Michal Špaček na Google+ upozornil na bezpečnostní chybu v rozhraní Seznam.cz. Pokud se registrujete nebo měníte heslo, stránka ověřuje jeho sílu na serveru. Heslo ovšem putuje k ověření v nešifrované podobě pomocí HTTP a navíc metodou GET. Při konečném odesílání se sice použije HTTPS, ale to už heslo proletělo sítí nechráněné.
Aktualizováno: Po upozornění se Seznam.cz na Twitteru omluvil a bezpečnostní chybu opravil.
Nojo, trochu me mrzi, ze si pan Spacek prihral svou polivcicku a jeste za tepla to hodil na svuj profil, misto aby na tuto bezpecnostni chybu upozornil Seznam. Aspon ze tady to vyslo az par hodin po tom, co uz to bylo opraveno.
Na druhou stranu, toto je tak fatální selhání, že si takové veřejné pranýřování zaslouží. Síla hesla se přece běžně měří v JS přímo na klientovi, jako třeba https://howsecureismypassword.net/ samotné posílání AJAXem je přinejmenším podivné a použít GET požadavek (kdy je heslo v accesslogu) navíc s HTTP, to je přímo skandál. Doufal jsem, že ten screenshot je fake, ale bohužel nebyl :(
Naštěstí šlo jen o těžko přímo zneužitelnou chybu. Resp. kdo ukládá logy třeba z proxy serveru, může chybu zneužívat ještě hodně dlouho :). Seznam by měl všechny vyzvat ke změně hesla, ale znáte to, jak se uživatelé zachovají.
Tak to je fakt vrchol babractvi :D Seznam si s bezpecnosti nedela tezkou hlavu. Neni to tak dlouho, co zde na Rootu vysel clanek, jak mnohe spolecnosti odesilaji maily nesifrovane (tj. nepouzivaji smtps) - mezi nimi i tato nabubrela "jednicka" davno zasle slavy. Namisto fixnuti security bugs kresli nepouzitelne emailove skiny a "zjednodusuji" sluzby na ukor jejich pouzitelnosti. Ale ono jim to za cas dojde, ze tudy cesta nevede, az jim zacnou odchazet uzivatele (tedy ti co jeste neodesli :))
Jestli nekdo jeste dneska jede na seznamu, tak nema vsech pet pohromade. Ty bezpecnostni veci jsou pro vetsinu lidi asi nezajimave, ale treba to, ze kolikrat se v inboxu objevi prichozi mail az v radu desitek minut, nebo ze pri jakesi reindexaci nefunguje vubec vyhledavani, me donutilo tu schranku zrusit uplne*.
*Ona asi uplne zrusit nejde, protoze kdyz jsem se tam po case opet zkusmo prihlasil, schranka se rovnou aktivovala a mel jsem tam i puvodni nastaveni. Chybely jen maily.
Kdyz napisu gmail, budes rozebirat NSA a jine tinfoil-hatove teorie? Z uzivatelskeho hlediska je to oproti seznamu mnohonasobne zlepseni.
P.S. Jeste jsem zapomnel na fakt, ze nektere regulerni e-maily(napr e-mail od blizzardu) mi na seznamu koncily ve spamu. Spolecny jmenovatel byla anglictina. Zrejme se nepredpoklada, ze by uzivatel seznamu ocekaval e-mail v jinem jazyku a s ohledem na to maji nastaven spam filtr.
Seznam ti vadí kvůli nedostatečnému zabezpečení a proto používáš google, který sice zabezpečený je (i když občas se objeví závažné chyby, jako nedávno se zneužitím resetu hesla), ale tvoje maily si může číst kde kdo. Hlavně že to máš dobře zdůvodněné.
Pro mě je z uživatelského hlediska lepší seznam, protože nemusím při každém přihlášení odklikávat, že opravdu nechci zadat telefonní číslo.
> ale tvoje maily si může číst kde kdo.
To myslíš třeba jako smtp nebo ověřování hesla v plaintextu? ;) <noflame>
používám oba, každý má své silnější i slabší stránky, do gmailu nemusíš při každém přihlášení psát číslo a myslím že pokud Google volně data předává (nevěřím tomu), Seznam na tom nebude líp :)
Jinak uživatelsky jsou oba čím dál "lepší".
Ani tomu never. Podla vsetkeho Google predava len velmi malu cast komunikacie. Z NSA prichadza vela poziadaviek a malemu percentu Google vyhovie.
Ano, je mi jasne, ze miestni diskuteri hned namietnu, ze su to len tvrdenia Googlu, ale ja budem radsej verit Googlu, nez ludom, ktori Google zhodia aj za pozitivne kroky a ktori Google obvinuju uz teraz z cinov, ktore neurobil, ale existuje teoreticka sanca, ze by ich mohol v buducnosti urobit.
Neviem ako by sa im pacilo, keby ich teraz niekto zacal obvinovat zo znasilnenia malych dievcatiek. Neurobili to, ale teoreticky to mozu v buducnosti urobit. Nastroje na to maju.
To říkám pořád, že Seznam je pseudoserver, bohužel..
Např PHP mail form, všude chodí normálně ale na seznam mail vždycky zpoždění (dojde-li vůbec), nedávno jsem s tím měl problém u SteamGuard, no nic, přenastavil jsem si mail na gmail..
a takovýchto drobností je nespočet :/
Ehm ... jelikoz (dlouhe roky) seznam vubec https neumel, a jeste dyl neumel nic jinyho nez pop3 (bez ssl samo), tak existuji desetitisice uzivatelu, kteri maji jeste stale nastaveno bez ssl (trebas to pop3) a jelikoz jim to proste funguje, neexistuje zadny duvod proc to menit.
Takze osobne ctu seznameckej mail z historickejch duvodu, ale primarne ho uz peknych par pattku nepouzivam.
BTW: Vubec bych se nedivil, kdyby v DB meli open text.
Ona to hlavně nebude jediná díra – už jen fakt, že registrační formulář (a další formuláře) se načítají po HTTP je na nic – MITM útočník může upravit stránku tak, aby se hesla posílala k němu… Kombinovat HTTP a HTTPS a snažit se mezi tím nějak „chytře“ přesměrovávat a něco posílat tak a něco tak, se nevyplácí a jsem si téměř jistý, že jim tam budou soukromá data prosakovat i na jiných místech.
ČLÁNKY DO MAILU
