r   e   k   l   a   m   a
r   e   k   l   a   m   a

Większość polskich portali nie zabezpiecza właściwie webowych klientów poczty

Strona główna AktualnościOPROGRAMOWANIE

Poczta o2.pl nie cieszy się jakąś szczególnie dobrą opinią. Jej webowemu interfejsowi trudno konkurować z tym, co oferują Gmail, Outlook.com czy Yandex, a ilość spamu zapełniającego skrzynkę odbiorczą (w tym spamu rozsyłanego przez samego operatora) potrafi zniechęcić. Jeden z czytelników popularnego bloga o bezpieczeństwie (i nie tylko o bezpieczeństwie) Niebezpiecznik.pl odkrył jednak jeszcze jeden problem z pocztą o2.pl – szyfrowanie haseł przesyłanych przez formularz logowania webmaila.

Czytelnik „Niebezpiecznika” informował, że w niektórych wypadkach logowanie do skrzynki odbywało się bez szyfrowania. Przy próbie sprawdzenia wiadomości na o2, otrzymywał błąd 404, podobnie było po wylogowaniu. Nawet gdy logowanie się udawało, login i hasło były przekazywane bez SSL.

Przeprowadzone przez redakcję bloga testy pokazały, że problem dotyczy przede wszystkim tych, którzy wyłączyli w przeglądarkach obsługę JavaScriptu (lub korzystają z prostych przeglądarek, które w ogóle nie mają silnika skryptowego). Formularz działający pod adresem http://poczta.o2.pl/login nie przekierowuje w takiej sytuacji na swój odpowiednik w szyfrowanym kanale HTTPS. Zdecydowana większość użytkowników nie wyłącza jednak z JavaScriptu, więc w ich wypadku przekierowanie następuje poprawnie.

r   e   k   l   a   m   a

Problem został zgłoszony do o2 – i rozwiązany. Pan Jerzy Dąbrówka, odpowiedzialny za pocztę Grupy o2 i Wirtualna Polska, wyjaśniał: (…) precyzując, w formularzu logowania na sztywno wpisany był adres „http://”, a przy pomocy JS wykonywaliśmy podmianę, np. z „http://poczta.o2.pl” na „https://poczta.o2.pl”. W tej chwili atrybut „action” formularza logowania zawiera już adres „https://”, więc dane każdego użytkownika, niezależnie od działania JS, są przesyłane kanałem szyfrowanym.

Na tym problem niestety się jednak nie kończy. Bez względu na to, czy mamy JavaScript włączony, czy też nie, po zalogowaniu się użytkownik zostaje przekierowany do webowego klienta, działającego przez nieszyfrowane HTTP. Oznacza to, że osoby korzystające z otwartych publicznych hotspotów bez szyfrowania, albo sieci zabezpieczonych słabiutkim mechanizmem WEP, czytając swoją pocztę na o2, dają zarazem do niej dostęp osobom postronnym o niewygórowanej wiedzy technicznej, korzystającym np. z rozszerzeń do przeglądarek takich jak FireSheep

To zagrożenie dotyczy nie tylko użytkowników poczty o2.pl, ale też poczty wp.pl i onet.pl. Spośród polskich portali jedynie interia.pl dostarcza usługę pocztową, zapewniającą szyfrowanie zarówno procesu logowania jak i działania samego webowego klienta (poczta gazeta.pl jest obsługiwana przez Google, stąd nie została tu uwzględniona).

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.