Onet chyba zareagował na wykryte przeze mnie luki. Chciałem poinformować, że żadna z opisanych na tym blogu luk już w onecie nie funkcjonuje, ale niestety to bezpieczeństwo jest zapewnianie naszym kosztem... Użytkownik wysyłający załącznik html spodziewa się, że odbierze załącznik html, a nie zbiór śmieci. Spójrzmy więc na załącznik takiej treści:
<?xml version="1.0" encoding="iso-8859-2"?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.1//EN"
"http://www.w3.org/TR/xhtml11/DTD/xhtml11.dtd">
<html xmlns="http://www.w3.org/1999/xhtml" xml:lang="pl-PL">
<head>
<meta http-equiv="Content-type" content="text/html; charset=iso-8859-2" />
<meta http-equiv="Content-Language" content="pl" />
<title> Dokument testowy</title>
<link href="http://server.com/css.css" type="text/css" rel="stylesheet" />
<script src="http://server.com/srcipt.js" type="text/javascript"></script>
</head>
<body>
<div style="color: green; text-align: center;">Test</div>
<p>
<a href="http://validator.w3.org/check?uri=referer"><img
src="http://www.w3.org/Icons/valid-xhtml10"
alt="Valid XHTML 1.0 Strict" height="31" width="88" /></a>
</p>
</body>
</html>
Jak widzimy jest to jak najbardziej poprawny ( przynajmniej z punktu widziena validator.w3.org) dokument XHTML 1.1. A teraz zobaczmy co otrzymamy od Onetu:
<!-- /ad-config/
[ ad-server-002 ]
group: @stats
/ad-config/ -->
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.1//EN"
"http://www.w3.org/TR/xhtml11/DTD/xhtml11.dtd">
<html xmlns="http://www.w3.org/1999/xhtml" xml:lang="pl-PL">
<head>
</head>
<body>
<div style="color: green; text-align: center;">Test</div>
<p>
<a href="http://validator.w3.org/check?uri=referer" target='_blank'><img src="http://www.w3.org/Icons/valid-xhtml10" alt="Valid XHTML 1.0 Strict" height="31" width="88" /></a>
</p>
</
Jak widzimy część znaczników została zmieniona (choćby w znaczniku a dodano atrybut target, któgo wcześniej nie było!), a część po prostu usunięta. Oczywiście w przypadku tak prostej strony możemy łatwo naprawić wyrządzone szkody, jednakże w wielu przypadkach taka "naprawa" może nam zająć sporo czasu. Poza tym w przypadku bardziej skomplikowanych stron, które używają dużej ilość CSS, JavaScript, itp uszkodzenia są o wiele bardziej rozległe. Rozumiem w pełni, że Onet musi dbać o nasze bezpieczeństwo, a co za tym idzie o swoją reputację, ale nikt nie dał mu prawa ingerowania w treść naszych maili. Po raz pierwszy spotykam się z tego typu praktyką i mam nadzieję, że zostanie to szybko poprawione. Wysłałem już stosowną informację do Biura Obsługi Klientów, jak tylko uzyskam jakąś odpowiedź, zamieszczę odpowiednią informacje. Narazie zalecam dużą ostrożność w wysyłaniu/odbieraniu załączników htm,html, itp w Onecie.
Subskrybuj:
Komentarze do posta (Atom)
2 komentarze:
A dlaczego nie zgłaszasz tego na standardowy i przyjęty adres: abuse(at)onet.pl?
Ponieważ nie znałem tego adresu, a gdy pisałem na jedyny mi znany adres, to nie zyskałem odpowiedzi :)
Prześlij komentarz