Co se bezpečnosti týče, jsou české e-shopy v tragickém stavu

Zdroj: SOOM.cz [ISSN 1804-7270]
Autor: Batou
Datum: 9.11.2013
Hodnocení/Hlasovalo: 1/3

Utvrdit nás o tom může další ročník soutěže WebTop100 - přehlídky těch nejlepších a nejkrásnějších firemních webů. Navenek krásné, všechny však mají minimálně zkažené zuby.

Nejen na to poukazuje Michal Špaček ve svém článku na Lupě. Byl totiž jako porotce přizván do soutěže WebTop100, která již 12 let hodnotí firemní weby. Každoročně se jí účastní stovky webů, které bojují v kategoriích jako „Firemní web roku“, „Digitální kampaň roku“ či „Mobilní řešení roku“. Všechny kategorie však mají něco společného - potvrzují, že i jinak propracované weby prostě kašlou na bezpečnost.

To je samozřejmě největší problém tam, kde se točí peníze - v e-shopech a bankách. Autor např. popisuje naprosto běžný rys webů přihlášených do soutěže: náchylnost k XSS. Díky tomu se mu podařilo ukrást session administrátora, který vyřizoval jeho objednávku a přihlásit se pod jeho účtem. U dalšího e-shopu se změnou parametru id v URL dalo zjistit, že admin měl id rovno 2. Na stránce pro změnu hesla tak autor učinil, a změnil tím administrátorské heslo. U dalšího webu zjistil, že hesla svým klientům zasílá v čitelné podobě e-mailem (což indikuje i jejich uložení tímto způsobem). To útočníkovi staví nulovou překážku před zjištěním hesel např. po úspěšném SQLi, kterými se weby také jen hemžily.

Všem hodnoceným webům (včetně těch bankovních) dal Michal Špaček přesně nula bodů. U všech našel závažnou zranitelnost. Čím myslíte, že je tato situace způsobena? Podle mě tím, že bezpečnost není na první pohled vidět, a už vůbec nepřináší na první pohled žádný zisk. Proto se jí věnuje málo peněz, tedy času.