2011
03.28

Comodo triple-fail

Kategoria: Fail, Mini posty / Tag:  / Dodaj komentarz

Czytając kod słynnej biblioteki TrustSSL.dll zauważyłem dosyć ciekawe podejście tej firmy co do bezpieczeństwa. Moją uwagę przyciągnęły te linijki:

string[] stringArray1 = new string[] { "loginName0x03d", this.login.ToString (), "&loginPassword0x03d", this.password.ToString (), "&", data.ToString () };
string string1 = string.Concat (stringArray1);

Jak nieliczni zauważyli, escapowanie danych zgubiło się gdzieś po drodze… Jak widać pan „comodohajker” nie poszalał zbytnio, gdyż hasła musiały byś naprawdę proste (gdyby zawierały znaki specjalne, np. znak &, spacje itd. spowodowałoby to „niedziałanie” i zostałoby to załatane)…

Wnioski?

Jeżeli wszędzie zachowywali tak wysoki poziom, to nie dziwie się, że znalazł się ktoś, kto wykorzystał ich lekkomyślność…

Do tej pory 2 comments

Dodaj własny komentarz
  1. Tei powiedział: 2011.03.29 01:03

    O myślałam, że to niebezpiecznik, a nie ktoś zrobił swój blogasek…

  2. admin powiedział: 2011.03.29 09:45

    no wiesz.. problem tkwi w tym, że ten blog powstał przed niebezpiecznikiem…

Twój komentarz