Aukcje.org
Aukcje internetowe w Polsce i na świecie
Przechwytywanie haseł na Allegro
- Autor: Paulus14 (24)
Od pewnego czasu wejście na stronę niektórych przedmiotów powoduje
pojawienie się okna logowania z nazwą „keylog.pl” Czy to błąd jakiegoś
sewera czy też coś innego? Przyznaję, że fraza „Keylog” budzi u mnie niemiłe skojarzenia z pojęciem keylogger. Komunikat taki pojawił się na aukcjach kilku użytkowników.
Słowo wyjaśnienia: wydaje mi się, że jest to problem techniczny, jeśli nie - prosiłbym o przesunięcie wątku lub wskazanie właściwego forum.
Czyli do tej pory w zabezpieczeniach serwisu jest niedoróbka, pozwalająca na „przemycenie” w treści aukcji przekierowania, umożliwiającego na (moim zdaniem) masowe przechwytywanie haseł…
pozdrawiam,
Wojtek
Nie, to nie jest niedoróbka. Owszem, w ten sposób można przechwytywać hasła. Tego typu aukcje należy bezwzględnie zgłaszać administracji serwisu.
Wszystkie próby zalogowania w pojawiającym się oknie trafiają na serwery ebitda.net.pl, na którym utrzymywany jest keylog.pl. Podobny efekt może uzyskać dosłownie każdy blokując dostęp do wybranego katalogu na własnym serwerze, a następnie wpinając w opis aukcji ilustrację pochodzącą z tego katalogu. O ile ma dostęp do logów serwera (kompletnych, bo na wirtualkach raczej nie da rady tego zrobić) - może odczytać wpisane loginy i hasła.
Ten błąd jest nieusuwalny dla Allegro i dla wielu innych serwisów zezwalających na linkowanie ilustracji z zewnętrznych serwerów. Usunięcie tego błędu oznaczałoby zakaz linkowania ilustracji z własnych serwerów (o czym pisałem w marcu 2006 roku).
Zobacz:
Poprzedni news: Galeria Sztuki Współczesnej Senatorska: „Międzyrysunki”
Następny news: 2 miliony złotych pożyczone na Finansowo.pl
Partnerzy:
RSS | RSS komentarzy | Kontakt | O stronie | Polityka prywatności
Copyright © Jacek Z. Strzembkowski - wszelkie prawa zastrzeżone
# Hammer — 20/10/2008 @ 23:28:
Bardzo dobrze, że Allegro pozwala na takie podlinkowania.
Jeśli pojawiają się problemy (okienko z logowaniem) oznacza to jedno - fotki są kradzione lub sprzedający nie za bardzo się orientuje co robi. Na jedno wychodzi. Kupować u takiego kogoś nie warto.
# czarek — 21/10/2008 @ 16:56:
to nic groźnego , wewnetrzne aplikacjie ,
# Jacek Z. Strzembkowski — 21/10/2008 @ 17:15:
Czarek, niestety poza Tobą jako właścicielem nikt nie ma możliwości sprawdzić co jest robione z danymi, które ktoś omyłkowo wpisze w formularz. Zakładam że masz rację - ale mogę jedynie wierzyć na słowo.
# Anonim — 21/10/2008 @ 22:29:
Jakieś dziwne to „Centrum Usług Internetowych” - główną stronę ma wygenerowaną pod MS Wordem.. tona śmieci w kodzie.. jakby ktoś nie miał pojęcia o HTML-u, o Perlu już nie wspominając ;).
Napisz komentarz:
Opcja komentowania dla tego artykułu została wyłączona.