Zagrożenie dla poczty odbieranej z poziomu WWW
Luka w pocztach dostępnych przez strony WWW w największych polskich portali.
23 lipca 2005 na stronach pocztowych portali Onet.pl, WP.pl, Interia.pl, o2.pl i Gazeta.pl została wykryta luka bezpieczeństwa wynikająca z nieodfiltrowywania tagu APPLET przy wyświetlaniu listów w formacie HTML. Obecność luki pozwalała (lub nadal pozwala – zob. niżej Reakcja portali) na automatyczne uruchamianie apletów Java u użytkowników, którzy otworzą email w formacie HTML - poinformował o tym Wirtualnemedia.pl programista Marek Futrega.
ZagrożeniaAplety Java to proste programy, które można umieszczać w stronach HTML, bardzo często stosowane do czatów, gier online itp. Uruchamiane automatycznie przy próbie wyświetlenia wiadomości email mogą być wykorzystywane do co najmniej dwóch niecnych celów:
"Phishing" Aplet Java może automatycznie przekierować użytkownika z poczty portalu na dowolną inną stronę lub wyświetlić interaktywne okno dialogowe w celu pozyskania danych osobowych, aktualnego hasła (np. prosząc o jego ponownego podania celem weryfikacji czegoś) itp.
Przejęcie konta lub częściowej kontroli nad nim Aplety Java mają także możliwość uruchamiania kodu Javascript, przez który z kolei można skasować pocztę użytkownika, przesłać ją do innych osób, czy też odczytać aktualne pliki cookies użytkownika i przekazać je na zewnątrz w celu przejęcia sesji użytkownika (tzw. atak typu Cross Site Scripting).
Reakcja portaliInformacja o występowaniu luki, jej dokładny opis oraz prośba o potwierdzenie przyjęcia zgłoszenia problemu zostały przesłane do wszystkich wymienionych portali dzień po jej wykryciu, tj. 24 lipca 2005.
Portale WP.pl, Interia.pl, o2.pl oraz Gazeta.pl (wszystkie poza Onet.pl) przesłały odpowiedź potwierdzającą istnienie problemu, a w kolejnych dniach wprowadziły odpowiednie poprawki do swoich systemów pocztowych.
Informacja o luce przesłana do portalu Onet.pl spotkała się z krótką odpowiedzią działu Republika WWW (chociaż zgłoszenie było kierowane na adresy portalu i postmastera, tj. onet@onet.pl, bok@onet.pl oraz postmaster@onet.pl), w której można znaleźć, że to nie ten dział administruje pocztą oraz zapewnienie, że zgłoszenie zostało przesłane do działu poczty.
Dział poczty Onet.pl nie przesłał jednak żadnej odpowiedzi potwierdzającej przyjęcie zgłoszenia, a po dwóch tygodniach od jego wysłania luka była nadal obecna. 8 sierpnia zgłoszenie zostało wysłane po raz drugi, tym razem poprzez formularz na stronie kontakt.onet.pl (według polecenia działu Republika WWW).
Do tj. 15 sierpnia (tydzień od drugiego zgłoszenia), nie przyszła żadna odpowiedź z działu poczty Onet.pl, która potwierdzałaby jego przyjęcie, a luka nadal występuje.
Inne informacjeOpisana luka była też sprawdzana na zagranicznych systemach pocztowych (Hotmail, Yahoo! Mail oraz Gmail), gdzie nie wykryto jej obecność.
Luka nie zależy od używanej przeglądarki stron.
Możliwość uruchamiania kodu Javascript przez aplet Javy nie występowała na poczcie WP (z niejasnych powodów); można było jedynie uruchamiać kod apletów Java.
