Hmm, czyzby sposob na "darmowe" doladowanie sobie komorki? Na stronach mBanku (http://www.mbank.com.pl/) można doładować sobie komórkę za pomocą usługi mTransfer. Wybór numeru telefonu, na który przelewamy pieniądze, oraz wartość "zdrapki" wybierane są w połączeniu nieszyfrowanym, oraz przez takowe połączenie wysyłane z powrotem (http://www.mbank.com.pl/mobile/pop.html?phone=502866659&amount=25&oper=pop&option=&subm=Doladuj&mode=3&command=CHECK&url=mobile%2Fpop.html), skąd następuje potem redirect do połączenia szyfrowanego. Nigdzie (prócz adresu URL w pierwszej szyfrowanej stronie, na którą jesteśmy przekierowani - kto normalny na to patrzy?) nie jest podany numer telefonu w postaci czytelnej dla użytkownika. Owszem, łańcuch zawierający numer telefonu pojawia się przy ostatnim kroku dokonywania przelewu, ale rzeczą wątpliwą jest, czy użytkownik zwróci na to uwagę - nie jest w żaden sposób wyróżniony.
Tytuł:
ORANGE_P
502866659 ID:05102323232P
Gdzie więc błąd? Złośliwy komputer w sieci może zmienić żądanie HTTP GET wygenerowane przez przeglądarkę podmieniając numer telefonu, a nieświadomy niczego użytkownik dokona przelewu nie wiedząc, że numer został zmieniony.
Sposoby usunięcia? Najlepiej byłoby dokonywać całej operacji wyboru nr telefonu do doładowania w połączeniu szyfrowanym, ewentualnie jako rozwiązanie chwilowe można wyróżnić wizualnie numer w którymś z kroków przeprowadzanych w połączeniu szyfrowanym, i poprosić użytkownika o weryfikację.