Bezpieczeństwo sklepów internetowych - sesje i ciasteczka

Zakupy internetowe stają się coraz bardziej popularne, aleniestety nie do końca są bezpieczne. Zespół ds. Bezpieczeństwa PoznańskiegoCentrum Superkomputerowo Sieciowego (PCSS) zbadał kilkadziesiątportali sklepów internetowych. Ok. połowa z nich nie zabezpieczaodpowiednio przekazywanych danych osobowych. Robiąc internetowe zakupy często zdradzamy swój stan majątkowy,upodobania, profil psychologiczny. Nasze dane, zachowane w bazachsklepów internetowych, są niezwykle cenne dla różnego rodzajuagencji reklamowych czy konkurencyjnych sklepów. Mogą one równieżposłużyć przestępcom w celu wyszukiwania potencjalnychzamożniejszych ofiar, dokonywania wymuszeń itp. Mając na uwadze powyższe zagrożenia, Zespół Bezpieczeństwa PCSSpoddał testom 50 wybranych sklepów internetowych w Polsce w celusprawdzenia, na ile bezpieczne jest dokonywanie zakupów w tejformie. Sklepy wybrano w losowy sposób spośród istniejącychpolskich rozwiązań tego typu. Przetestowano zarówno sklepywykorzystujące technologie komercyjne (np. firmy Microsoft), jak ite wykorzystujące szeroko rozumiane technologie typu OpenSource. Testom poddane zostały mechanizmy sesji (czyli konkretne połączeniaprzeglądarki użytkownika z serwerem) i tzw. ciasteczek - cookies(niewielkich porcji informacji zapisywanych na dysku użytkownika zapośrednictwem przeglądarki na żądanie serwera WWW i w raziepotrzeby odsyłane z powrotem na serwer). Wykorzystywany wInternecie protokół HTTP (wraz z bezpieczną, szyfrowaną wersjąHTTPS) jest protokołem bezstanowym, co oznacza, że nie jest wstanie bezpośrednio "pamiętać" historii ani stanu konkretnegopołączenia. Sesje i "ciasteczka" służą do obejścia tegoproblemu. Wykonane testy pozwalają wysnuć niepokojący wniosek, że znacznaczęść oferentów usług e-Commerce nie wykonała należytej pracy nadzabezpieczeniem swoich serwisów. Bezpośrednie straty finansowe,jakie może ponieść użytkownik, z łatwością przekroczyć mogą kwotękilku tysięcy złotych. Wyposażony w odpowiednią wiedzę włamywaczjest w stanie dokonać nieautoryzowanych zakupów w imieniu innegoużytkownika (na przykład poprzez przejęcie kontroli nad jego sesjąi zmianę miejsca dostawy zakupionego oraz opłaconego towaru).Kolejnym zagrożeniem jest możliwość przejęcia danych osobowychlegalnego użytkownika bądź uzyskania informacji o specyficznychpreferencjach i zainteresowaniach - co może posłużyć do szantażulub wymuszenia. Bardzo łatwo byłoby też - po przejęciu sesjikonkretnego użytkownika - skutecznie utrudnić mu życie, wysyłającdziesiątki sfałszowanych zamówień drogich towarów, płatnych przypobraniu. Zapraszamy do lektury raportu Bezpieczeństwo sklepów internetowych - sesje i ciasteczka (PlikPDF).