[bezpieczeństwo] połączenia nie do końca szyfrowane
Chciałbym zwrócić uwagę na pewną lukę dotyczącą bezpieczeństwa.
Co prawda połączenie z serwerem jest szyfrowane, ale zanim GG11 się z nim połączy, najpierw pobiera jego adres z serwera HUB (appmsg.gadu-gadu.pl). To połączenie nie jest szyfrowane, więc atakujący może kazać się połączyć z dowolnym innym serwerem. Dzięki innym zabezpieczeniom taki atak może się nie udać, ale lepiej dmuchać na zimne, niż później przepraszać.
Ponadto, zapytanie do serwera HUB zawiera informacje, których użytkownik być może nie chce wystawiać na podsłuch w sieci lokalnej (być może publicznej): numer GG, płeć, wiek.
Sugestia: wysyłajcie proszę zapytania do tego serwera przez https. Jeżeli nie ma takiej możliwości, chciałbym usłyszeć argumentację.
Tomek
Co prawda połączenie z serwerem jest szyfrowane, ale zanim GG11 się z nim połączy, najpierw pobiera jego adres z serwera HUB (appmsg.gadu-gadu.pl). To połączenie nie jest szyfrowane, więc atakujący może kazać się połączyć z dowolnym innym serwerem. Dzięki innym zabezpieczeniom taki atak może się nie udać, ale lepiej dmuchać na zimne, niż później przepraszać.
Ponadto, zapytanie do serwera HUB zawiera informacje, których użytkownik być może nie chce wystawiać na podsłuch w sieci lokalnej (być może publicznej): numer GG, płeć, wiek.
Sugestia: wysyłajcie proszę zapytania do tego serwera przez https. Jeżeli nie ma takiej możliwości, chciałbym usłyszeć argumentację.
Tomek
Komentarz