Mellékleteink: HUP | Gamekapocs
Keres

Nem feltétlenül biztonságosak az EV-SSL aláírással ellátott weboldalak

Ady Krisztián, 2008. május 20. 16:22
Ez a cikk több évvel ezelőtt születetett, ezért előfordulhat, hogy a tartalma már elavult.
Frissebb anyagokat találhatsz a keresőnk segítségével:

[Techworld] Komoly cross-site scripting (XSS) hibát találtak az eBay PayPal fizetési szolgáltatásának weboldalában, mellyel ellophatók az ügyfelek bejelentkezési adatai, vagy böngészőjének sütijei. Az eset pikantériája, hogy az adott oldal Extended Validation SSL (EV-SSL) minősítéssel, aláírással rendelkezik, így annak biztonságosnak kellett volna lennie.

[Techworld] Komoly cross-site scripting (XSS) hibát találtak az eBay PayPal fizetési szolgáltatásának weboldalában, mellyel ellophatók az ügyfelek bejelentkezési adatai, vagy böngészőjének sütijei. Az eset pikantériája, hogy az adott oldal Extended Validation SSL (EV-SSL) minősítéssel, aláírással rendelkezik, így annak biztonságosnak kellett volna lennie.

A sérülékenységre akkor bukkantak rá, amikor egy technikai hiba folytán számos e-kereskedelmi weboldal PayPalos kapcsolatában fennakadás keletkezett és az online fizetési rendszer hibásan működött. A kereszt-szkriptelési hibát kihasználva a PayPal oldalán megadott bejelentkezési adatok illetéktelen kezekbe juthattak.

A PayPal azonnal javította a hibát, arról nincsenek adatok, hogy azt bárki felhasználta volna illetéktelen célokra. Az eset inkább azért kapott nagyobb nyilvánosságot, mert az oldalt EV-SSL tanúsítvány védte, mely elméletileg még erősebb ellenőrzést bizonyítana, a biztonságot sugallva a PayPal felhasználói számára. Az újabb böngészők, mint az Internet Explorer 7, vagy a nemsokára megjelenő Firefox 3 külön színnel, zöld címsorral jelölik az EV-SSL tanúsítvány meglétét.

Az internetes bankok, vagy cégek, mint a PayPal különböző megoldásokkal védekeznek az adathalász kísérletek ellen. A nemrég zajlott RSA Conference rendezvényen a PayPal néhány jövőbeni lépéséről is fellebbentette a fátylat, többek között a régi, sérülékeny böngészőkkel nem lehet majd igénybe venni a cég internetes szolgáltatásait.

Egyes régebbi böngészőkkel, mint a Firefox 1.5, Opera 8, vagy Internet Explorer 6 is beléphetünk majd az oldalra, azonban rögtön egy figyelmeztetést láthatunk, miszerint ezek a szoftverek nem védhetnek meg minket az adathalász támadásoktól, és nem támogatják az Extended Validation SSL aláírásokat. Az ennél régebbi böngészőket, mint az Internet Explorer 5, Opera 4-7.2, vagy Firefox 1.0 már teljesen blokkolni fogja a PayPal.

Facebook
Adatvédelmi okokból az adott hír megosztása előtt mindig aktiválnod kell a gombot! Ezzel a megoldással harmadik fél nem tudja nyomon követni a tevékenységedet a HWSW-n, ez pedig közös érdekünk.