Jeszcze nie do końca uporano sie z błędami wystepującymi w portalu aukcyjnym allegro, o których pisałem kilka dni temu a już są informacje o kolejnych bugach.
Co prawda wyeliminowano możliwość manipulacji atrybutami position:absolute do spreparowania strony, lecz nie znaczy to, że serwis całkowicie uwolnił sie od błedów. Lukę można wykorzystać nadal tylko w zmodyfikowanej formie używając atrybutu position:fixed. Nie jest to już tak poważna sprawa jak w wypadku position:absolut nie mniej jednak niewprawny Internauta może nie zauważyć manipulacji. To niestety nie koniec.
Jak donosi na swoim blogu jeden z Internautów, są inne możliwości wykorzystania zabronionych znaczników CSS co pozwala na ukrywanie stałych elementów aukcji w miejsce których można podstawić inne, już spreparowane… Dodatkowo, gdy napastnik wykorzysta możliwości JavaScript może w łatwy sposób manipulować cudzym kontem. Wystarczy, że niczego nie świadoma ofiara będzie zalogowana i odwiedzi odpowiednio “przygotowaną” aukcję, bez konieczności klikania w jakikolwiek jej element.
W odpowiedzi na te odkrycia rzecznik allegro.pl, Bartek Szambelan zapewnia, że prowadzone są działania, które mają na celu jak najszybsze wyeliminowanie zagrożeń. Twierdzi również, że po wykryciu pierwszej luki na stronach aukcji zamieszczona była notka o istnieniu niebezpieczeństwa, obecnie jednak nie ma żadnych informacji, które ostrzegałyby użytkowników o konieczności zachowania ostrożności.
“Art. 6. Usługodawca jest obowiązany zapewnić usługobiorcy dostęp do aktualnej informacji o:
1) szczególnych zagrożeniach związanych z korzystaniem z usługi świadczonej drogą elektroniczną…()”
Dz.U.02.144.1204
Problem bezpieczeństwa nie dotyczy jedynie serwisu aukcyjnego allegro. Przed błędami w kodzie lub myśleniu nie ustrzegli sie również programiści tworzący między innymi takie serwisy jak eBay lub Świstak.
Miejmy nadzieję, że pracownicy tych popularnych aukcji jak najszybciej uporają się z problemami czyniąc tym samym zakupy bezpiecznymi i przyjemnymi…