Zakupy internetowe stały się w ostatnich miesiącach masowe. Najlepszym dowodem tego faktu okazała się przedświąteczna blokada Poczty Polskiej spowodowana olbrzymią ilością przesyłek zakupionych przez klientów w sklepach internetowych. Do zakupów zachęcały niskie ceny (niekiedy nawet kilkanaście procent niższe) oraz możliwość porównania wielu ofert.

Niestety dokonując zakupów przez Internet ujawniamy wiele informacji o sobie, które są łakomym kąskiem dla  wszelkiej maści agencji reklamowych, konkurencyjnych sklepów czy urzędów skarbowych. Jednak z tych samych informacji spory pożytek będą mieli także cyberprzestępcy, którym mogą posłużyć one w namierzeniu potencjalnej ofiary.

Mając na uwadze powyższe zagrożenia, Zespół Bezpieczeństwa PCSS (Poznańskie Centrum Superkomputerowo – Sieciowe) przeprowadził test 50 wybranych sklepów internetowych w celu sprawdzenia, na ile bezpieczne jest dokonywanie zakupów w tej formie. Sklepy zostały wybrane w losowy sposób spośród istniejących polskich rozwiązań tego typu. Organizatorzy testu nie ograniczyli się do konkretnego typu sklepu, nie była również brana pod uwagę platforma serwerowa, na której zainstalowano dany sklep. Przy wyborze sklepów nie brano pod uwagę też skryptów obsługujących sklepy.

Przeprowadzone badania nie są kompletnymi testami bezpieczeństwa wybranych sklepów. Posłużyły one do sprawdzenia poziomu bezpieczeństwa implementacji mechanizmów tworzenia sesji użytkownika przez skrypty serwerowe.

Powszechnie wykorzystywanym protokołem w Internecie jest HTTP (Hyper Text Transfer Protocol) oraz jego szyfrowany odpowiednik czyli HTTPS (Secure HTTP). Są one protokołami bezstanowymi, to znaczy iż „nie pamiętają” one historii pakietów danych wymienianych wcześniej w ramach konkretnego połączenia. Oba protokoły nie utrzymują również same w sobie informacji o bieżącym statusie konkretnej transmisji. 

Taka sytuacja powoduje duże uproszczenie protokołu HTTP ale niesie ze sobą także i poważne konsekwencje. Wiele aplikacji webowych wymaga bowiem zapamiętania bieżącego stanu połączenia. Te i wiele innych problemów rozwiązuje się, wprowadzając dodatkowe mechanizmy przechowywania danych o połączeniach (tzw. sesjach). Po stronie serwera informacje te są przechowywane najczęściej w plikach, po stronie klienta – w niewielkich strukturach o formacie tekstowym, zwanych ciasteczkami (cookiem). W razie potrzeby serwer webowy – bądź przeglądarka klienta – sięga po cookie skojarzone z potrzebną sesją, odczytuje niezbędne informacje i postępuje w odpowiedni do ich zawartości sposób.

Jak wynika z przeprowadzonych badań to właśnie pliki zgromadzone na serwerach i dyskach twardych użytkowników (cookie) mogą stanowić potencjalne zagrożenie. Częstym błędem osób korzystających ze sklepów internetowych jest zamykanie przeglądarki bez wcześniejszego kliknięcia na przycisk „wyloguj”. Powoduje to pozostawienie plików ciasteczek na dysku komputera, pomimo że ich okres ważności powinien upłynąć wraz z zakończeniem sesji. W wyniku przeprowadzonych badań okazało się, że niektóre takie ciasteczka mogą być przechowywane na dysku twardym użytkownika nawet 7 dni. Równie niebezpieczne są informacje znajdujące się w plikach na serwerach, do których mają dostęp inne osoby poza właścicielami danego sklepu.

Pełen tekst raportu można znaleźć na tej stronie.

Zródło: security.psnc.pl