Niektóre strony na Allegro nie są szyfrowane, czyli o co chodzi w HTTPS

Prawdopodobnie często spotykacie się w internecie z przypomnieniami dotyczącymi HTTPS, szczególnie w przypadku bankowości internetowej. Szyfrowana wersja HTTP zapobiega przechwytywaniu i zmienianiu przesyłanych danych, a więc zapewnia użytkownikom korzystającym z danej strony pewne bazowe bezpieczeństwo. Protokół ten jest tak naprawdę wszędzie – chociażby na Tabletowo, ale okazało się, że zabrakło go na niektórych podstronach… Allegro.

Nie wiem jak Wy, ale ja przyznam się szczerze, że podczas przeglądania internetu dosyć często bazuję na przyzwyczajeniach. Stosunkowo rzadko sprawdzam czy dana strona w danym momencie obsługuje protokół HTTPS, co niestety może poskutkować tragicznymi skutkami, szczególnie w przypadku odwiedzania portali związanymi z pieniędzmi czy wrażliwymi danymi. A jakby nie patrzeć – serwisy aukcyjne należą do tej grupy, prawda?

Reklama

Jeden z czytelników Niebezpiecznika zwrócił uwagę, że otworzenie w przeglądarce widoku aukcji skutkuje przekierowaniem na nieszyfrowaną komunikację HTTP. Redakcji portalu udało się odkryć, że ten sam problem dotyczy strony wystawiania przedmiotu oraz Centrum Zniżek.

Czym może poskutkować ta, pozornie nieistotna, różnica? Przede wszystkim tak zwanym atakiem Man in the Middle – wręcz dowolna osoba może podsłuchać transmisję między Wami, a portalem. A co za tym idzie – wykraść ciasteczka (znane nieco szerzej jako cookies), a więc atakujący może podszyć się pod ofiarę i zwyczajnie korzystać z jej konta.

Zastanawiacie się zapewne, kim może być ten atakujący. Według redakcji Niebezpiecznika, opcji jest całkiem sporo:

  • osoba znajdująca się w tej samej otwartej lub szyfrowanej przy użyciu WEP sieci Wi-Fi
  • osoba w tej samej podsieci (bezprzewodowej lub przewodowej), która wykona atak ARP spoofing
  • osoba która ma kontrolę nad „dowolnym urządzeniem sieciowym na trasie pakietów pomiędzy przeglądarką ofiary a serwerami Allegro” – na przykład… administrator w firmie

Jeżeli chodzi o potencjalne zagrożenia, to jest nimi między innymi podejrzenie danych osobowych, zakup w czyimś imieniu lub wystawienie aukcji. A więc nie tylko dostęp do wrażliwych informacji, ale również narażenie na potencjalne problemy i koszta. A przecież ostrzegali…

Samo Allegro wie o problemie i podobno pracuje nad jego rozwiązaniem – ten został zgłoszony już jakiś czas temu. Na ten moment nie wiadomo, kiedy dziura zostanie załatana. A więc co robić, aby zabezpieczyć się przed atakiem?

Cóż, jedna literka, ale wystarczy, żeby HTTPS zmieniło się na HTTP, aby korzystanie z danego serwisu było zwyczajnie niebezpieczne. Warto jednak znaczyć, że jeszcze parę lat temu widok szyfrowanego protokołu był stosunkowo rzadki i wszyscy jakoś żyli.

Ale nie to jest najbardziej interesujące…

Komentujący donoszą, że widok aukcji nigdy nie był szyfrowany, co jest spowodowane tak zwanym mixed content – użycie HTTPS miałoby powodować niewczytywanie się multimediów pochodzących z serwerów bez SSL. Te same osoby pokusiły się o udostępnianie odpowiedzi, które otrzymali na podobne zgłoszenie. Poniższe pochodzi z 15 grudnia ubiegłego roku:

Dzień dobry.

Bardzo dziękuję za Pana wiadomość.
Szyfrowanie nie występuje na wszystkich podstronach Serwisu.
Jest to prawidłowe działanie.

Serdecznie Pozdrawiam,
Maciej
Zespół Allegro

Nieco podobną, choć w innym brzmieniu otrzymał Robson na swoje zgłoszenie z 21 lutego tego roku:

Dzień dobry.

Protokół szyfrowany https używany jest tam gdzie to konieczne.
Z tego co widzę nie ma go na żadnych ofertach;) Ale gdy spróbuje Pan coś kupić albo dokonać jakiejś operacji na koncie – takie połączenie będzie już szyfrowane.

Pozdrawiam,
Marcin
Dział Bezpieczeństwa
Zespół Allegro

Problem w tym, że Niebezpiecznik również odezwał się do Allegro. Redakcja otrzymała odpowiedź od Michała Bonarowskiego, który zapewnił, że problem spowodowany jest sukcesywnym przenoszeniem elementów na HTTPS, które nie zostało jeszcze zakończenie. Później rozmówca dodał:

Czy przeniesienie ciasteczek zadziała – nasze security sprawdza to z programistami, dzięki za Twój sygnał, nic w tej sprawie więcej nie mogę niestety napisać, ale działamy mocno.

Widać zatem, ze ekipa portalu aukcyjnego nieco innych odpowiedzi udziela „profesjonalistom”, a nieco inne „amatorom”. Jak sprawa się zakończy? Na ten moment nie wiadomo.

Polecamy również:

https://www.tabletowo.pl/2018/01/30/sklep-morele-net-nie-szyfrowal-odnosnikow-do-faktur-ktore-wystawial-swoim-klientom/

źródło: Niebezpiecznik