r   e   k   l   a   m   a
r   e   k   l   a   m   a

Bezpieczeństwo sklepów internetowych - sesje i ciasteczka

Strona główna Aktualności

Zakupy internetowe stają się coraz bardziej popularne, ale niestety nie do końca są bezpieczne. Zespół ds. Bezpieczeństwa Poznańskiego Centrum Superkomputerowo Sieciowego (PCSS) zbadał kilkadziesiąt portali sklepów internetowych. Ok. połowa z nich nie zabezpiecza odpowiednio przekazywanych danych osobowych.

Robiąc internetowe zakupy często zdradzamy swój stan majątkowy, upodobania, profil psychologiczny. Nasze dane, zachowane w bazach sklepów internetowych, są niezwykle cenne dla różnego rodzaju agencji reklamowych czy konkurencyjnych sklepów. Mogą one również posłużyć przestępcom w celu wyszukiwania potencjalnych zamożniejszych ofiar, dokonywania wymuszeń itp.

Mając na uwadze powyższe zagrożenia, Zespół Bezpieczeństwa PCSS poddał testom 50 wybranych sklepów internetowych w Polsce w celu sprawdzenia, na ile bezpieczne jest dokonywanie zakupów w tej formie. Sklepy wybrano w losowy sposób spośród istniejących polskich rozwiązań tego typu. Przetestowano zarówno sklepy wykorzystujące technologie komercyjne (np. firmy Microsoft), jak i te wykorzystujące szeroko rozumiane technologie typu Open Source.

Testom poddane zostały mechanizmy sesji (czyli konkretne połączenia przeglądarki użytkownika z serwerem) i tzw. ciasteczek - cookies (niewielkich porcji informacji zapisywanych na dysku użytkownika za pośrednictwem przeglądarki na żądanie serwera WWW i w razie potrzeby odsyłane z powrotem na serwer). Wykorzystywany w Internecie protokół HTTP (wraz z bezpieczną, szyfrowaną wersją HTTPS) jest protokołem bezstanowym, co oznacza, że nie jest w stanie bezpośrednio "pamiętać" historii ani stanu konkretnego połączenia. Sesje i "ciasteczka" służą do obejścia tego problemu.

Wykonane testy pozwalają wysnuć niepokojący wniosek, że znaczna część oferentów usług e-Commerce nie wykonała należytej pracy nad zabezpieczeniem swoich serwisów. Bezpośrednie straty finansowe, jakie może ponieść użytkownik, z łatwością przekroczyć mogą kwotę kilku tysięcy złotych. Wyposażony w odpowiednią wiedzę włamywacz jest w stanie dokonać nieautoryzowanych zakupów w imieniu innego użytkownika (na przykład poprzez przejęcie kontroli nad jego sesją i zmianę miejsca dostawy zakupionego oraz opłaconego towaru). Kolejnym zagrożeniem jest możliwość przejęcia danych osobowych legalnego użytkownika bądź uzyskania informacji o specyficznych preferencjach i zainteresowaniach - co może posłużyć do szantażu lub wymuszenia. Bardzo łatwo byłoby też - po przejęciu sesji konkretnego użytkownika - skutecznie utrudnić mu życie, wysyłając dziesiątki sfałszowanych zamówień drogich towarów, płatnych przy pobraniu.

Zapraszamy do lektury raportu Bezpieczeństwo sklepów internetowych - sesje i ciasteczka (Plik PDF).

r   e   k   l   a   m   a
© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.