Uutiskommentti: Laiska web-koodaus kostautuu
1
Aioin kirjoittaa Danske Bankin ja Sampo Pankin web-sivujen suunnittelumokista, mutta jo perjantain ja lauantain kuluessa on selvinnyt, että ongelmat ovat paljon yleisemmät. Näyttää siltä, että laajoilla web-sivustoilla jonkinlaiset cross-site scripting -haavoittuvuudet ovat hyvin tavallisia. Lienee vaikeampaa löytää sivusto, jossa ongelmia ei olisi. Tänään uutisemme kertoo, että lähes 70 sivustoa on vahvistettu, mutta tämä voi olla vasta jäävuoren huippu.
Sampo Pankki sai kyseenalaisen kunnian toimia varoittavana esimerkkinä. Sivut ymmärrettävästi tökkivät mittavan it-uudistuksen jälkeen tiistaina, jonka myötä harrastelijat ja it-asiantuntijat innostuivat tutkimaan sivujen toteutusta lähemmin. Ensin mielenkiinto kohdistui sivuston käyttämään java-applettiin, joka on jäänyt toistaiseksi vähemmälle huomiolle, mutta nopeasti paljastuivat juuri cross-site scripting (xss) -haavoittuvuudet.
Torstaina levisi linkki samanlaisesta haavoittuvuudesta Tapiolan sivuilla, ja perjantaina Tietokone-lehti kertoi haavoittuvuudesta Nordean e-maksusivuilla. Lauantaiaamuna toimitukseen saapui lista vajaasta 70 sivustosta, jossa sama ongelma oli. Tarkistelin listaa yhdessä tietoturvaa tuntevan asiantuntijan kanssa ja totesin, että lista näyttää pitävän paikkansa.
Suurin osa listan kymmenistä sivustoista on jo korjattu, ja esimerkiksi poliisi.fi-sivustolle korjaus saatiin alkuiltapäivästä. Kysehän ei ole mistään rakettitieteestä. Web-koodauksessa on vain oltu huolimattomia ...
