Mellékleteink: HUP | Gamekapocs
Keres
Felhőből visszaköltözéstől egészen egy banki malware evolúciójáig. Üzemeltetői és IT-biztonsági meetupokkal érkezünk!

Céges oldalak miatt nem lehet biztonságos a Facebook

Dojcsák Dániel, 2011. április 12. 10:14
Ez a cikk több évvel ezelőtt születetett, ezért előfordulhat, hogy a tartalma már elavult.
Frissebb anyagokat találhatsz a keresőnk segítségével:

A Facebook felületén könnyen találhat bárki fogást, ez alól nem kivétel a biztonság sem. Hosszú ideje figyelmeztettek a szakértők arra, hogy a webes közösségi felület elérése normál http kapcsolaton keresztül nem a legszerencsésebb, de a https lehetőségére egészen addig kellett várni, amíg Mark Zuckerberg fiókját fel nem törték.

hirdetés

Januárban Mark Zuckerberg saját fiókját sikerült valakinek feltörnie - az ügyeskezű hackernek nem is volt nehéz dolga, hiszen akár egy kisiskolás is képes megszerezni az azonosítókat, ha egy helyen tartózkodik az illetővel, és a Wi-Fi hálózaton keresztül küldött adatokat egy erre alkalmas programmal összeszedi. Mindössze a Firesheep Firefox kiegészítőt kellett telepíteni és már lehetett is vadászni a környezetünkben lévő emberek fiókjait.

Zuckerberg fiókjának feltörése után mindössze egyetlen napra volt szükség ahhoz, hogy a Facebook bemutassa a https, azaz “secure http” kapcsolaton keresztüli működést. Ezt azonban egyelőre nem tették kötelezővé minden felhasználó számára, csak a beléptetésnél, a böngészés közben továbbra is a nem biztonságos kapcsolatot használja a legtöbb ember.
Ha technológiai oldalról nézzük, akkor nem is lenne lehetséges a kötelezővé tétel, legalábbis egy komoly, hosszú felkészítő időszak nélkül biztosan nem.

Nem készült fel rá a közönség

A probléma ott kezdődik, hogy néhány böngésző még ma sem támogatja ezt a fajta kommunikációt, azaz néhány felhasználó alapból ki lenne zárva így a rendszerből, és csak akkor használhatná a szolgáltatást, ha böngészőt cserél, frissít, ami egyes esetekben nem lehetséges (például egy elmaradott vállalati hálózaton keresztül, vagy esetleg egy netkávézóban internetezik valaki).

A másik gond, hogy a https kötelezővé tétele a Facebook oldalak üzemeltetőinek is plusz munkát jelentene. Ha most kipróbáljuk a január óta opcionálisan bekapcsolható https módot, akkor azt látjuk, hogy számos vállalati oldal egyszerűen nem jelenik meg. Ennek oka, hogy ezek az oldalak külső alkalmazásokat használnak beágyazott iframe-eken keresztül, ezek használatához pedig https-en keresztül tanúsítványra van szükség. Így például a három magyarországi mobilszolgáltató Facebook oldalainak egyike sem működik https-en keresztül (kivéve ha éppen nincs aktív iframe-alakalmazás, csak maga a sima oldal, mint jelenleg a T-Mobile esetében). A Telenornál már be sem töltődik az alkalmazás, a Vodafone-nál pedig hibásan működik. Ugyanígy nem működne sok globális márka nagyforgalmú oldala sem, így a Facebook biztosan nem teheti meg jelenleg, hogy szó nélkül átálljon.

Lesz kötelező https, de senki nem tudja mikor

Pedig a hírfolyam és az oldalak beállításainak és működésének megváltoztatásakor sem kérte ki a partnerek véleményét, egyik napról a másikra egyszerűen változtak a szabályok. Ennek ellenére a szándék megvan, a hivatalos nyilatkozat szerint: “Reméljük, hogy alapértelmezettként tudjuk majd kínálni a https-t a Facebook teljes felületén valamikor a jövőben”. Az oldalak részéről ez egyrészt egy viszonylag rövid fejlesztési munkát igényel, ami nem lenne akadály, de a https használatához tanúsítványt is kell vásárolni, ez pedig már komplexebb feladat. Elsőként el kell dönteni, hogy melyik szolgáltatótól vesz a cég, hiszen nem mindegyik támogat minden böngészőt, minden rendszert. Másrészt a PR-célú oldalak esetében vegyes a kép, hogy az iframe-be ágyazott alkalmazás az adott cég, vagy épp a projektet készítő ügynökség szerverein fut. Tanúsítványt pedig domainre lehet váltani, dönteni kell, hogy ki vállalja ennek az adminisztratív terheit, illetve egyéb követelményeit.

Széll András, a PS:PRovocative ügynökség ügyvezetője szerint a magyar mobilszolgáltatók mellett többek között az OPEL, a KFC és a HP magyarországi oldalai, az Audi USA, a Mercedes-Benz, a Red Bull, a Pringles vagy éppen a NoSalty webes szakácskönyv oldalai sem állnak még készen a https-re. A nagyobb magyar oldalak közül egyedül a Nike Football Hungary oldal, ami nem venné zokon, ha hirtelen csak biztonságos protokollon keresztül működne a Facebook. Igaz idő közben (akár 1-2 nap alatt) egyre több oldal reagálja le az elmúlt időszak fejleményeit és készíti elő oldalait az esetleges átállásra.

10 perc?

Az implementáció szerencsére nem nehéz dolog, viszont érdemes előre menekülni, és azoknak a vállalatoknak és ügynökségeknek, akik iframe-be ágyazott alkalmazásokat üzemeltetnek Facebook oldalukon, már most gondolni erre a problémára. Sőt, sok olyan cég van, ahol még a múlt hónap óta már hivatalosan nem is támogatott házon belüli FBML (Facebook Markup Language) alapon készült fülek vannak. Ilyen például az Avon, a Bónusz Brigád, a Cosmopolitan, a Kupon Világ, a Milka, a Vatera és a Sony Ericsson oldala. Az elavultnak tekinthető nyelv nem váltotta be az ígéreteket, ezért a Facebook maga is mellőzi, az iframe végleg átveszi majd a helyét. A frissítéskor, átalakításkor pedig kiváló lehetőség nyílik arra, hogy az új struktúrában a https is helyet kapjon.

A felhasználók számára egyelőre ez nem egy látványos probléma, a legtöbben feltételezhetően azt sem tudják, hogy mi is az a https, s a valószínűleg ezt a lehetőséget be sem kapcsolják. Aki mégis ráakad véletlenül a fiókbeállítások közt, az pedig egészen odáig fogja bekapcsolva tartani, amíg bele nem fut az első számára érdekes alkalmazásba, ami nem működik a biztonságos kapcsolaton keresztül. A leggyakoribb reakció, hogy a felugró üzenet által felajánlott “visszakapcsolás http módra” gombot megnyomva visszatérnek, ezt követően újra normál módban használják a Facebookot, ami az oldalak működését tekintve szerencsés, hiszen látszani és működni fog a promóció, viszont a felhasználó biztonsága újfent veszélybe kerülhet.

Tudatos vs. kényelmes

A tudatos felhasználónak így három lehetősége marad: vagy nem használ facebookos alkalmazásokat és biztonságban marad, vagy használja azokat, de nem lesz biztonságban, illetve a fárasztó harmadik variáció, hogy ki-be kapcsolgatja a https-t attól függően, hogy épp néz-e olyan oldalt, ahol az nem támogatott. Mivel korábbi kutatásokból tudni lehet, hogy a felhasználók az internetbiztonsági és vírusellenőrző programokat is inkább kikapcsolják, ha túl sok figyelmeztetést dobnak fel, valószínű, hogy a többség a második variációt választja majd. A vállalatok és ügynökségek kapcsán pedig az okozhat feszültséget, hogy kinek kell majd kifizetni a https tanúsítványt, illetve az, hogy a jövőben kinek a szerverén fussanak az alkalmazások.

Facebook

Mit gondolsz? Mondd el!

Adatvédelmi okokból az adott hír megosztása előtt mindig aktiválnod kell a gombot! Ezzel a megoldással harmadik fél nem tudja nyomon követni a tevékenységedet a HWSW-n, ez pedig közös érdekünk.
4-4 klassz téma a HWSW júniusi üzemeltetői és IT-biztonsági meetupjain. Nézz meg a programot!