Re: bphpbk - migracja sez@m mozilla i nieszyfrowane hasło !!!

eGospodarka.pl › Finanse › Grupy › pl.biznes.banki › bphpbk - migracja sez@m mozilla i nieszyfrowane hasło !!! › Re: bphpbk - migracja sez@m mozilla i nieszyfrowane hasło !!!

Path: news-archive.icm.edu.pl!news.rmf.pl!agh.edu.pl!news.agh.edu.pl!news.onet.pl!new
sfeed.tpinternet.pl!atlantis.news.tpi.pl!news.tpi.pl!not-for-mail
From: Marek Madej <m...@w...INTERIA.i-to.PL>
Newsgroups: pl.biznes.banki
Subject: Re: bphpbk - migracja sez@m mozilla i nieszyfrowane hasło !!!
Date: Tue, 20 Jan 2004 12:35:55 +0100
Organization: tp.internet - http://www.tpi.pl/
Lines: 74
Message-ID: <buj3rc$adh$1@atlantis.news.tpi.pl>
References: <s...@c...ita.pwr.wroc.pl>
NNTP-Posting-Host: fideltronik.com
Mime-Version: 1.0
Content-Type: text/plain; charset=ISO-8859-2; format=flowed
Content-Transfer-Encoding: 8bit
X-Trace: atlantis.news.tpi.pl 1074598579 10673 213.25.149.162 (20 Jan 2004 11:36:19
GMT)
X-Complaints-To: u...@t...pl
NNTP-Posting-Date: Tue, 20 Jan 2004 11:36:19 +0000 (UTC)
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl-PL; rv:1.6b) Gecko/20031205
Thunderbird/0.4
X-Accept-Language: en-us, en
In-Reply-To: <s...@c...ita.pwr.wroc.pl>
Xref: news-archive.icm.edu.pl pl.biznes.banki:278814
[ ukryj nagłówki ]
B.Szlachetko dnia 2004-01-20 11:52 napisał(a) co następuje:

> Moja mozilla 1.5 (pod linuxem i pod windows) zeznaje po podani login i
> hasła, że
> "Pomimo tego, że bieżące połączenie jest szyfrowane, wszystkie wprowadzone
> dane zostaną przesłane przez połączenie nieszyfrowane, dlatego
> prawdopodobieństwo ich odczytania przez osoby trzecie jest duże.
>
> Czy napewno kontynuować wysyłanie wprowadzonych danych?"
> W wersji angielskiej komunikat jest bardzo podobny.
> Czy ktoś z was juz sprawdził o co chodzi?
> Czy to możliwe, aby mimo bezpiecznego połączenia na SSL sam formularz
> logowania był przesyłany bez szyfrowania?

Nie jestem wielkim specem od JavaScript, ale wygląda na to, że jednak
jest bezpiecznie.

Trochę NTG, ale wyjaśnię mój tok myślenia (może ktoś mnie poprawi?).

Formularz logowania na "bezpiecznej" stronie wygląda tak:

<form name="login" action="javascript:GetPasswd()" method="POST"
class="logForm">

Natomiast funkcja GetPasswd:

function GetPasswd()
{

mainForm=document.forms[0];
if (mainForm.user.value == "" || mainForm.pin.value == "")
{
alert("Nie wpisano nazwy użytkownika lub hasła!!!");
return;
}
else
{
descrypt=cryptpass(mainForm.user.value, mainForm.pin.value);
md5pin=calcSHA1(mainForm.pin.value+mainForm.user.val
ue);
mainForm.pin.value="";
mainForm.pin5.value=md5pin;
mainForm.action="Login";
mainForm.submit();
}

Czyli:
Po wciśnięciu przycisku "Logowanie" wywoływana jest funkcja GetPasswd
javascriptu. Mozilla zachowuje się nieco paranoidalnie, gdyż "wykrywa"
zmianę protokołu bezpiecznego "https:" na INNY (czyli javascript:), stąd
ten komunikat. Ale do tej pory żadne informacje nie są wysyłane do serwera.

Natomiast w samej metodzie następuje:
-kodowanie "złożenia" pinu i nazwy użytkownika,
-obliczenie skrótu md5 z pinu
(i tylko te informacje są wysyłane)
-zamienienie akcji formularza (tej zdefiniowanej na wywołanie funkcji
javascriptowej) na url "Login".

I tu słaby punkt: wydaje mi się, że skoro nie ma podanego ani adresu
hosta, ani protokołu, tylko nazwa dokumentu (a jest nią "Login"), to
wartości te domyślnie są takie same, jak dokumentu bieżącego.

Konkluzja: po wciśnięciu przycisku "Logowanie" przeglądarka "pokazuje"
stronę o adresie "https://www.bphpbk.pl/pi/Login" z zaszyfrowanymi
parametrami logowania, szyfrując oczywiście całe połączenie.

Jeśli się myle, proszę poprawcie mnie :)

Inna rzecz, że funkcje do kodowania PINu i ID użytkownika są też jawne -
razem z kluczami używanymi do kodowania:

https://www.bphpbk.pl/js/Keys.js

Marek