Sarahah
Innholdsfortegnelse:
Ifølge det som kan leses på The Next Web-siden, har en britisk forsker rapportert om en rekke sikkerhetsfeil i Sarahah-applikasjonen, som er rasende blant tenåringer. Sarahah, på arabisk, betyr ærlighet. Og selv om mange bruker applikasjonen til å trakassere eller utøve mobbing, er hensikten med applikasjonen akkurat det motsatte: å komplimentere våre medmennesker. Sikkerhetsproblemene som de refererer til, er utelukkende begrenset til skrivebordsversjonen av Sarahah-applikasjonen, og lar mobilversjonen være gratis for øyeblikket.
Mange feil plager nettversjonen av Sarahah
Scott Helme, en forsker, fant ut at CSRF-virusbeskyttelsen på Sarahahs nettsted var ekstremt lett å bryte. CSRF-viruset er enormt skadelig og farlig, og kan ta kontroll over kontoen vår, utføre operasjoner som ikke er relatert til vår bruk. En angriper, forklarer Helme, kan bruke kontoen vår til å bokmerke andre ukjente kontoer, for å tjene økonomisk.
Han påpeker også at en annen forsker ved navn Rony Das i august i fjor også oppdaget flere sikkerhetshull. Nærmere bestemt fant den et XSS-sårbarhet. Kort sagt: en hacker kan sette inn ondsinnet kode i HTML-koden til Sarahahs side, som kan inkludere virus og spionprogrammer.
Andre problemer: Helme identifiserte alvorlige feil i sikkerhetsoverskriften, som forhindrer bruk av en HSTS-sikkerhetsprotokoll. Dette er et verktøy som i økende grad brukes til å bekjempe kapring av informasjonskapsler og muligheten for et angrep som utnytter gamle versjoner av nettet. Helmes jobb er å prøve å få Sarahah til å beskytte brukerne sine ordentlig. Som nettet sier, er dens store konkurrent, Ask.fm, et nettsted fulle av feil og sikkerhetsfeil. Så hva er vel bedre enn Sarahah til å lære av feilene til denne og bli en trygg nettside.
Trakassering og nedbrytning: faren for Sarahah på nettet
Når det gjelder sikkerhets- og anti-trakasseringsfilteret, har forskeren også noe å si. Han har lagt merke til at for eksempel i setningen 'Jeg ville drepe for en cheeseburger', ville applikasjonen slette innlegget, siden det finner et negativt ord, 'Kill'.Imidlertid, hvis et komma ble plassert etter 'Ville drepe', vil applikasjonen ignorere det. Ja, det er ikke grammatisk korrekt, men meldingen ville komme igjennom uansett.
Og flere feil: Sarahahs side har ingen grenser for hvor raskt brukerne skriver kommentarer, så alle kan bli utsatt for et bombardement av trakassering med en enkel skriftlinje. Sarahah har heller ingen masseslettingsfunksjon, så hvis vi er ofre for et kommentarbombardement, må vi slette dem én etter én.
I tillegg, for å tilbakestille passordet i Sarahah, ber nettstedet bare brukeren om e-postadressen knyttet til kontoen. Når det er forespurt, genererer systemet en ny og sender den automatisk til brukeren. I denne forstand kan en hacker endre en skriptlinje slik at passordet endres hvert øyeblikk, og dermed ville det være umulig for eieren av kontoen å få tilgang til det.Det samme skriptet kan også brukes til å gjøre tilgangen til kontoen mislykket, selv om passordet er gyldig. Sarahah låser alle brukerkontoer som har mer enn 10 påloggingsforsøk.
Forskeren tok senere kontakt med Sarahah for å informere henne om alt dette skredet av sikkerhetsbrudd i webversjonen hennes. En etterforskning som har tatt måneder av hans tid og som endelig kan gjøre Sarahah-applikasjonen til et fellesskap fritt for trakassering og overlagte nettangrep.
