Serwis Secunia donosi o błędzie pozwalającym niepowołanym osobom poznać dane dotyczące numerów kart kredytowych czy haseł. Problem polega na tym, że okienko dialogowe JavaScript nie informuje skąd pochodzi. Możliwe jest więc stworzenie takiej strony, która na innej stronie wyświetli okno dialogowe z prośbą o podanie hassła czy numeru karty. Problem dotyczy praktycznie wszystkich przeglądarek - Internet Explorer, Opera, Safari, iCab, Mozilla / FireFox / Camino. Firma Microsoft nie zamierza w Internet Explorerze nic poprawiać, aby "nie zmniejszać funkcjonalności" programu.
Szczegóły i przykład działania luki: Secunia
Uaktualnienie: W najnowszej wersji Opery (noszącej numer 8.01) ten błąd został usunięty.
problem nie dotyczy opery 8.01
czy w operze okienko informuje sk±d pochodzi?? czy jest inny mechanizm, który zapobiega "kradzie¿y" nr karty lub has³a??
w operze 8.01 okienko informuje gdzie siê urodzi³o 😉
Bill ju¿ zak³ada oddzia³ firmy zajmuj±cy sie kolekcjonowaniem kasy ze swej funkcjonalnej przegl±darki.
My¶lê, ¿e powinno byæ jakie¶ unormowanie prawene dotycz±ce licencji i gwarancji dzia³ania takiego programu. Producenci zaznaczaj±, ¿e nie ponosza odpowiedzialno¶ci itp. Wychodzi na to, ¿e p³acimy tyko za utrzymanie standardu, a wielokrotnie dziadoskie programy , za które zap³acilismy duzo pieniêdzy i przez których b³êdy ponie¶li¶my straty musz± nadal u nas pozostaæ bo tego wymaga w³a¶nie standard…
Kto¶ powinien unormowaæ fakt, ¿e je¶li program nie posiada obiecanej funkcjonalno¶ci to jego autor lub w³asciciel licencji lub patentu musi usun±æ wadê lub w przypadku gdy z jego bezmy¶lno¶ci co¶ siê popsu³o to ma obowi±zek ponie¶æ koszt naprawy.
To zdecydowanie podnios³oby koszt programu, ale wtedy ponownie otwarliby¶my rynek dla konkurencji bo znów by³by grunt do rozpoczêcia walki o klienta. W efekcie koñcowym konsument by skorzysta³…
Tak sie zastanawiam… heh… przecie¿ to nie jest b³±d! Przecie¿ tak by³o zawsze… b³±d jest po stronie programistów, którzy u¿ywaja tak niebezpiecznych rzeczy jak JavaScript… Nierozumiem po co JavaScript do wysy³ania has³a lub numeru karty…
mo¿e nie programi¶ci banków ale z³odziejaszki w usa maja pole do popisu. podejrzewan, ¿e 90% "mondrali" za oceanu wpisuje te numery gdzie s± miejsca do wpisywania bez odrobiny wyobra¼ni o co zreszt± z³odziej± chodzi.
"Firma Microsoft nie zamierza w Internet Explorerze nic poprawiaæ, aby "nie zmniejszaæ funkcjonalno¶ci" programu."
chyba funkcjonalno¶ci dla z³odziei, a nie zwyk³ego u¿ytkownika. 😐
w koñcu kradzie¿ to te¿ jaka¶ funkcja … z jednej strony rozumiem, ¿e nie mog± tego blokn±æ bo wiele rzeczy ju¿ nie zadzia³a, ale tu w³a¶nie widaæ polityke MS. Jak co¶ nie dzia³a poprawnie to zablokowaæ, bo napewno nie ma co poprawiæ dzia³ania tego czego¶ … w sumie po co … ludzie i tak kupi± …
Czemu odpowied¼ Mikroszita w tej sprawie mnie nie dziwi ? Heh ju¿ wiem bo oni zawsze wszystko olewaj±. I nie przejmuj± siê tym bo i tak ich 'produktów’ u¿ywaj± miliony. Niestety…
"… podejrzewan, ¿e 90% "mondrali" za oceanu wpisuje te numery gdzie s± miejsca do wpisywania bez odrobiny wyobra¼ni… " (Igloo) -> Czyli poprawienie tej luki i tak nie wiele pomo¿e bo ludzie i tak w wiêkszo¶¶ci nie sprawdz± gdzie wpisuj± dane, nawet jak bed± mieli taka mo¿liwo¶æ…
Trza bêdzie chyba siê powoli do OPERY PRZYZWYCZAJAÆ.
a ja proponujê nowe has³a reklamowe dla MIKROSZOFTU, np:
DZIADOSTWO to STANDARD
Z£ODZIEJSTWO to FUNKCONALNO¦Æ
wg prawa, pieni±dze które s± w banku ¶± pod jego odpowiedzialno¶ci±, wiêc dopóki upowa¿niony nie we¼mie kasy do "³apy" i jej nie wyniesie po za bank, to gdy mu zginie odpowiada za to bank (je¶li nawet nie¶wiadomie upowa¿nimy zlodzieja np daj±c mu pin karty, to oczywi¶cie odpowiedzialno¶ci banku nie ma) wiêc je¶li ja nie udostepniê np pinu, a jaki¶ cwaniaczek jakim¶ super generatorem go uzyska, to nie mi ginie kasa z konta tylko bankowi.
Reasumuj±c, je¶li bank udostepnia obs³ugê konta przez internet i nakazuje korzystaæ z oprogramowania które umo¿liwia w³amanie, to stratê ponosi bank. i skoñczy sie na tym, ¿e albo banki wymusz± poprawê oprogramowania, albo skoñczy siê internetowy bank 😛
Opery to te¿ dotyczy , z tym ze Opera 8.01 wy¶wietla szczegó³owy adres wywo³ania… , ¿eby tylko takie dziury by³y , kto przy zdrowych zmys³ach da siê nabraæ , jaka powa¿na witryna bêdzie od nas ¿±dac poufnch danych prze Javascript? .
Nie mniej dziura jest , trza czekac na ³akti
@Lesli
sk±d ta teoria ?
najpierw trzeba udowodniæ, ¿e to nie nasza sprawka, a korzystaj±c z dostepu przez internet nie jeste¶my w stanie udowodniæ, ¿e nie dali¶my has³a komu¶ innemu. Rejestr systemu bankowego musi jednoznacznie wskazywaæ na w³amanie – inaczej to kradzie¿ naszych pieniêdzy z naszego konta …
Opera rulezz najlepsza przegladarka i czesc:P
przegl±rka Maxthon (bazuj±ca na IE) pokazuje dok³adnie sk±d pochodzi monit :]