Byla objevena bezpečnostní chyba v Seznamu
Autor: ScheRas | 3.12.2013 |
Chyba umožňuje útočníkovi odposlech hesla v nešifrované podobě.
Slabina byla objevena ve formuláři určeném pro registraci i v tom pro změnu hesla. Problém tkví ve způsobu, jak Seznam ověřuje sílu uživatelova hesla. Síla je totiž ověřována na straně serveru, kam se přenáší pomocí AJAXu a v nešifrované podobě.
Heslo je díky tomu snadno odposlechnutelné. Pokud se nám podáří stát se prostředníkem mezi uživatelem a serverem, je doba nutná k tomu, abychom naši obět donutili ke změně hesla, opravdu krátká.
Další, spíše filosofická otázka je, jestli jsou všechny takovéto dotazy logovány, jak se to obyčejně s GET dotazy děje.
.Přihlášení | ||
| |||
.Infobox Nejnovější:
Články:
BugTrack: HackForum: Další služby: Na SOOM.cz je:
Článků: 991
Komentářů: 14 249 Aktualit: 1 861 Souborů: 151 WebForum: 49 234 Hardware: 38 Diskuze: 20 069 BugTrack: 4 412 Reg. uživatelů: 15 653 A proběhlo:
Zobraz. článků: 16 900 120
Staženo souborů: 1 341 753 Staženo dat: 862 159 MB Přístupy (hits): 188 629 119 | ||
| ||||
| |||
| |||
| |||
| ||||
| ||||
| ||||
| ||||
| ||||||||||||||||||||||||
