Sammon nettisivuista löytyi lisää paikattavaa
0
Tietokone-lehden Tietoja koneesta -blogin lukijat löysivät eilisen illan aikana useampia mahdollisia uusia ongelmia Sampo Pankin uudesta verkkopalvelusta.
Sampo vahvisti eilen korjanneensa blogin lukijoiden havaitseman cross-site scripting -aukon. Blogiin kommentoineet lukijat osoittivat kuitenkin eilen ainakin kaksi samantyyppistä aukkoa web-palvelussa. Nyt havaitut aukot perustuvat samaan perusideaan kuin eilen jo tukittukin.
Sammon mukaan eilen korjattu aukko ei kuitenkaan koskenut verkkopankkia, vaan muita osia nettisivuista.
Kirjoittajien joukkoon kuuluvan Matti Nikin mukaan sivusto on "toteutettu suttuisella ad hoc -arkkitehtuurilla". Nikki arvelee, ettei virheiden korjaaminen yhdessä paikassa korjaa niitä kaikkialla palvelussa. Nikki huomauttaa myös, että samat virheet ovat ilmeisesti löytyneet jo jonkin aikaa Sampo Pankin nykyisen omistajan Danske Bankin sivuilta.
Eräs lukija päivittelee kommenteissa palvelun sivuilta löytyvää satunnaislukugeneraattoria. "Ensin generoidaan javascriptin natiivilla metodilla satunnaisluku, kerrotaan se 1000000:lla, katsotaan tuliko ylivuoto ja jos tuli, käytetään nykyistä kellonaikaa satunnaislukuna", anonyymi kommentoija kirjoittaa.
Arviot haavoittuvuuksissa ovat luettavissa blogikommenteissa.
