O2 i WP oraz SSL… Czy Twoje hasło jest bezpieczne?

logo_wp.pnglogo_o2.png
Zainspirowani mailem od czytelnika dotyczącym procedury zmiany hasła do kont w portalu o2.pl sprawdziliśmy pozostałych dużych operatorów kont pocztowych i ku naszemu zaskoczeniu niedopatrzenie o2 o którym nas poinformowano nie było odosobnionym przypadkiem.

WP chwali się największą ilością konto pocztowych w Polsce ale naszym skromnym zdaniem zabezpieczenia owych kont są niestety niewystarczające, będąc najpewniej wynikiem niedopatrzenia niż celowego działania. Chodzi oczywiście o zastosowanie (lub jego brak) protokołu SSL do autoryzacji użytkowników.

Podczas logowania do kont zarówno w O2 jak i WP, nazwa użytkownika I hasło są przesyłane w postaci zaszyfrowanej – dokładnie tak jak powinno się to odbywać, jednak podczas zmiany hasła (gdy użytkownik jest już zalogowany) transakcja odbywa się bez użycia protokołu SSL co oznacza przesłanie starego i nowego hasła w postaci jawnej. Większość użytkowników jest zupełnie nieświadoma problemu lub wręcz przekonana, że transakcja zmiany hasła jest bezpieczna – niestety tak nie jest.

Scenariusze ataku są bardzo proste – niezabezpieczona sieć bezprzewodowa, dowolna sieć korzystająca z popularnych “routerów” (na przykład tych używanych do Neostrady), itp. Wszędzie tam gdzie można podsłuchać transmisję, hasło będzie czytelne dla każdego – wystarczy tylko słuchać. W takiej sytuacji przejęcie konta innej osoby jest trywialnie proste (portale same podają hasła do kont na srebrnej tacy) a sam użytkownik jest całkowicie bezbronny i nie będzie w stanie stwierdzić faktu przejęcia hasła przez osobę trzecią, niezależnie od tego jak dobrze zabezpieczony może mieć swój własny komputer.

Nie sądzimy aby przedstawiony powyżej problem był celowym działaniem portali – jest to raczej niedopatrzenie podczas konfiguracji ich systemów; niedopatrzenie, które może mieć ogromne konsekwencje dla wielu użytkowników. Całe szczęście naprawienia tego błędu nie powinno być wielkim problemem.

Zastanawiający jest jedynie fakt, jakim cudem tak trywialny błąd miał prawo zaistnieć w tak dużych portalach? Czyżby operatorzy nie sprawdzali swoich własnych systemów i cały swój sukces budowali w oparciu o pozytywne opinie użytkowników? Drodzy operatorzy – te czasy już dawno minęły… czas nieco lepiej pilnować Swoich systemów a co najważniejsze procesów które w nich zachodzą.

Odpowiedzi

No Avatar
wpp (niezweryfikowany) on 23.02.2010, 12:01

To chyba celowe działanie tych portali, w celu zmniejszenia obciążenia serwerów, tylko kosztem - bezpieczeństwa!

No Avatar
Anonim (niezweryfikowany) on 23.02.2010, 12:07

Zmniejszenie obciążenia? To jak uważasz - jak często ktoś zmienia hasło w stosunku do logowania się? To raczej zwykłe przeoczenie. Jestem jednak ciekawy, czy podczas zmiany hasła gdzieś jest przesyłany login użytkownika, czy jedynie hasło? Jeśli samo hasło, to i tak na niewiele się to może przydać.

No Avatar
wpp (niezweryfikowany) on 23.02.2010, 13:04

wsumie masz racje, login jest przesyłany

No Avatar
Anonim (niezweryfikowany) on 23.02.2010, 16:31

Jak by nie patrzeć jest nie dociągniecie .A portale nie widzą tego problemu .

No Avatar
pseudo (niezweryfikowany) on 23.02.2010, 16:59

a login nie jest w sesjach przypadkiem ? albo w ciachach ?

No Avatar
Anonim (niezweryfikowany) on 23.02.2010, 18:08

W WP już jest po SSL'u.

No Avatar
Anonim (niezweryfikowany) on 23.02.2010, 19:42

:/

Sory ale procedura zmiany hasła przeprowadzana jest stosunkowo rzadko, trzeba podzielić to przez ilość niezabezpieczonych sieci z których taka procedura się odbędzie...

Jak dla mnie troche szukanie dzuiry w całym, impact bliski zeru.

Jednocześnie zgadzam się, to powinno zostać jak najszybciej poprawione,

No Avatar
Bartosz Wącior on 24.02.2010, 08:51

Myślę,że nie tyle chodzi o impakt co zwrócenie uwagi na to ,że użytkownicy oczekują nie tylko kolejnego śledzika :>

Odpowiedz

Plain text

  • Znaczniki HTML niedozwolone.
  • Adresy internetowe są automatycznie zamieniane w odnośniki, które można kliknąć.
  • Znaki końca linii i akapitu dodawane są automatycznie.
Realizacja: SIPLEX Studio