免责声明:我是潘多拉的忠实粉丝。我一直是一个倾听的人数十年或更长时间,即使在有任何真正的动机之前,我也开始支付年度订阅,仅仅因为我喜欢这项服务并希望它成功。这篇文章并不是关于Pandora,Per-SE,而是关于行业的常见反模式。
星期五,我在浏览器中打开了Pandora.com。与我在后台抛出其玩家标签的正常模式不同,我决定单击一下(我在稍后测试新的Chrome扩展名)。我立即注意到,玩家页面通过不安全的HTTP提供,我皱起眉头。
然后我点击了设置:
我很失望地看到页面仍然在HTTP上,页面中显示了个人信息:
不好。虽然我对网络窥探者的混合感情了解我正在听的内容,但我肯定会对他们可以看到我的电子邮件地址,诞生年份,邮政编码等的想法感到不舒服。通过安装令人担忧,我点击了计费链接:
好的,所以这不好。我的全名,邮政编码,八位数字的信用卡号,其到期都在通过未受保护的频道传递的页面中显示。任何网络Snooper都可以窃取此信息,或提示我有关它的更多信息,就好像它是合法站点一样。
也许更加陷入困境是右下方的小徽标,向我保证我的信息是安全的:
好的,所以在这里发生了什么?我以前遇到的网站没有用HTTPS保护,但看到合法的网站声称它在不是时,它是相对罕见的。潘多拉的一家公共公司超过十年年,价值超过2,500,000,000美元。
也许小提琴手会揭示一些有趣的东西。结算页本身介绍http:
...但它实际上并没有包含我的私人数据。相反,我的私有数据被拉为来自HTTPS URL的JSONP响应:
因此,我的私有数据不会以明文以网络传输。安全,对吗?
不,不是那么快。
这里的第一个问题是,这是JSONP数据,这意味着未激励调用页面可以访问所有数据 - jsonp正在用于规避相同原始策略。因此,虽然基于网络的攻击者无法直接从线读取我的数据,但他可以简单地重写HTTP页面本身以泄漏数据。
此外,作为用户,我没有任何方式知道本页的哪些部分是值得信赖的并且哪些不是。因此,此页面上的攻击者注入脚本可能会要求密码,合理的人可能会键入它。我在花费20分钟时呻吟着它,但事实证明我甚至不必......原始的HTTP页面本身可以要求密码!
用户无法知道这是否是一个合法密码提示,它将安全地处理用户的密码,或者网络上的攻击者注入的假。
在这一点上,我会看到它,并决定在潘多拉联系安全人士。不幸的是,RFC2142推荐的电子邮件地址security@pandora.com只是弹跳:
我也看看了Hackerone目录,但不幸的是潘多拉没有进入。好的,定期支持渠道的时间。星期五下午,我将以下消息发送给客户支持:
安全错误
您的网站需要为所有页面使用HTTPS。今天设计的方式允许攻击者窃取所有私人信息(信用卡数字,到期,电子邮件地址,音乐选择等)。
- 劳伦斯
大约22小时后,我收到以下响应:
你好埃里克,
谢谢写作!
像这些天的许多网站一样,默认情况下我们只使用SSL加密(“HTTPS”连接背后的实际uck-the-hol-theal-the-hold-the-hold技术),了解我们的页面的部分,接受或传输财务数据。这在我们的最终和您自己的浏览器中节省了大量的开销,通过传输大多数页面 - 背景颜色,潘多拉徽标映像等,通过非安全(普通Web“HTTP”)连接。
VeriSign标识和“具有良好的站立”帐户状态我们与它们(您可以看到单击我们的付款页面上的Verisign徽章时),表示我们真的加密该页面的部分(如信用-card-entry字段)需要加密。
您可以在这里看到:https://trustsealinfo.verisign.com/splash?格式_file=fdf/splash.fdf&dn=www.pandora.com&lang=en
作为额外预防措施,只要您在网站上付款或更新您的信用卡信息时,您就可以手动加载https://pandora.com。
您还可以使用PayPal升级,而不是与我们输入您的卡信息。
如果您对此有任何其他问题,请告诉我。再次感谢您的支持!
呻吟。也许关于这个响应的最糟糕的部分是很明显,我不是第一个抱怨这个的问题。
好的,让我们逐点点:
像这些天的许多网站一样,默认情况下我们只使用SSL加密(“HTTPS”连接背后的实际uck-the-hol-theal-the-hold-the-hold技术),了解我们的页面的部分,接受或传输财务数据。
确实有些网站遵循这种不安全的实践,但它们几乎都容易受到多种形式的攻击。超出了一个活跃的中间的威胁,明文进行大多数交易意味着我的ISP(或沿着网络路径的人)可以对我进行简介(学习我听取的艺术家)并销售该数据到广告商。
我们不需要rathole,即Pandora服务器甚至不再支持SSL,只允许TLS1和更高版本。
专家提示:如果您认为您聪明的巧妙地安全地加密您的Web应用程序的一部分,那么您几乎肯定是错误的。
这在我们的最终和您自己的浏览器中节省了大量的开销,通过传输大多数页面 - 背景颜色,潘多拉徽标映像等,通过非安全(普通Web“HTTP”)连接。
首先,TLS快速。其次,如果一个站点发送一个无休止的6MB MP3文件的流程需要优化性能,那就不太可能“背景颜色”是真正的问题。如果它是,使用2.1K文件,它在视觉上与246K文件相同,可能是一个很好的开始,就像缓存超过一天的那样。但我倾斜。
VeriSign标识和“具有良好的站立”帐户状态我们与它们(您可以看到单击我们的付款页面上的Verisign徽章时),表示我们真的加密该页面的部分(如信用-card-entry字段)需要加密。
您可以在这里看到:https://trustsealinfo.verisign.com/splash?格式_file=fdf/splash.fdf&dn=www.pandora.com&lang=en
这里引用的“VeriSign Logo”实际上是一个“由Symantec提供支持的Norton”徽章。我怀疑代理人有错误的文本,因为他们已经复制/粘贴了多年的不正确的信息。
这个徽章实际上意味着他们有证书,而不是他们正确使用它。证书颁发机构无法验证您是否正确执行HTTPS。“良好的站立”意味着只有在购买证书时才清除了您的支票。
作为额外预防措施,只要您在网站上付款或更新您的信用卡信息时,您就可以手动加载https://pandora.com。
最后,我们有一段新信息 - 网站可以通过HTTPS获得。sorta。
安全不应该是可选的; Pandora不应要求用户安装浏览器附加组件(例如,到处都是HTTPS)或记住每次键入HTTPS以保持其信息安全。
我通过电子邮件发送回来并表示响应不准确,并要求我的机票升级到潘多拉的安全团队。
很抱歉听到你觉得那样,埃里克。
感谢您与我们的写作和分享您的想法。无论是积极还是负面,我们都会从听众中取得反馈。不幸的是,我目前无法与我们的安全团队联系。
所以,这是一个禁忌。
专家提示:除非您希望您的FrontLine用户支持团队Triaging Security漏洞报告,否则获取Hackerone帐户并挂钩安全@别名。
由于我承诺这篇文章不仅仅是关于潘多拉,这里有两个截图:
这是2016年。糟糕的演员都通过网络。证书是免费的。TLS很快。客户值得更好。
编辑注意:这个故事最初出现在Eric Lawrence的个人博客上,文字/平原。这是一个个人帖子,代表了他自己的观点,而不是他隶属于于的任何组织的观点。
Eric Lawrence是一个专注于Web安全的软件工程师。他目前在Google和Bayden系统工作,以前在Telerik和Microsoft工作。他博客文字/平原。你可以在推特上关注他:@erylaw。
