Atak XSS możliwy jest wszędzie tam, gdzie gdzie strona WWW wysyła do Klienta niesprawdzony kod HTML pobrany z zewnątrz. Tymczasem serwisy aukcyjne umożliwiają zbudowanie strony "opisowej aukcji przy pomocy kodu HTML. Podobnie ma się rzecz w serwisach randkowych, ogłoszeniowych itd.

Jak to jest z tym bezpieczeństwem?

  Na łamach Aukcje org pojawił się zrzut z ekranu przedstawiający stronę "o mnie", która wyświetlała zawartość pliku cookie odwiedzającego, wraz z kluczem sesji oraz ramką iframe. Mimo że ilustracja zawierała tylko ciąg znaków wyglądających na przypadkowe - demonstrowała coś naprawdę poważnego.

  Kiedy odwiedzamy serwis i logujemy się na swoje konto użytkownika, na naszym komputerze zapisywana jest mała porcja danych - klucz sesji. Przy pomocy tego klucza, serwis przechowuje informację o tym, że jesteśmy zalogowani - tzn. że podaliśmy właściwe hasło i login - samego loginu i hasła zapisany klucz oczywi oczywiście nie zawiera.

  Jeżeli skopiujemy plik zawierający klucz sesji na inny komputer, a sesja pozostanie aktywna - serwis rozpozna ten komputer jako zalogowany. Wtedy oczywiście otrzymujemy dostęp do konta użytkownika, informacji o nim i w końcu samych aukcji. Newralgiczne strony serwisów aukcji bardzo często wymagają ponownego zalogowania.

Rzecznik Allegro w e-mailu do Dziennika Internautów potwierdził, że luka opisana w Aukcje rzeczywiście istniała i została już załatana. Co ciekawe, zademonstrowana technika wykorzystywała, z lekką modyfikacją - błędy o których wspomniany wyżej serwis pisał blisko pół roku temu (sic!)... Nie najlepiej świadczy to o poważnym traktowaniu odkryć osób interesujących się zabezpieczeniami.

Jak wygląda sprawa skuteczności zabezpieczeń?

  Ataki XSS mają wiele wariantów i zabezpieczenie przed wszystkimi może nie być łatwe. Uważa tak m. in. Łukasz Pilorz, który osobiście zidentyfikował kilka rodzajów ataków działających w Allegro i powiadomił o nich platformę aukcyjną. Pilorz przyznaje, że znalezienie działających wariantów luk, które już zgłosił, jest wysoce prawdopodobne. A czy można się przed nimi chronić?

- Moim zdaniem dobrze byłoby informować użytkowników o tym, aby używać serwisów aukcyjnych z wyłączonym JavaScriptem. Na Allegro nie znalazłem takiej informacji - wyjaśnił bohater wydarzeń.

Tymczasem Jacek Strzembkowski, redaktor serwisu Aukcje org, tłumaczy w swoich materiałach, że bezpieczeństwo jest zawsze kwestią kompromisu pomiędzy tym, co bezpieczne, a tym, jak bogate treści może zamieścić użytkownik w serwisie. Pełne zabezpieczenie mogłoby dać efekt nie do przyjęcia, bo czy ktoś chciałby czytać tekst o produkcie bez możliwości obejrzenia zdjęcia?

- Dochodzi jeszcze jedna sprawa - podsumowuje Strzembkowski - Im więcej zabezpieczeń, tym większa iluzja bezpieczeństwa i pewność, że "nic się nie może stać". To usypia czujność. Doniesienia o dziurach powodują wzmożoną obserwację pewnych nietypowych zachowań użytkowników i wydarzeń w serwisie. W takim nadzorze widzę lepsze zabezpieczenie, niż w szybkim i czasem nieprzemyślanym łataniu.
---

Porównywarka zastąpi Pasaż w Interii

Porównywarka cen to nowocześniejszy i bardziej przydatny dla użytkownika produkt niż tradycyjny pasaż - tłumaczą przedstawiciele Interii zastąpienie przez porównywarkę Skapiec.pl dotychczasowego serwisu umożliwiającego dokonanie zakupów w portalu.

Odnowiony serwis Zakupy INTERIA PL, którego serce stanowi teraz porównywarka cen, umożliwia dotarcie do informacji o produktach, pogrupowanych w siedmiu kategoriach: Foto, RTV, AGD, Telefony, Uroda, Biuro i Komputery.

Obok możliwości porównania ceny i parametrów wybranego towaru, Internauci mogą również zapoznać się z warunkami płatności i doręczenia, oferowanymi przez poszczególnych sprzedawców. Przed podjęciem decyzji kupna użytkownicy mają mozliwość zapoznania się z wpisami bazy opinii o konkretnych produktach.

Za bieżącą aktualizację informacji dostępnych w serwisie Zakupy INTERIA PL odpowiada zespół porównywarki Skapiec pl, nadzorujący pracę specjalnego robota, który skanuje ceny produktów w różnych sklepach internetowych i umieszcza je w bazie danych porównywarki.

Aby użytkownik mógł skorzystać z tych zasobów, wystarczy, że wyszuka w katalogu nazwę danego towaru lub wpisze ją w wyszukiwarce. Po chwili otrzyma listę dostępnych ofert i będzie mógł przejść do strony WWW z wybraną przez siebie propozycją.
---

Multiwyszukiwarka aukcji

Serwis Aukcje.org uruchomił testową beta 0.1 wersję multiwyszukiwarki aukcyjnej - Goorol.

Goorol to na prosty mechanizm wyszukiwawczy, przy pomocy którego można przeszukiwać cztery polskie serwisy aukcyjne: Allegro.pl, Aukcje24.pl, eBay.pl oraz Swistak.pl. Po wpisaniu pożądanych słów kluczowych wyszukiwarka zwraca wyniki w postaci liczby aukcji zawierających dane słowa w każdym z wymienionych serwisów aukcyjnych oraz odnośnik do poszczególnych serwisów z wybranymi aukcjami.

  Jak zaznacza serwis Aukcje.org linki do aukcji są podawane w postaci czystej - bez składni Programów Partnerskich, zatem twórca/y (?) narzędzia nie czerpią dochodów z wygenerowanych przekierowań. Ciekawa inicjatywa.
---

IAI-Shop com integruje sklep z Allegro

System obsługi sklepów internetowych IAI-Shop com został rozbudowany o możliwość współpracy z platformą aukcyjną Allegro pl. Dzięki integracji z systemem aukcyjnym użytkownik ma możliwość wystawienia przedmiotu na aukcji, przyjęcia zamówienia, ale co ważniejsze zintegrowaną obsługę z własnym magazynem i jego stanem.

Dzięki tak przygotowanemu przepływowi danych - oprogramowanie w fazie końcowej generuje zamówienie, które jest realizowane tak samo, jak inne zamówienia składane w sklepie. Jeżeli towar nie sprzeda się na aukcji, wraca na stan magazynowy i jest dostępny dla innych klientów. W planach znajduje się jeszcze integracja z kolejnymi platformami aukcyjnymi.
---