Paweł Goleń, blog

Jak wiecie coś, co kiedyś nazywało się Alior Sync obecnie nazywa się T-Mobile Usługi Bankowe. Moje poczucie estetyki (tak, wbrew pozorom jakąś estetykę jednak mam) zostało brutalnie zgwałcone przez nową skórkę. Podobnie się czułem gdy Era zmieniała się w T-Mobile. Ale ja nie o tym.

Wpisuję w przeglądarkę kulturalnie adres https://online.sync.pl, co się dzieje? Serwer kulturalnie mówi mi, żebym sobie poszedł. Ale, kulturalnie, bo mówi mi gdzie mam sobie pójść:

HTTP/1.0 302 Found Location: https://www.t-mobilebankowe.pl/hub/index.html Connection: Keep-Alive Content-Length: 0

Moja przeglądarka jest równie kulturalna co serwer, więc podąża za przekierowaniem i pokazuje mi jakże piękną stronę z informacją o zmianach. Oraz informację, że zaraz zostanę przekierowany. Gdzie? Cytuję:

Tak proszę państwa, zostanę przekierowany na stronę, która jest serwowana po HTTP. Oczywiście na tej stronie są piękne buttony do logowania, które z kolei przekierowują na stronę dostępną po HTTPS.

To teraz w ramach niedzielnej kreatywności proszę we własnym zakresie wymyślić sobie scenariusz ataku wykorzystujący takie a nie inne zachowanie. Dziękuję.

Oryginał tego wpisu dostępny jest pod adresem Kapcie mi spadły. Naprawdę.

Autor: Paweł Goleń