PayPal opravil chybu umožňující cross-site scripting

Do stránek PayPal bylo možné vložit škodlivý kód. Podle certifikátu byla přitom stránka stále bezpečná, protože její URL začínalo na https://www.paypal.com. Protokol SSL ovšem nebyl dostatečnou ochranou.



PayPal ve svém systému opravil kritickou chybu umožňující cross-site scripting. Zranitelnost to byla o to vážnější, že by před ní neochránily ani certifikáty Extended Validation (EV) a uživatelé by s nimi naopak měli falešný pocit bezpečí. Do stránek PayPal bylo možné vložit škodlivý kód. Podle certifikátu byla přitom stránka stále bezpečná, protože její URL začínalo na https://www.paypal.com. Protokol SSL ovšem nebyl dostatečnou ochranou.
Na chybu upozornil Harry Sintonen vystupující pod přezdívkou Piru. Ukázal, jak může pomocí vloženého kódu vypsat text na obrazovce uživatele. Společnost eBay, pod níž PayPal spadá, problém odstranila v několika dnech a soudí, že nedošlo k žádnému zneužití.
Každopádně problém ohrožující uživatele s certifikáty EV by byl pro PayPal o to trapnější, že firma na této technologii staví své zabezpečení a dokonce uživatelům nedoporučuje používat prohlížeče, které Extended Validation nepodporují.

Zdroj: Computerworld.com

Viz také
PayPal zablokuje starší prohlížeče, nové Safari ne
PayPal bojuje autentifikací e-mailů proti phishingu
PayPal nedoporučuje používat prohlížeč Safari










Komentáře