Firma PayPal poinformowała o załataniu krytycznego błędu typu XSS (Cross-site scripting), który został znaleziony na jej stronie w ubiegłym tygodniu przez Harry'ego "piru" Sintonena, fińskiego specjalistę ds. bezpieczeństwa. Sprawa jest o tyle nietypowa, że luka znajdowała się na stronie opatrzonej certyfikatem EV (Extended Validation) SSL. I dalej: Pewnym zaskoczeniem jest, że w przypadku PayPala luka znajdowała się na stronie opatrzonej certyfikatem EV SSL - stworzonym m.in. po to, by zagwarantować internautom, że odwiedzana przez nich strona jest bezpieczna. EV jest rozwinięciem zwykłego SSL - PayPal był jednym z pierwszych przedsiębiorstw, które zdecydowało się na wdrożenie tego standardu w swoim serwisie. (źródło)
A co ma wspólnego SSL Extended Validation z XSS? SSL wymaga (pomijam egzotyczne przypadki) certyfikatu serwera. Certyfikat ten potwierdza autentyczność/tożsamość serwera. Certyfikaty EV mają ją potwierdzać "jeszcze lepiej" z uwagi na przestrzeganie bardziej rygorystycznych procedur ALE procedury te nie są w żaden sposób związane z bezpieczeństwem aplikacji. Taka sama sensacja, jak przy podpisanym cyfrowo malware.
Gdyby głupota miała skrzydła...
