r   e   k   l   a   m   a
reklama

Bezpieczeństwo sklepów internetowych - sesje i ciasteczka

Strona główna Aktualności

O autorze

Zakupy internetowe stają się coraz bardziej popularne, ale niestety nie do końca są bezpieczne. Zespół ds. Bezpieczeństwa Poznańskiego Centrum Superkomputerowo Sieciowego (PCSS) zbadał kilkadziesiąt portali sklepów internetowych. Ok. połowa z nich nie zabezpiecza odpowiednio przekazywanych danych osobowych.

Robiąc internetowe zakupy często zdradzamy swój stan majątkowy, upodobania, profil psychologiczny. Nasze dane, zachowane w bazach sklepów internetowych, są niezwykle cenne dla różnego rodzaju agencji reklamowych czy konkurencyjnych sklepów. Mogą one również posłużyć przestępcom w celu wyszukiwania potencjalnych zamożniejszych ofiar, dokonywania wymuszeń itp.

Mając na uwadze powyższe zagrożenia, Zespół Bezpieczeństwa PCSS poddał testom 50 wybranych sklepów internetowych w Polsce w celu sprawdzenia, na ile bezpieczne jest dokonywanie zakupów w tej formie. Sklepy wybrano w losowy sposób spośród istniejących polskich rozwiązań tego typu. Przetestowano zarówno sklepy wykorzystujące technologie komercyjne (np. firmy Microsoft), jak i te wykorzystujące szeroko rozumiane technologie typu Open Source.

Testom poddane zostały mechanizmy sesji (czyli konkretne połączenia przeglądarki użytkownika z serwerem) i tzw. ciasteczek - cookies (niewielkich porcji informacji zapisywanych na dysku użytkownika za pośrednictwem przeglądarki na żądanie serwera WWW i w razie potrzeby odsyłane z powrotem na serwer). Wykorzystywany w Internecie protokół HTTP (wraz z bezpieczną, szyfrowaną wersją HTTPS) jest protokołem bezstanowym, co oznacza, że nie jest w stanie bezpośrednio "pamiętać" historii ani stanu konkretnego połączenia. Sesje i "ciasteczka" służą do obejścia tego problemu.

Wykonane testy pozwalają wysnuć niepokojący wniosek, że znaczna część oferentów usług e-Commerce nie wykonała należytej pracy nad zabezpieczeniem swoich serwisów. Bezpośrednie straty finansowe, jakie może ponieść użytkownik, z łatwością przekroczyć mogą kwotę kilku tysięcy złotych. Wyposażony w odpowiednią wiedzę włamywacz jest w stanie dokonać nieautoryzowanych zakupów w imieniu innego użytkownika (na przykład poprzez przejęcie kontroli nad jego sesją i zmianę miejsca dostawy zakupionego oraz opłaconego towaru). Kolejnym zagrożeniem jest możliwość przejęcia danych osobowych legalnego użytkownika bądź uzyskania informacji o specyficznych preferencjach i zainteresowaniach - co może posłużyć do szantażu lub wymuszenia. Bardzo łatwo byłoby też - po przejęciu sesji konkretnego użytkownika - skutecznie utrudnić mu życie, wysyłając dziesiątki sfałszowanych zamówień drogich towarów, płatnych przy pobraniu.

Zapraszamy do lektury raportu Bezpieczeństwo sklepów internetowych - sesje i ciasteczka (Plik PDF).

© dobreprogramy
reklama
r   e   k   l   a   m   a

Komentarze

reklama
Polecamy w WP TechnologieWP TechnologieTest najlepszych telewizorów na Mundial