Používáte-li záložkovou službu Bookmark.cz mějte se na pozoru. Vzhledem typu této aplikace jsem díky sledování svých refererů objevil chybu, která umožňuje zjistit hesla jejich klientů. A jelikož při používání Bookmark.cz referery generujete poměrně hodně, změňte si minimálně heslo k této službě tak, aby nebylo shodné s jinými důležitějšími hesly.
Sleduji, odkud na Techblog přicházejí návštěvníci a když zjistím, že přijdou z nějaké neznámé stránky, neváhám se podívat, který dobrák na mě odkazuje. Jenže v tomto případě jsem se díky refereru obsahujícím identifikační číslo dostal do účtu jednoho uživatele. Vzhledem k tomu, že jde obyčejnou záložkovou službu, není to příliš kritické, i když docela amatérské. Horší je, že když jsem ze zvědavosti kliknul na nastavení, objevila se mi předvyplněná hesla, což je hodně špatné. Jsou sice “zahvězdičkovaná”, ale pohledem do zdrojového kódu je odhalí téměř každý. Navíc zároveň s heslem zjistíte i uživatelův email.
A vzhledem k tomu, že při používání bookmark.cz vygenerujete refererů hodně, tak každý ze správců stránek, které máte ve svých záložkách může zjistit heslo, které na bookmark.cz používáte. Jestli jste uvědomělý uživatel, který má pro každou službu jiné heslo, můžete být v klidu. Ale troufnu si tvrdit, že drtivá většina lidí to tak nedělá.
Nemám zdání, jak je bookmark.cz využívaný (tipuji že málo), ale přesto těch pár desítek lidí by určitě nechtělo svá hesla vyzradit jen tak někomu. Každopádně si v této službě, pokud ji používáte změňte heslo na takové, které nikdo nikde nemůže zneužít. Mnohem lepší bude, poohlédnete-li se po něčem jiném např. výborném Bloglines.com.
Pro rýpaly dodávám, že jsem 22. 1. 2005 17:22 odeslal mail popisujícím tento problém na emailovou adresu info@bookmark.cz uvedenou jako kontakt a do doby psaní článku se nikdo neozval. “Postiženému” jsem dal na vědomí, že jsem zjistil jeho heslo.
suchosch – WWW – 23.1.2005
mirun – WWW – 25.1.2005
Martin – WWW – 25.1.2005
X – 30.3.2005
Ondrej Brablc – WWW – 14.4.2005
Ondřej Suchý – WWW – 14.6.2005