Poznańskie Centrum Superkomputerowo-Sieciowe opublikowało niedawno raport dotyczący bezpieczeństwa polskich sklepów internetowych w zakresie ich odporności na manipulowanie intruzów przy mechanizmach sesji i ciasteczkach. Pod lupę wzięto 50 losowo wybranych witryn internetowych umożliwiających dokonywanie za ich pośrednictwem zakupów online. Wyniki testu, jak można było się spodziewać, optymistyczne nie są, ale samo podejście do problemu oraz sposób przedstawienia wyników testu wzbudzają równie duże obawy i wątpliwości.
Czytałem wcześniej kilka opinii na temat tego raportu, słyszałem wypowiedzi dziennikarzy i specjalistów w radiu i telewizji i na tyle mnie temat zaintrygował, że postanowiłem osobiście się również z tematem zapoznać. Wiele tego w sumie do czytania nie ma bo raptem 15 stron – z czego 30% to wielkie wykresy. Jako pierwszy rzucił mi się mi w oczy tekst na stronie tytułowej:
Zespół Bezpieczeństwa PCSS zajmuje się analizami, badaniami oraz konsultacjami w zakresie bezpieczeństwa teleinformatycznego. Bierze udział w wielu europejskich projektach badawczych oraz świadczy usługi w zakresie testów penetracyjnych dla klientów komercyjnych. Więcej informacji na stronach zespołu…
Bardzo to niereklamowe w moim odczuciu. Ewidentnie tekst nastawiony na udowodnienie wszystkim dookoła, że taka instytucja, czy przynajmniej oddział jak Zespół Bezpieczeństwa PCSS jest nam, małym robaczkom, niezwykle potrzebny bo broni uciśnionych i przeprowadza dogłębne testy i wykrywa złych i nieodpowiedzialnych właścicieli sklepów internetowych.
No właśnie – jaki faktycznie jest ten test? Otóż – błahy, płytki, pobieżny i nastawiony pod publikę. Z całym szacunkiem, ale w tego typu publikacjach niedopuszczalne jest, w moim odczuciu, mylenie protokołu HTTPS (czyli HTTP over TLS opisanego w RFC 2818) z S-HTTP (Secure HyperText Transfer Protocol opisanego w RFC 2660) co skutecznie zrobili autorzy na stronie 5. Ponadto ich wnioski i opisy badań są napisane na poziomie sprawozdania z tzw. laborek (ew. laborków) przygotowywanych przez studentów pierwszego roku. Brak jest konkretów, wyczerpujących testów i wyjaśnień oraz ostatecznego podsumowania. Praca jest chaotyczna i do niczego nie prowadząca – a już wzbudzająca tyle emocji. Czy naprawdę wystarczy się nazywać PCSS by móc pisać cokolwiek i w oczach opinii publicznej uchodzić za niepodważalny autorytet odkrywający ponownie Amerykę? Takie raporty mogą wyłącznie zaszkodzić rynkowi e-commerce w Polsce i oby było takowych jak najmniej. Nie twierdzę, że raporty i zestawienia są złe – absolutnie nie! Ale muszą być przygotowane z głową i muszą prowadzić do czegoś więcej niż tylko do zaistnienia w Teleexpresie i w Faktach RMF FM.
Niechętnie bo niechętnie (takich rzeczy nie powinno się dalej rozpowszechniać), ale podaję linka do pełnego raportu: http://security.psnc.pl/reports/sklepy_internetowe_cookies.pdf