Sarahah
Indholdsfortegnelse:
Ifølge hvad der kan læses på The Next Web-side, har en britisk forsker rapporteret om adskillige sikkerhedsfejl i Sarahah-applikationen, som er rasende blandt teenagere. Sarahah, på arabisk, betyder ærlighed. Og selvom mange bruger applikationen til at chikanere eller praktisere mobning, er formålet med applikationen præcis det modsatte: at komplimentere vores medmennesker. Sikkerhedsproblemerne, som de refererer til, er udelukkende begrænset til desktopversionen af Sarahah-applikationen, hvilket gør dens mobilversion fri i øjeblikket.
Masser af fejl plager webversionen af Sarahah
Scott Helme, en forsker, fandt ud af, at CSRF-virusbeskyttelsen på Sarahahs hjemmeside var ekstremt let at bryde. CSRF-virussen er enormt skadelig og farlig, idet den er i stand til at tage kontrol over vores konto, udføre operationer, der ikke er relateret til vores brug. En angriber, forklarer Helme, kunne bruge vores konto til at bogmærke andre ukendte konti, for at tjene økonomisk.
Han påpeger også, at en anden forsker ved navn Rony Das i august sidste år også opdagede flere sikkerhedshuller. Specifikt fandt den en XSS-sårbarhed. Kort sagt: en hacker kunne indsætte ondsindet kode i HTML-koden på Sarahahs side, hvilket kunne omfatte virus og spyware.
Andre problemer: Helme identificerede alvorlige fejl i sikkerhedsheaderen, som forhindrer brugen af en HSTS-sikkerhedsprotokol. Dette er et værktøj, der i stigende grad bruges til at bekæmpe kapring af cookies og muligheden for et angreb, der udnytter gamle versioner af nettet. Helmes opgave er at forsøge at få Sarahah til at beskytte sine brugere ordentligt. Som internettet siger, er dens store konkurrent, Ask.fm, et websted fyldt med fejl og sikkerhedsfejl. Så hvad er bedre end Sarahah til at lære af fejlene i denne og blive en sikker webside.
chikane og nedbrydning: faren for Sarahah på nettet
Angående sikkerheds- og antichikanefilteret har forskeren også noget at sige. Han har bemærket, at for eksempel i sætningen 'Jeg ville dræbe for en cheeseburger', ville applikationen slette indlægget, da det finder et negativt ord 'Kill'.Men hvis et komma blev placeret efter 'Ville dræbe', ville applikationen ignorere det. Ja, det er ikke grammatisk korrekt, men beskeden ville komme igennem alligevel.
Og flere fejl: Sarahahs side har ingen grænser for den hastighed, hvormed dens brugere skriver kommentarer, så enhver kan blive udsat for et bombardement af chikane, med en simpel skriftlinje. Sarahah har heller ikke nogen massesletningsfunktion, så hvis vi er ofre for et kommentarbombardement, skal vi slette dem én efter én.
For at nulstille adgangskoden i Sarahah beder hjemmesiden kun brugeren om den e-mailadresse, der er knyttet til kontoen. Efter anmodning genererer systemet en ny og sender den automatisk til brugeren. I denne forstand kunne en hacker ændre en scriptlinje, så adgangskoden ville ændre sig hvert øjeblik, og dermed ville det være umuligt for ejeren af kontoen at få adgang til det.Det samme script kan også bruges til at gøre adgangen til kontoen mislykket, selvom adgangskoden er gyldig. Sarahah låser alle brugerkonti, der har mere end 10 loginforsøg.
Forskeren kontaktede senere Sarahah for at informere hende om alt denne lavine af sikkerhedsbrud i hendes webversion. En undersøgelse, der har taget måneder af hans tid, og som endelig kan gøre Sarahah-applikationen til et fællesskab fri for chikane og overlagte cyberangreb.
