Lepiej się wyloguj!

Jeżeli nie wylogujemy się z konta i nie zamkniemy wszystkich okien przeglądarki, osoby trzecie mogą mieć dostęp do naszej skrzynki. Wystarczy, że użyją Mozilli bądź Opery.

Problem dotyczy wszystkich systemów pocztowych, a występuje pod przeglądarkami z rodziny Mozilla i pod Operą.

Osoby trzecie mogą mieć dostęp do naszej skrzynki, jeżeli nie wylogujemy się z konta i nie zamkniemy wszystkich okien, z których korzystaliśmy wcześniej. Tym samym jeśli ktoś wpisze w jednym z pozostałych okien adres strony konta pocztowego, może na nią wejść bez wpisywania hasła, bo wszystkie okna współdzielą informacje o autoryzacji.

W portalu Gazeta.pl działa system zabezpieczeń, który automatycznie wylosowuje użytkownika w czasie 10 minut od zakończenia aktywności (sesja na serwerze zostaje wtedy przerwana) - wskazuje Aleksandra Szwiling, rzecznik prasowy Gazeta.pl - Jeśli natomiast ktoś niepożądany dostanie się do konta przed wspomnianymi 10 minutami - jest to jedynie kwestia zaniedbania podstawowych reguł bezpieczeństwa przez użytkownika - na to niestety nie mamy już wpływu.

Sytuacja nie występuje przy korzystaniu z Internet Explorera.

Wczoraj błędnie poinformowaliśmy za Dziennikiem Internautów o istnieniu rzekomej dziury w systemie poczty o2.pl. Okazało się, że nie ma żadnej luki bezpieczeństwa, a sytuacja związana jest z funkcjonowaniem przeglądarek Mozilla oraz Opera i dotyczy każdego systemu pocztowego. Michał Brański, członek zarządu o2.pl podkreślił wczoraj, że nie ma i nie było problemu z pocztą w portalu, a oskarżanie o2.pl o posiadanie dziury w systemie to tak jak karanie za to, że takie są technologie internetowe. Przecież gdyby nie było potrzeby wylogowania się, to przycisk "Wyloguj się" nie istniałby - dodał.

Możliwości dostania się osób trzecich do naszego konta nie ma, gdy zamkniemy wszystkie okna przeglądarki. Po zamknięciu przez użytkownika wszystkich okienek przeglądarki, niezależnie jakiej, nie ma możliwości wejścia na jego konto pocztowe - mówi Mariusz Kuziak, dyrektor marketingu Interia.pl - Nie ma znaczenia, czy użytkownik się przedtem wylogował z konta czy też nie.

Użytkownikom zaleca się pamiętać o potrzebie wylogowania się z konta.

Krzysztof Sierota, członek zarządu o2.pl wyjaśnia działanie przeglądarek w opisanej wyżej sytuacji

Po autoryzacji użytkownika, rozpoznawany jest on na dalszych stronach za pomocą tzw. cookie. Są 2 typy cookie, cookie nadawane czasowo, które ważne jest do określonej daty oraz tak zwane Cookiem sesyjne, które ważne jest do usunięcia bądź zamknięcia przeglądarki.

W przypadku serwisów z autoryzacją używa się cookie sesyjnego. Otóż różnica pomiędzy IE a Operą i Firefoksem polega na tym, że Opera i Firefox po uzyskaniu cookie sesyjnego w jednym oknie przeglądarki, przekazują je do innych okien, natomiast IE w większości wersji utrzymuje je tylko w jednym oknie.

W związku z tym, jeśli użytkownik ma otwarte 2 okna przeglądarki, w jednym zaloguje się na jakikolwiek serwis używający cookie sesyjnego do rozpoznawania użytkownika i bez wylogowania się zamknie to okno, po wpisaniu adresu w drugim oknie, które było otwarte, trafi do serwisu jako autoryzowana osoba.

Wczorajszą, błędną informację o rzekomej dziurze w kontach o2.pl podaliśmy za Dziennikiem Internautów. Za mylącą publikację przepraszamy

Aktualizacja: 20 lipca 2005 19:27

Dodaliśmy komentarze przedstawicieli portali Gazeta.pl oraz Interia.pl.

Aktualizacja: 20 lipca 2005 15:11

Dokonaliśmy modyfikacji w treści tej informacji po dalszym zapoznaniu się z problemem. Jak wskazaliśmy, sytuacja nie dotyczy wylącznie portalu o2.pl, ale innych także.