Webbshopars baksidor

(2002-10-28)

Att starta webbshop har blivit vanligt. Väldigt vanligt. Nästan lite för vanligt kan man tycka när man börjar titta närmare på säkerheten. Kan man verkligen lita på att ens personuppgifter inte kommer i orätta händer? Det borde man kunna, men verkligheten är inte alltid så bra som den borde vara.

Den 17 maj i år tog Expressen upp detta problem och hängde ut ett antal företag som alla hade ett säkerhetshål som gjorde det möjligt för vem som helst att logga in som någon annan. Man kunde se andras adresser, personnummer, telefonnumer, lösenord och även beställa saker.

Säkerhetshålet går under benämningen "SQL injection" och har enbart att göra med klantighet av den som konstruerat webbplatsen. All information som en besökare matar in på en sida måste kontrolleras så den inte innehåller olämpliga tecken innan den skickas till en databas. Glömmer man att göra det har besökaren möjlighet att skaffa sig tillgång till databasen utan att behöva ange något lösenord.

Jag trodde i min enfald att Expressens artikel skulle fungera som en tydlig varningssignal men en av mina besökare har gjort mig uppmärksam på att det fortfarande finns många hemsidor där man lätt kan komma åt information om deras kunder och logga in utan lösenord. Nästan 50 sidor har han hittat hittills och det är säkert långtifrån alla.

Tillsammans med Stefan Grönberg har jag påbörjat en storstädning bland svenska webbsidor för att komma tillrätta med problemet. Vi skickar e-post till de ansvariga för de sidor vi upptäcker med detta problem så de får reda på det och kan fixa det. Om två veckor kommer jag att kontrollera så sidorna har blivit rättade och offentliggöra namnen på dem som eventuellt har struntat i det.

Samtidigt som man inte vill tipsa folk om var det är lätt att bryta sig in så vill man ju varna folk för ställen där säkerheten är låg. Men dilemmat är ju att man antingen får göra både och, eller inget alls. Därför väljer jag att låta företagen få två veckor på sig att fixa det själva.

SQL Injection:
http://www.nextgenss.com/papers/advanced_sql_injection.pdf

Artikeln i Expressen:
http://web.archive.org/web/20020804044103/http://www.expressen.se/article.asp?id=108908

Stefan Grönbergs hemsida:
http://www.tspse.net/