Posta.hu Nyomkövetés "Info Leak"

 ( rodneymullen2 | 2018. január 11., csütörtök - 17:03 )

Mivel mindenki olvasta az index cikket ami ebben a formában jelent meg (2017.12.08): https://index.hu/tech/2017/12/08/hatalmas_biztonsagi_res_tatong_a_magyar_posta_honlapjan/

Ez a biztonsági hiba jelentve lett már Szeptember 5.én, de válasz természetesen nem jött a levélre. Aztán az index felkapta a dolgot mert más is észrevette a hibát.
A posta.hu ideiglenesen megoldotta a hibát azzal hogy mindenki aki Safari user agentel nézi meg az oldalt annak "letiltották" a nyomkövetést és a főoldalra irányították vissza.

Mi volt a hiba? Ha a nyomkövetésnél lekérted a csomagod adatait akkor kidobta a csomagod adatait ergo Work as Designed. Viszont ha nyomtál rá egy frissítést (F5) akkor automatikusan átdobott egy másik valid csomaghoz és az adataihoz. Ez csak MAC/SAFARI usereknél jött elő. Még egyelőre nem tudni hogy miért csak náluk. Windows-on Safarival nem sikerült reprodukálni, amivel viszont tesztelve volt és ment: MacOS High Sierra / Safari Version 11.0.2 (13604.4.7.1.3).

Ha valakinek van ötlete hogy hogy lehetséges ilyen kódot írni, vagy sejti hogy mi volt a Mac/Safari usereknél ami ezt generálhatta azt szívesen fogadom.
(Próbáltam hogy egy másik gépről csinálok egy valid lekérdezést hogy a hiba az utoljára lekért csomagokat dobja be, de sajnos teljesen random csomagok voltak.)

Kép forrása twitter:

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

egyelore

t

köszi, javítottam. Tuti van még hiba benne.

Olyat probaltal, hogy mac-es safarin a user agent string atallitasa utan mit csinal? (nemtom ott at lehet-e allitani, altalaban eleg butak a mac-es programok, a felhasznaloik szinvonalat celozzak be)

Egyebkent passzolom, valami cache-eles lehet a bug mogott. Nyilvan kod es hozzaferes ismereteben pontosabban lehet tippelni. Minimum egy logot beallithatnanak az IIS-ukon (legalabb arra az egy ajax hivasra).

Mennyiben terhet el a safari kodja macen es winen? Mondjuk a textarea-ban a sorveget lehet, hogy maskepp kuldi az alatta levo os-tol fuggoen? (szabvany szerint \r\n)

--
Any A.I. smart enough to pass a Turing test is smart enough to know to fail it. -Ian McDonald

"Mennyiben terhet el a safari kodja macen es winen?"

Annyiban minimum, hogy Windows-ra a legutolsó elérhető Safari verzió a 2012-ben kiadott 5-ös, míg macre azért frissítgetik, most már a 11-es verziónál tart.

Akkor nem sokat er az osszehasonlitas. Kb. az Ultrasparcon futo Solarisos IE5 szintje.

--
Any A.I. smart enough to pass a Turing test is smart enough to know to fail it. -Ian McDonald