Z blogov: Bezpečnosť DropBoxu po roku

 Onedlho to bude už rok, čo som navštívil oficiálne stránky on-line úložiska súborov DropBox . V tomto čase som napísal článok [Dropbox - pohodlné on-line úložisko verzus bezpečnosť ], v ktorom som sa snažil poukázať na nie veľmi dobre zvládnutú bezpečnosť. Vtedy som pomohol tvorcom projektu navrhnúť niekoľko bezpečnostných opatrení, ktoré, ako som dúfal, aplikujú. Ako teda je na tom projekt takmer po roku?

Od napísania prvého článku sa služba, pochopiteľne, rozvinula, zmenila dizajn a bolo do nej pridaných niekoľko zlepšení. Keďže niekoľko priateľov túto službu aktívne používa, zaujímalo ma, ako je na tom s bezpečnosťou a ako veľmi si vzali tvorcovia moje rady k srdcu. A tak som začal pátrať. Prejsť celý web mi trvalo iba hodinu (nie je veľmi rozsiahly), pričom som spozoroval niekoľko príjemných zlepšení.


Tvorcovia sa snažili použiť všetky dostupné metódy na ochranu koláčikov, aby si s nimi mohol útočník akurát tak … . Tie najchrumkavejšie koláčiky nesú vlajočky „secure“ a „httpOnly“. To je skutočne skvelá správa. Takisto pridali ochranu proti CSRF vo forme tokenov, ktoré síce nie sú bezchybné, ale aspoň tam nie sú len na okrasu a dokážu zlámať paprčky pokušiteľom.



Nasleduje však bohužiaľ. Tvorcovia urobili niekoľko zásadných chýb, na ktoré som ich upozorňoval už vtedy a dodnes ich v podstate úplne ignorovali. Jedna z nich bola perzistentná XSS, ktorú som dokonca vtedy demonštroval v prvom videu. Táto XSS sa nachádzala v názve počítača, ktorý sa dal zmeniť priamo na webe. Tvorcovia sa uchýlili k tzv. security through obscurity (aj keď to nie je práve vzorový príklad) a zraniteľnosť považovali za zabezpečenú vďaka anti-CSRF tokenu. Ako iste viete, bez znalosti daného tokenu nemôže útočník vložiť bez vedomosti obete svoje dáta (často obsahujúce kus JavaScriptu). Teda primárnym cieľom útočníka je nájsť miesto, ako získať daný token. Ja som ho našiel za chvíľku. Napísať jednoduchý kód, ktorý za pomoci XMLHttpRequest a Xpath získa daný token, ktorý následne použije na odoslanie týchto dát, bola už maličkosť. Pridaním JavaScriptu do mena počítača, ktorý vyzerá nezmenene, pretože javascriptový kód nevidno, zaručí, že pri každej návšteve stránky sa skript inicializuje a znovu vykoná naprogramovanú úlohu.

Ja som si však všimol ešte jednu veľmi zaujímavú vec. DropBox umožňuje veľmi jednoducho zmeniť e-mailovú adresu majiteľa, a to jednoduchým zadaním nového e-mailu. I keď služba vyžaduje pri zmene hesla zadať aj pôvodné heslo, pri e-maile nevyžaduje nič. A tak bola na svete nová idea, ako získať používateľské konto, nielen jeho dáta (i keď toto by dobrý útočník nikdy neurobil, pripraviť sa o stály prístup do konta, ktorého majiteľ o tom vôbec netuší, a tak pridáva stále nové dáta). Napriek tomu ide o veľmi zaujímavú a lákavú možnosť.

Chcel by som upozorniť, že som kontaktoval tvorcov služby a akútne chyby okamžite odstránili a podľa ich slov nasadili nejakú formu WAF (Web Application Firewall), ktorá by mala pomôcť v budúcnosti včas odhaliť akúkoľvek formu útoku.

Na záver by som chcel upozorniť, že služby ako DropBox , SugarSync , Box.net môžu byť skvelí pomocníci pri práci, hlavne ak presúvate neustále súbory medzi niekoľkými počítačmi, no je potrebné mať na pamäti aj riziko straty údajov, ako aj ich odcudzenia. Ak teda chcete na tieto úložiská vkladať citlivé súbory, vždy ich zašifrujte silnou šifrou, čim by ste mohli zaručiť ich bezpečnosť (aspoň nateraz).

Zdroj: Synopsi blog



Ohodnoťte článok:
   
 

24 hodín

týždeň

mesiac

Najnovšie články

EÚ schvá­li­la sys­tém Pri­va­cy Shield na ochra­nu európ­skych dát na ame­ric­kých server­och
Európska únia ukončila rokovania s americkou stranou týkajúce sa odovzdávania osobných údajov spoločnostiam sídliacim v USA. čítať »
 
Hac­ke­ri ov­lád­li dro­ny NA­SA a plá­no­va­li ha­vá­riu Glo­bal Hawk
Hackerskej skupine vystupujúcej pod názvom AnonSec sa podarilo nabúrať do špeciálneho programu na ovplyvňovanie počasia, nad ktorým má v súčasnosti kontrolu americká NASA. čítať »
 
Alian­cii Fair-play a plat­for­me Slo­ven­sko.Di­gi­tal sa ne­poz­dá­va­jú šty­ri IT pro­jek­ty mi­nis­terstiev
Neziskové občianske združenie Aliancia Fair-play (AFP) a Platforma Slovensko.Digital žiadajú ministerstvá vnútra, dopravy a školstva, aby zastavili a prehodnotili obstarávania štyroch veľkých IT projektov, ktoré v rezortoch momentálne prebiehajú. čítať »
 
Mô­že sa zo zmu­to­va­nej zi­ky stať glo­bál­na hroz­ba?
Vírus zika sa začal rýchlo šíriť po celom svete. V teplých oblastiach oboch amerických kontinentov, kam sa dostal začiatkom minulého roka, už možno hovoriť o pandémii. čítať »
 
Jad­ro­vé zbra­ne ma­jú ochrá­niť Zem pred prí­pad­ným ar­ma­ge­do­nom
Aj keď sa o jadrových zbraniach hovorí zväčša v negatívom svetle, vedci v nich paradoxne vidia efektívny spôsob na záchranu Zeme pred prípadnou hrozbou. čítať »
 
Di­gi­tál­na bez­peč­nosť v ro­ku 2016: Inter­net ve­cí, mo­bil­né za­ria­de­nia a ochra­na de­tí
ESET každý rok pripravuje svoj prehľad bezpečnostných tém, ktoré budú v najbližších mesiacoch trápiť bežných používateľov alebo firmy a organizácie. čítať »
 
Len 17-roč­ný mla­dík vy­na­šiel ven­ti­lá­to­ro­vý sys­tém brá­nia­ci ší­re­niu mik­ró­bov v lie­tad­le
Chytiť nejakú chorobu na palube lietadla nie je nič príjemné. Pritom mnohé vírusy nebezpečných chorôb, ako je napr. SARS či vtáčia chrípka, sa v nedávnej minulosti šírili po svete práve prostredníctvom lietadiel. čítať »
 
ESET pri­dá­va do kon­zo­ly vzdia­le­nej sprá­vy ma­na­žo­va­nie iP­ho­nov a iPa­dov
ESET vydáva ESET Virtualization Security. Toto nové riešenie pre VMware vShield nevyžadujúce nasadenie agenta kombinuje využitie ESET Virtualization Security s konzolou vzdialenej správy ESET Remote Administrator tak, aby poskytovalo ochranu oceňovaného skenovacieho jadra spolu s osvedčenou vzdialenou správou. čítať »
 
 
 
  Zdieľaj cez Facebook Zdieľaj cez Google+ Zdieľaj cez Twitter Zdieľaj cez LinkedIn Správy z RSS Správy na smartfóne Správy cez newsletter