Pracují pro Živě.cz nejhorší programátoři v ČR?

Žive.cz bylo hacknuto. Autorem hacku je Sysel, který spáchal možný trestný čin a použil (zneužil bych to, v tomto případě, nenazýval) XSS díry v systému, a získal plain-text hesla redaktorů. Ano, čtete správně, plain-text hesla. Být autorem redakčního systému Živě.cz, tak jsem rudý až po uši, protože takováto prasárna by byla velkou ostudou i před deseti lety.

XSS není nic nového, prakticky každý systém byl či je zranitelný pomocí XSS děr.

Nicméně, ukládat (nebo minimálně číst) plain-text hesla do (z) cookies se prostě nedělá. Ony se nakonec neukládají jako plain-text ani do databáze, u slušných systémů, ale vždy jako md5/sha1 hash. A do cookies se nakonec neukládá ani tento hash, ale nějaký jedinečný, náhodně vygenerovaný, klíč pro danou seanci.

Programátor, který je zodpovědný za webovou aplikaci Živě.cz, by měl spáchat sepuku.

Komentáře 76

  1. #1 Filip Kohl ▲24 ▼18

    Skvělé, to když pak tísíce lam používají stejná hesla na všech svých účtech, stačí, aby jen jeden z těch systémů tvořil nějaký prasák a může se těšit na pěknou fakturu.

  2. #2 Radek Hulán autor webu ▲34 ▼22

    [1] BLOG:CMS má historicky taky několik reportovaných XSS děr (v produktech, které obsahuje - PunBB, Singapore), phpBB jich má desítky, de-facto každý produkt, atd., ale nikdy jsem neviděl hesla jako plain-text v cookies...

  3. #3 Miroslav Navrátil ▲17 ▼11

    Ano, s tím souhlasím, díval jsem se na ten článek a je to docela dost slušná nezodpovědnost... Navíc to administrační rozhraní je uděláno divně... Co je třeba datum publikování 6.1.2070?? Nevím, mám pocit, že to tam je už alespoň 5 let...

    Každopádně já docela uvažuju, že bych pomocí js nějak zašifroval heslo ještě před odesláním na server při přihlašování do CMS...

  4. #4 Profi ▲32 ▼11

    Jestli ono to nebude tím, že "špatně placený" nebo "neplacený" programátor nikdy neodvede svoji práci pořádně...

    Pro každé skutečné podnikání je "člověk" nejdůležitější investice. Bez schopných a motivovaných lidí neuděláte nic pořádně - a kapitalismus s vámi zamete. V tom je geniálnost tohoto systému.

    Obyčejný kodér si může vydělat 10-15 000 hrubého.
    Spičkový kodér nebo programátor si vydělá 5x nebo desetkrát víc.
    V připadě prvním jsou tyto "hacky" normální věcí.
    V případě druhém bych to viděl na to Harakiri.

    Teď záleží na tom, který případ je "Živě"...

  5. #5 Miroslav Navrátil ▲24 ▼12

    [5] Určitě nesouhlasím, získat heslo v MD5 je o dost složitější než ho "získat" z plain-textu, pane "programátore"

  6. #6 Miroslav Navrátil ▲19 ▼6

    [6] Mám pocit, že spíše ten první, protože to vypadá dost amatérsky, heslo v plain-textu, které se ještě nechá zobrazit v adminu je amatérismus největšího druhu...

  7. #7 deda.jabko ▲20 ▼25
  8. #8 Radek Hulán autor webu ▲40 ▼19

    [5] skutečně? tak mi napiš zdrojové heslo k tomuto md5: 9f0c2bcbdcae5fb346982ecde2c549ba

  9. #9 Michal ▲7 ▼10

    [5] Ještě si představ, že zpětně získáváš řetězec z md5. A pokud se jedná o super RS se změnou hesla např. každý den (a jsou takové RS), jsi docela časově nahraný.

  10. #10 Miroslav Navrátil ▲13 ▼7

    [9] Dobře, to je hrázení hráchu na stěnu... Je to to samé, jako když si zabezpečíte WiFi pomocí WEP... 99% lidí se k té síti nepřipojí. Nebo ano?

  11. #11 Miroslav Navrátil ▲9 ▼7

    [11] To bych neřešil, takové systémy budou mít těžko MD5, i když...

  12. #12 kirby! ▲8 ▼4

    Snad se z tohoto incidentu poučí a připravovaný rs bude stát za to. Měl by být v provozu začátkem března.

  13. #13 Radek Hulán autor webu ▲20 ▼15

    [12] napadnutí MD5 je stále extrémní teorie, neexistuje jediný praktický postup, jak z MD5 zdrojové heslo v rozumném čase dostat.. WEP se dá oproti tomu napadnout během pár minut.

  14. #14 Miroslav Navrátil ▲8 ▼11

    [18] Ale samozřejmě, jen mě nenapadl nějaký vhodnější případ, nicméně ani jednu věc skoro nikdo neumí...

  15. #15 Marekzprahy ▲39 ▼7

    Mám pocit, že se RH v jedné věci mýlí - pokud jsem četl dobře, tak ze syslova článku nevyplývá, že by se hesla do administrace žive.cz ukladála do cookies v plain textové podobě. Z článku pouze vyplývá, že se přihlašovací formulář plní mimo jiné i hodnotami z cookies (stejnětak z parametrů GET). Zkrátka něco jako register_globals v php.

    Kdyby se přihlašovací údaje ukládaly rovnou do cookies, tak by bylo získání hesel mnohem jednodušší, prostě by se javaskriptem přečetly z document.cookie a nebyla by potřeba ta šaškárna s vložením js kódu do cookies.

    To zase bude lumpů. Teď budou houfy začínajících programátorů zkoušet pomocí XSS hacknout kde co.

  16. #16 Grest ▲10 ▼17

    A co třeba BLOG:CMS? Jak ten ukládá hesla?

  17. #17 Eddie ▲11 ▼20

    [21] Se podívej, ne? Proč je BLOG:CMS asi pod GNU/GPL?

  18. #18 Trupik ▲10 ▼6

    V článku se píše, že Sysel možná spáchal trestný čin. Je to skutečně tak? Myslím právě v tomto případě, kdy nezpůsobil žádnou přímou škodu (předpokládejme).

  19. #19 Miroslav Navrátil ▲12 ▼7

    [21] Myslim, ze bud md5 nebo sha1... Ale nevím, už jej dlouho nepoužívám...

  20. #20 Yossarian ▲12 ▼4

    vuci koliznim utokum je nejvyhodnejsi pouzit sha1 + md5, to se nalezeni kolize posouva nekam do vzdalene budoucnosti. Na samotne MD5 je kolizni retezec generovatelny v relativne kratkem casovem useku, myslim ze behem nekolika mesicu se najde i slabina v sha1, nicmene dohromady je to porad docela solidni ochrana.

    ad xss a ochrana vuci nemu - vzdycky se da xss zabranit, v tomto pripade by stacilo trapne (a vzdy NEZBYTNE) osetreni dat od uzivatele. To ze se heslo da zobrazit z cookies je prasarna nicmene neni to security-flaw.

    btw, ad ukladani hesla v plaintextu .. jsou zakaznici kteri jsou schopni toto vyzadovat. (resp. ziskatelnost TOHO SAMEHO hesla zpet pri zapomenuti)