Byla objevena bezpečnostní chyba v Seznamu

Zdroj: SOOM.cz [ISSN 1804-7270]
Autor: ScheRas
Datum: 3.12.2013
Hodnocení/Hlasovalo: 1/1

Chyba umožňuje útočníkovi odposlech hesla v nešifrované podobě.

Slabina byla objevena ve formuláři určeném pro registraci i v tom pro změnu hesla. Problém tkví ve způsobu, jak Seznam ověřuje sílu uživatelova hesla. Síla je totiž ověřována na straně serveru, kam se přenáší pomocí AJAXu a v nešifrované podobě.

Seznam.cz Vulnerability

Heslo je díky tomu snadno odposlechnutelné. Pokud se nám podáří stát se prostředníkem mezi uživatelem a serverem, je doba nutná k tomu, abychom naši obět donutili ke změně hesla, opravdu krátká.

Další, spíše filosofická otázka je, jestli jsou všechny takovéto dotazy logovány, jak se to obyčejně s GET dotazy děje.