Юмор →
Better Than Nothing Security на примере РЖД
Я думаю многие пользовались системой покупки билетов на поезда через интернет. И я пользовался и не раз. Были разные курьезы конечно… но в целом система клевая. Многи наверное заметили, что на вокзалах в Мск появились электронные терминалы для оформления билетов. Use case таков: я покупаю через интернет сайт билет, печатаю бланк со штрихкодом, иду на вокзал, там подношу к железному мозгу этот бланк, вношу паспортные данные и получаю билет.
Есть одно но, которое меня всегда смущало в этой схеме. Криптографическая стойкость моих паспортных данных. Но все-таки я себя успокаивал — ну найдут на улице мой бланк, ну увидят там мою фамилию, где ж им взять-то мой номер паспорта!
Оформив билет на сайте, этот красивейший сайт предлагает мне сразу же его распечатать. Похвальное рвение! Но есть одно но — не печатает у меня ФФ документы на принтере, ибо ссорятся они с драйвером принтера из-за формата бумаги. Бывает, что ж… я копирую бланк в OpenOffice и печатаю. Думаю так делаю не один я — многие по привычке могут скопировать в офисный пакет и оттуда печатать.
И вот тут начинается самое интересное! Распечатав таким образом бланк я обнаружил на нем… свой номер паспорта! То есть тот, кто держит в руках этот бланк, тот и идет его получать. Увидев такое на бланке я подумал сначала нехорошее в адрес РЖД, а потом присмотрелся к их сайту и увидел следующее в коде:
Там есть просто два блока, в зависимости от режима выбирается либо блок с паспортными данными, либо со звездочки(положение звездочек тоже классно выбрано, с учетом струтуры номер, ага)! В итоге что мы видим — использование CSS как средства скрытия данных, используемых фактически как пароль!
Господа, может я чего-то не понимаю?
Есть одно но, которое меня всегда смущало в этой схеме. Криптографическая стойкость моих паспортных данных. Но все-таки я себя успокаивал — ну найдут на улице мой бланк, ну увидят там мою фамилию, где ж им взять-то мой номер паспорта!
Оформив билет на сайте, этот красивейший сайт предлагает мне сразу же его распечатать. Похвальное рвение! Но есть одно но — не печатает у меня ФФ документы на принтере, ибо ссорятся они с драйвером принтера из-за формата бумаги. Бывает, что ж… я копирую бланк в OpenOffice и печатаю. Думаю так делаю не один я — многие по привычке могут скопировать в офисный пакет и оттуда печатать.
И вот тут начинается самое интересное! Распечатав таким образом бланк я обнаружил на нем… свой номер паспорта! То есть тот, кто держит в руках этот бланк, тот и идет его получать. Увидев такое на бланке я подумал сначала нехорошее в адрес РЖД, а потом присмотрелся к их сайту и увидел следующее в коде:
<td>
<span class=screen>ПН1234567890</span>
<span class=print>ПН*****7890</span>
</td>
Там есть просто два блока, в зависимости от режима выбирается либо блок с паспортными данными, либо со звездочки(положение звездочек тоже классно выбрано, с учетом струтуры номер, ага)! В итоге что мы видим — использование CSS как средства скрытия данных, используемых фактически как пароль!
Господа, может я чего-то не понимаю?
30.11.1999 00:00+0300