Problem z resetem hasła na GitHubie: Jak Unicode wpływa na bezpieczeństwo

Problem z resetem hasła na GitHubie: Jak Unicode wpływa na bezpieczeństwo

2019-12-17 14:04 Redakcja

GitHub zidentyfikował poważny problem związany z resetem hasła, który może dotyczyć wielu użytkowników. W przypadku niektórych kont istniała możliwość wysyłania e-maili z tokenem resetującym hasło na inne adresy, co stwarza ryzyko dla bezpieczeństwa.

Podczas próby resetu hasła, GitHub zmienia adres e-mail na lowercase przed porównaniem go z tym, co znajduje się w bazie danych. Problem pojawia się w kontekście Unicode, szczególnie w przypadku znaków takich jak ‘ß’, które po konwersji na małe litery stają się ‘ss’. W rezultacie, użytkownicy z tureckim dotless i, jak w adresie ‘John@Gıthub.com’, mogą napotkać trudności.

Na przykład, jeśli użytkownik założy konto jako mıchal@popularna-domena.com, a GitHub znormalizuje ten adres, to możliwe, że token resetu hasła trafi do michal@popularna-domena.com. Tego rodzaju luka w zabezpieczeniach może mieć poważne konsekwencje, dlatego ważne jest, aby deweloperzy testowali takie przypadki w swoich aplikacjach.

Najnowsze wiadomosci ⚡📰

Nie przegap żadnego trendu, hacka ani dramy w świecie marketingu! 🧠
Mamy już ponad 155 000 artykułów i codziennie dorzucamy 50–100 nowych perełek z SEO, PR, social mediów, reklam, AI i brandingu. Do tego wywiady, nowe narzędzia pozwalające dowieźć wyniki i nutka prawa oraz bezpieczeństwa. Wszystko podane w starupowym sosie, który nigdy sie nie nudzi.
Zapisz się teraz, a Twoja skrzynka stanie się potężniejsza niż raporty z Analyticsa.