16 571
Tesztek Android Google Apple Microsoft Samsung Huawei Linux Okostelefon Biztonság Tudomány Facebook Videojáték Film
16 571
https://lh4.googleusercontent.com/-jwoBaX5d3Zs/UBbqoY7wujI/AAAAAAAAI9c/M4c2vAwj0ZM/s800/tesco-logo.jpg
Kattints ide  ➜

A nagy Tesco titok

2012.07.30. 22.41
https://lh4.googleusercontent.com/-jwoBaX5d3Zs/UBbqoY7wujI/AAAAAAAAI9c/M4c2vAwj0ZM/s800/tesco-logo.jpgTwitteren néhány napja elkezdődött egy nagyobb ellen-PR folyamat, amikor Troy Hunt több hozzá intézett tweet után rákérdezett a Tesco-nál, hogy milyen formában tárolják a felhasználók jelszavait.

A Tesco válaszként biztosította Troy-t, hogy “A jelszavakat biztonságos módon tároljuk. Olvasható formába csak akkor kerülnek, ha jelszóemlékeztető e-mailbe illesztjük be őket.” Az informatikai biztonságban jártasabbak ebből már leszűrhetik, hogy a Tesco ezzel a kijelentésével kanyarból lábon lőtte magát, ugyanis a biztonságos formában tárolt jelszavak hash-elt, azaz egy olyan függvényen átpréselt módon vannak tárolva, amiből visszafejteni nem lehet semmilyen módon őket. Ha vissza lehet fejteni egy privát vagy publikus kulccsal a jelszavakat, azt titkosításnak nevezzük és lényegesen gyengébb biztonságot jelent.

Ez feltűnt Troy Hunt-nak is, és úgy döntött körülnéz egy kicsit a tesco.com-on. Az alább leírtak saját kézzel is tesztelve vannak, a Tesco még nem javította a hibákat.

Először is a jelszóemlékeztetőként küldött e-mail valóban olvasható formában tartalmazza a felhasználó jelszavát. A legjobb esetben is csak titkosítva vannak a jelszavak, amiket a kulcs megszerzésével másodpercek alatt ki lehet nyitni.

Egy másik amatőr hiba, hogy ugyan a honlap a felhasználói aloldalt HTTPS protokollon, azaz tanúsítvánnyal titkosítva jeleníti meg, de ezt úgy teszi, hogy néhány elem sima HTTP-n, azaz titkosítatlanul érkezik a böngészőhöz. Erre a modernebb böngészők figyelmeztetnek is, egy olyan opcióval, hogy ne töltsük be a titkosítatlan tartalmakat.

Harmadikként az elavult böngészők támogatását kell megemlíteni. Az oldal felhívja a figyelmünket, hogy csak 3.0-nál nagyobb verziójú Explorerrel vagy 3.02-nél nagyobb Netscape-pel tudunk böngészni. Aki túl fiatal volt még az internet hőskorában, azoknak meg kell említenünk, hogy ezek több mint 16 éves böngészők.

A negyedik nagy biztonsági rés a honlapon a cookie-k HTTP-n keresztüli küldése. Ezt akkor vesszük észre, amikor bejelentkeztünk még a valamennyi biztonságot jelentő HTTPS-en keresztül, majd a felhasználói oldalunkat már csak HTTP-n látjuk. Ez a támadók dolgát úgy tudja megkönnyíteni, hogy akár a WiFi-nket lehallgatva megszerzik a munkamenetünk sütijét, és ezzel minket megszemélyesítve böngészik a weblapot.

Az ötödik, és egyik legfájóbb pont, amikor jelszót akarunk változtatni, vagy új felhasználó esetén létrehozni. A weblap figyelmeztet minket, hogy 6-10 karakter hosszú jelszót válasszunk. A 10 karakter ijesztően rövid, és ha még azt is hozzávesszük, amit kisbetűkkel írva találunk az oldalon, akkor fájóan kevés biztonságérzetünk marad. A kisbetűs részben ugyanis felhívják a figyelmünket, hogy a jelszó csak számokból és betűkből állhat, a speciális karaktereket kerüljük, valamint a kis- és nagybetűkkel se bajlódjunk, ugyanis az oldal nem tesz különbséget köztük.

A hatodik súlyos hiba az oldal, illetve szerver konfigurációjából ered. Egy magára valamit is adó webfejlesztő vagy üzemeltető tudja, hogy hibás oldallekérdezések esetén semmilyen információt nem szabadna a felhasználónak kapnia az oldallal, illetve szerverrel kapcsolatban. Ezt a tesco.com annyira tartja tiszteletben, hogy még a hibás oldal forráskódját is közli a gyanútlan böngészővel.

A hetedik hiba – itt már hangsúlyozni kell a számot is – az oldalt kiszolgáló szerverben keresendő. Illetve mindenki döntse el magának, hogy egy Microsoft IIS 6, 1.1-es .NET verzióval mennyire modern. A két verzió 9 éve elavult, és például .NET-ből 5 verzióval járunk azóta előrébb.

A hét hiba már önmagában jelent valamit, de ha hozzávesszük a sérülékenységek komolyságát, akkor kétszer is meggondoljuk, hogy vásárolunk-e a Tesco oldalán. Ez ugyanis egy lehetőség, mivel Angliában webshoppal is rendelkezik a hipermarket, illetve például biztosítást is tudunk kötni náluk. Az pedig, hogy a honlap minden aloldalán nagybetűkkel próbálja megnyerni a bizalmunkat, olyan marketing szövegek formájában, hogy “Nálunk biztonságosan vásárolhat”, vagy hogy “100% bizalommal vásárolhat nálunk. Az online biztonság érdekében minden vásárlásnál vagy személyes információk lekérésénél elkérjük a jelszavát.” semmivel nem csökkenti a biztonságérzet hiányát, inkább csak fájóan figyelmeztet a Tesco informatikai részlegének inkompetenciájára.
Kattints ide  ➜

Az Androbit technológiai és tudományos magazinnál hiszünk abban, hogy az információ mindenkit megillet. Hosszú évek munkájával megszerzett hírnevünknek köszönhetően megadatott számunkra az a lehetőség, hogy műszaki témájú médiumként is elérhessünk minden internetező korosztályt. Tesszük ezt olyan hírekkel és cikkekkel, amik között egyaránt szerepel nagyobb tömegeket és kisebb szakmai csoportokat érintő tartalom is.

A témák gondos összeválogatásának és a cikkek minőségi kidolgozottságának hála mára Magyarország egyik legnépszerűbb technológiai és tudományos információforrásává váltunk – fejlesztéseinkkel és kutatásainkkal pedig igyekszünk mindig egy lépéssel a versenytársak előtt járni.

A weboldalunkon található, szerkesztőségünk által készített tartalmakra vonatkozó összes felhasználási jogot az Androbit technológiai és tudományos magazin birtokolja. A tartalmak egyes részleteinek felhasználását kizárólag látványos (vagy jól hallható) forrásmegjelöléssel engedélyezzük. A feltételek megszegésének jogi következményei lehetnek. A feltételektől eltérő tartalomfelhasználás kizárólag megegyezés útján lehetséges.
Copyright © 2007-2016 – Makay József (makay@androbit.net)
A Samsung Galaxy Note 5 is megkapja az Android 7.0 Nougat frissítést
A technológia segít a mentális egészség fenntartásában
A Huawei Mate 9 december elejétől Magyarországon is elérhető
Videókból fog tanulni a mesterséges inteligencia
Felkapott témák
Ezek a különbségek az iPhone- és Android-felhasználók között
Microsoft Surface Phone - Számítógép és okostelefon egy készülékben
Ezek a Huawei-készülékek kapják meg az Android 7.0 Nougat frissítést
Egy alkalmazás bitcoin-terminált csinál a telefonunkból
Keret nélküli kijelzővel érkezik a szétcsúsztatható ZTE Nubia
A Sailfish OS most megelőzheti a Windows Mobile platformot
Állásajánlatok
Quality and Process Specialist
Inside Sales / Műszaki Tanácsadó
Exchange Alkalmazás Adminisztrátor Budapest
SQA Mérnök
Karbantartási vezető
Mobility Service Desk Associate - German and English speaking - VOC00029D
MES Application Engineer