník v síti snadno odposlouchávat. Stejně jako jsem odposlouchával sám sebe.

O jak závažnou chybu se jedná? To je opravdu relativní – jedná se spíše o šrám na dobrém renomé Seznamu. Chyba se týká jen registrační stránky, takže k přenosu nešifrovaného hesla dojde u jednotlivce v ideálním případě jen jednou při registraci.

Relativizujícím prvkem je nakonec i prostá empirie. SSL v minulosti nebylo tak rozšířené a samozřejmé jako dnes, a přesto nedocházelo k masivním krádežím hesel a loginů. Ostatně většina menších webů nepoužívá SSL k přenášení hesel ani dnes, takže případný záškodník třeba ve firemních sítích by jich nasbíral docela dost tak jako tak. Ale to samozřejmě není omluva.

Firma velikosti Seznamu by se měla podobných bot opravdu vyvarovat. Přeci jen to není ledajaký blogísek z Horní Dolní.

Diskuze (29) Další článek: Nejlepší snímky Street View z ponorky i obřího Airbusu

Témata článku: Seznam.cz, Web, Bezpečnost, Chyba, Registrace, Michal Špaček, Špaček, Bezpečnostní díra, Registr, Ajax, Masivní rozšíření, Prostá empirie, Případný záškodník, Dobré renomé, Omluva, Seznam, Záškodník, Přihlašovací stránka, Akt


Určitě si přečtěte

AR není ani po letech žádný trhák. Teď to zkusí Hybri, který svleče vaše kamarádky

AR není ani po letech žádný trhák. Teď to zkusí Hybri, který svleče vaše kamarádky

** Rozšířené realitě i po letech chybí praktické využití ** Selhaly mobilní aplikace i AR brýle ** Floridské studio to proto zkusí přes bizarní erotiku Hybri

Jakub Čížek | 16

Ubuntu 20.04: Zase vás chce přesvědčit, že je lepší než Windows

Ubuntu 20.04: Zase vás chce přesvědčit, že je lepší než Windows

** Britský Canonical před pár dny vydal novou verzi svého Ubuntu ** 20.04 LTS zapracovalo na grafickém desktopu, rychlosti i bezpečnosti ** V nitru tepe Linux 5.4 a volitelně i nový souborový systém

Jakub Čížek | 118

PlayStation 5 bude mít extrémně rychlé SSD a promyšlenou architekturu. Sony odhalilo technické detaily

PlayStation 5 bude mít extrémně rychlé SSD a promyšlenou architekturu. Sony odhalilo technické detaily

** Sony zveřejnilo podrobnosti k PlayStationu 5 ** Poprvé jsou k dispozici technické detaily ** Sony se hodně zaměřilo na rychlost SSD

Karel Javůrek | 31

Teachable Machine: Umělá inteligence za pět minut i bez doktorátu z ČVUT

Teachable Machine: Umělá inteligence za pět minut i bez doktorátu z ČVUT

** Pochopit techniky a principy A.I. je složité ** Ale nebojte, jde to i bez doktorátu z IT a matematiky ** Vyzkoušíme generátor neuronových sítí od Googlu

Jakub Čížek | 9

Jak vlastně funguje Flightradar24: Posloucháme letadla nad celým Českem

Jak vlastně funguje Flightradar24: Posloucháme letadla nad celým Českem

** Flightradar24 zobrazuje polohu letadel v reálném čase ** Když mu pomůžete sbírat data, dostanete nejvyšší paušál zdarma ** Jak to vlastně celé funguje a co je k tomu potřeba?

Jakub Čížek | 28

Šest nejlepších služeb a aplikací pro automatizaci online světa a chytré domácnosti

Šest nejlepších služeb a aplikací pro automatizaci online světa a chytré domácnosti

** Nastavte si automatiku na každodenní rutinní záležitosti ** Propojte online služby a chytrou domácnost ** Vybrali jsme šest nejlepších služeb pro automatizaci

Karel Kilián | 14


Aktuální číslo časopisu Computer

Megatest 24 PC zdrojů

Jak využít umělou inteligenci

10 špičkových sluchátek s ANC

Playstation 5 vs Xbox Series X