Alza.cz - informace o tom, kdo je registrovaný - security fail? rubrika: Návrh
Včera při objednávce na alza.cz jsem se zarazil při posledním kroku v "Poděkování za doporučení". Když zadáváte email příjemce, přes XHR se vypalují POST requesty na to, jestli je daný email registrovaný. Pokud není, zobrazí se hláška "Pro vyzvednutí Alzáků se obdarovaný musí registrovat.", viz screen: https://www.dropbox.com/s/b7up0158zdnl1sl/alza.cz-order5.png?dl=0
Sice mají implementovaný Access-Control-Allow-Origin, ale tím, že lze registraci ověřovat takto jednoduchým requestem, nic nebrání tomu, aby si např. Mironet, CZC.cz apod. např. přes konzoli v prohlížeči porovnali svou databázi zákazníků s tou od Alzy a na základě toho jim poslali lákavou nabídku... Popř. se na to lze dívat obecně - nemám zájem, aby si kdokoliv zjistil, zda a kde jsem registrovaný.
HTTP POST
- URL: https://www.alza.cz/Services/EShopService.svc/ValidateMailForAddCredits
- Payload: {email: "foo@bar.com"}
Alza.cz je alespoň konzistentní v tom, že tuto informaci prozradí i přes "Zapomenuté heslo" (stejně jako devel.cz). Namátkou jsem zkoušel i pár dalších eshopů a některé prostě na jakýkoliv input šikovně odpoví "Na daný email jsme vám zaslali...". Chápu, že jsou za tím i UX důvody (člověk by zadával svůj email s překlepem, popř. svůj druhý email a tam, kde by to čekal, nic nepřicházelo) - edit - ale má mít UX přednost před bezpečností?
Otázka je - myslíte si, že je popsané chování správné?
Takovéto formě nepřímé těžby registrovaných e-mailů nelze zabránit, pokud chceme kupříkladu u registrace vysvětlit, že zadaná adresa je už zabraná. A to zpravidla chceme, takže zbývá blokování "útočných" pokusů na jiné úrovni -- frekvenční omezování, blokování IP a podobně.
Pro plný přístup na Devel.cz se prosím přihlaste:
Nebo se přihlaste jménem a heslem:
Komentáře