Bence
10 °C
25 °C

A BKK webshopja elhasal egy alapvető biztonsági teszten

2017.07.21. 13:40

A weben a biztonságos kapcsolatot a titkosítást és authentikálást SSL vagy TLS rétegnek köszönhetjük. A megrendeléseket, vásárlásokat kezelő webshopok, és még sok más weboldal használja azt a módszert. A meglétét a böngészőben is ellenőrizhetjük ilyenkor a weboldal címe előtt egy https előtag van, illetve a név előtt megjelenik egy kis zöld lakat.

Persze az SSL sem tökéletes, a védettnek mutatkozó weboldalon is előfordulhatnak ismert sérülékenységek.

Ezeknek a sérülékenységeknek a meglétét sokféle eszközzel lehet ellenőrizni. Ilyen például a Qualys-féle ssllabs.com nevű portál, amiről webfejlesztők világszerte azt írják, hogy hasznos, megbízható eszköz. Ezen a portálon a shop.bkk.hu oldal 2017. július 21-én pénteken F osztályzatot kapott. (Itt lehet megnézni a vizsgálatot, de azért készítettünk egy képernyőmentést is róla.)

Képernyőfotó 2017-07-21 - 12.00.36.png

A Qualys teszteredménye arra utal, hogy a BKK szervere sérülékeny lehet a DROWN típusú támadással szemben, és ezen kívül még más hibákat is találni véltek a BKK portálján. Egyelőre várjuk a megerősítést a BKK webshopjának üzemeltetőjétől, hogy igazat mond-e a Qualys eszköze.

Akár igaz, akár nem, ugyanezzel a vizsgálati módszerrel egy hasonló német jegyértékesítési portál egészen kiválónak mondható A+ osztályzatot kap. Megnézünk más, hasonlóan népszerű magyar webshopokat (Netpincér, Bookline stb.), azok is általában A vagy A+ osztályzatot kaptak.

Ugyanezt a tesztet a BKK webshopján szerdán is elvégeztem, és kitettem a képernyőmentést a Facebook-hírfolyamomba, mert azt úgyis árgus szemekkel nézik a távközlési cégek, és amikor mobilhálózati hibáról írok, ott mindig gyorsan reagálnak. A hibát közvetlenül jelezni nem akartam

mert ki tudja, hogy elvihetnek-e a rendőrök egy ilyen miatt?

Ezúton is szeretném tehát kérni az olvasóimat, hogy ne próbálkozzanak DROWN támadással a shop.bkk.hu oldalon, csak mert azt olvasták az Index.hu-n, hogy ez lehet, hogy eredményes lenne! Fogadja el mindenki, amit a BKK mond, hogy a webshop biztonságos.