Sites seguros?

Parece que nos EUA se pode ser pago para fazer sites governamentais “seguros” e não se perceber nada do assunto. Um exemplo disso é este site que tem um login para acesso a uma área de clientes… e é feito em javascript puro a correr do lado do cliente.

Vendo o HTML da página podemos ver o seguinte:

<script language="javascript">
<!--///*This Script allows people to enter by using a form that asks for a
UserID and Password*/
function pasuser(form) {

   if (form.id.value=="zzzzzz") {
      if (form.pass.value=="fffxxx") {
         location="http://officers.federalsuppliers.com/agents.html"
      }
      else {
         alert("Invalid Password")}
      }
   else {
      alert("Invalid UserID")
   }
}//--></script>

Genial, além de não só qualquer pessoa poder ver o username e password, também vê a página para a qual é redireccionada se acertar nestes valores, por isso o esforço para entrar é mínimo.

Entretanto a página supostamente privada já foi removida online, e as passwords alteradas, mas continuam expostas no script lol. A história detalhada aqui.

This entry was posted on March 01st, 2008 and is filed under Internet, Security. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response or Trackback from your own site.