Vlákno názorů k článku
Vláda schválila nový pokus o migraci státní správy na jednotnou doménu .gov.cz do roku 2025 od Sofistes - Pokud si najdete chybu v aplikaci code.gov.cz, zjistíte,...

Pokud si najdete chybu v aplikaci code.gov.cz, zjistíte, že do ní můžete odkudkoliv forwardovat požadavek, který ji zneužije k tomu, že když návštěvník v ní klikne na odkaz "Go Back", tak místo toho, aby se dostal na zamýšlenou stránku, přistane na stránce v cizí doméně. Lze si snadno vyzkoušet např. přes www.seznam.cz. Já jsem k témuž použil jinou aplikaci v doméně gov.cz, o které jsem už psal, a to alicorn.gov.cz. HTTPS je HTTPS, jak pravil znalec. Ale URL je URL a klik na odkaz je klik na odkaz. Video umístěno zde: https://drive.proton.me/urls/797Q9MVWFW#8vOb0aIhUFNR (SHA-256 7706155fa2067­3d3fdf09448c55a925545522­aaa01d6c010958­597a1068e34ad). Když chybová hláška ve webové aplikaci obsahuje link, který lze použít k tomu, aby prohlížeč přistál kdekoliv jinde, pak se tomu říká otevřená redirekce.

Scénář:

1. phisher vytvoří link směřující na vlastní stránku a cíleně ho rozešle
2. příchozí volání FW-duje do webové aplikace s history.back()
3. typicky je to na chybové stránce a její skript pošle prohlížeč phisherovi.

Těžko odhadovat, kolik lidí na něco takového reálně naletí. Mnoho asi ne, někteří možná ano. Předpokládá to, aby už znali doménu, ve které je zneužitelná aplikace. Když tam pak přistanou, uklidní je to, že jsou ve správné doméně (vše je v HTTPS se správným doménovým certifikátem). Návštěvníkovi ale stačí kliknout na "Go Back" (což se mu nabízí), aby se dostal z chybové stránky na stránku phishera namísto tam, kam to zamýšleli tvůrci aplikace. Dost by záleželo na tom, jak by phisher link prezentoval. Chce to uživatele, který si např. neudělá hovering. Kolik uživatelů ale dělá hovering? Jistě lze namítnout, že uživatel, který jen tak klikne na cizí link, může přijít k phisherovi rovnou. To je akceptovatelná námitka. Stejně tak relevantní otázkou je, zda by neměla mít zrovna taková aplikace jako code.gov.cz (ve které je otevřený kód) raději v chybové hlášce pevnou redirekci. To je zase rozumná rada.

5. 9. 2023, 02:08 editováno autorem komentáře

Myslíte si, že se někdo bude vašimi komentáři zabývat, když jste hned v několika úvodních komentářích ukázal, že nevíte, co je HTTPS, a vůbec netušíte, co je phishing, natož abyste věděl, jak se proti němu uživatel může bránit? Myslíte si, že někdo bude hledat jehlu v kupce sena a zkoumat, zda na některém z vašich komentářů náhodou něco není, když bez rozmyslu plácáte páté přes deváté?

V aplikacích běžících na gov.cz určitě budou chyby, žádná aplikace není bezchybná. Pravděpodobně tam budou i bezpečnostní chyby, i ty se dnes v aplikacích vyskytují docela často, jak je vidět z toho, jak často se vydávají opravy bezpečnostních chyb. Ale nic z toho není důvod, proč nezavést doménu gov.cz, protože to řeší jiný problém.