Blogeri.hr > Blog > Sigurnost domaćih blog servisa
PREGLED Posta
Sigurnost domaćih blog servisa
Blog | 31.08.2009. | Dodao/la: Sokac
Vjerujem da većina korisnika Interneta ne obraća puno pažnju na sigurnost web stranica koje posjećuju. Tako recimo, prilikom svake registracije mogu ugroziti svoje podatke. Primjer, neke stranice spremaju nekriptirane lozinke u bazu te je do njih lako doći od strane administratora, a ovisno o sigurnosti same stranice - i hakerima.
Ukoliko vam je lozinka ista kao i na e-mailu, lako se može doći do svih vaših korisničkih računa koji su vezani za taj e-mail. Važno je stoga imati različite lozinke za različite web stranice ili, u najgorem slučaju, imati drugačiju lozinku za e-mail.
Ovih dana, provodili smo mala ispitivanja na hrvatskim blog servisima blog.hr, mojblog.hr te bloger.hr. Ništa pretjerano, u pitanju je bilo samo možemo li dobiti lozinke od korisnika, a da pri tome oni ne znaju. Znači, ne radi se o naivnosti korisnika (phishing), već o pokušaju presretanja lozinke, a da sam korisnik nema veze o tome. Htio bih napomenuti da nismo bili posrednik između klijenta i servera (znači korisnika i blog servisa) već da nam korisnik direktno, na naš server pošalje lozinku. Također, nismo postavljali forme za prijavu korisnika (to spada u naivnost korisnika).
Jedini servis na kojem smo mogli izvući podatke korisnika je bio bloger.hr. Naime, to je jedini blog servis koji omogućuje da se komentira dok je korisnik na tom blogu. Dodavanjem javascript kôda (što se može na bloger.hr) omogućava nam se uvid u informacije nakon što korisnik ukuca svoje korisničko ime i lozinku kako bi mogao komentirati post pod svojim imenom.
Te informacije lako proslijedimo na drugi server koji te informacije može iskoristiti kako bi naštetio drugom blogu umetanjem tog istog koda sa prethodne stranice - znači, imamo lijepog trojanca. Scenarij kreiranja ovakvog virusa mogao bih biti katastrofalan za bloger.hr - virus se prenosi na svakog tko komentira zaraženi blog, a sa zaraženim blogom haker može raditi što god hoće.
Još za kraj bi napomenio da prilikom testiranja nismo nikome uzeli lozinku te da pripazite na koje blogove ćete ostaviti komentar.