Jeśli chcecie mnie wesprzeć to zapraszam do kupna mojego poradnika "Jakim jesteś Makiem?".

Blogger w niebezpieczeństwie →

· Wojtek Pietrusiewicz · 17 komentarzy

Przygotujcie się na największe skurwysyństwo w polskich mediach jakie widziałem…

Tomasz Machała:

Jakiś czas temu Michał odkrył, że może zobaczyć okładkę najbliższego numeru Wprost i Do Rzeczy jeszcze przed publikacją w następujący sposób: wchodzi w weekend do serwisu eGazety.pl, wybiera Wprost, następnie otwiera okładkę w nowym oknie i dodaje +1 do nazwy obrazka. Czyli jeśli było 1751.jpg, następna okładka będzie 1752.jpg. Wydawca wgrywa tą okładkę na serwer wcześniej, nie ustawia hasła, więc każdy kto tak zrobił mógł zobaczyć kolejną okładkę.

A więc były to publicznie dostępne okładki, do których Michał się dobrał …

Dwie spółki: AWR Wprost oraz ORLE PIÓRO zagroziły Michałowi Olechowi pozwem za to, że ujawnił coś, co one same wcześniej ujawniły. Niestety nie jest to żart prezesa Michała Lisieckiego, ale szczera prawda.

A tutaj macie wspomniane brzydkie zachowanie. W głowie się nie mieści …

Chcesz zwrócić mi na coś uwagę lub skomentować? Zapraszam na @morid1n lub na forum.

  • No nic tylko pogratulować Panom tak fantastycznej decyzji. Skoda słów.
    Gdyby w moim serwisie były takie „zabezpieczenia” administrator już by siedział na dywaniku i się tłumaczył.

  • dc

    „§ 1. Kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej, otwierając zamknięte pismo, podłączając się do sieci telekomunikacyjnej lub przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. ”

    Mamy stronę zabezpieczoną formularzem z hasłem, api z tokenem w url i zasób pod specyficznym urlem. Kiedy omijamy informatyczne zabezpieczenie a kiedy nie? Ciężko stwierdzić jak to jest w świetle prawa.

  • To nie ma zastosowania. Nic nie omijasz. Okładki są szeroko otwarte na świat. Wystarczy w URLu zmienić numerek kolejny.

  • dc

    Ma zastosowanie, bo to idiotyczny przepis jest. Wróć, to dobry przepis, jeśli chodzi o intencje, ale ciężko go zinterpretować w konkretnym przypadku. W eksperymencie myślowym, który zaproponowałem jedynym czynnikiem odróżniającym ten przypadek od pozostałych jest to, że to w jakiś sposób ustalony dobór parametru. Ale jednocześnie mnie to przeraża, że to jedyny czynnik różniący to od preparowania tokenów do api a stąd krok od wypełniania formularzy z hasłem. Technicznie to się minimalnie różni a przepis nie daje innej wykładni niż techniczna. Jest problem.

    I tak, ten przepis może zostać sprowadzony do absurdu, gdy pozwiemy kogoś, kto wszedł na naszą stronę.

  • Jakiś czas temu Michał odkrył, że może zarejestrować pobrany z internetu program jeszcze przed jego kupieniem w następujący sposób: wchodzi na stronę rejestrowania programu, wie jak autor aplikacji nadaje numery seryjne, wystarczy coś tam zmienić w numerku i gotowe! Każdy mógł tak zrobić…

  • Jakiś czas temu Michał odkrył, że może wejść do sklepu w poniedziałek rano przed jego otwarciem w następujący sposób: wchodzi w weekend do toalety, wybiera pustą kabinę i się w niej zamyka. Właściciel zamyka sklep, nie zamyka toalety, więc każdy kto tak zrobił mógł wejść do sklepu, a następnie udostępnić towar klientom zanim zrobił to właściciel.

    No tak, typowa mentalność złodzieja. Wystarczy przecież podejrzeć, zobaczyć jak działa, spróbować czy da się to wykorzystać i dostać coś, co nie jest dla mnie przeznaczone – tu uchylone okno, tam torba leży na siedzeniu w
    samochodzie, ktoś nie zamknął za sobą klucza w mieszkaniu jak wychodził… A potem argument, że przecież „każdy mógł”, wystarczyło tylko podejrzeć i zauważyć. Oczywiście, że „każdy mógł”, ale jakoś nie każdy z nas tak robi…

  • Niestety Twoje porównania są nieodpowiednie. Próbuj dalej.

  • Plik umieszczony na serwerze, dostepny publicznie i w zaden sposob nie zabezpieczony. Badzmy realistami nie ma tu mowy o omijaniu zabezpieczen jesli ich nie ma.
    Na dobra sprawe taki obrazek mozesz nawet wygooglac… Proponuje wiec aby WPROST pozwal takze Googla…
    Kiedy buduje sie strony, wlasnie na takie rzeczy zwraca sie uwage. Ostatnio mialem podobny problem, wasnie z nazwami plikow. Najprostszym rozwiazaniem jest zastosowanie generatora losowych nazw w uploaderze i wtedy mozemy mowic o ewentualnym omijaniu zabezpieczen.

  • Też nie, bo to pliki które Google zindeksuje niezależnie. To pliki, które są otwarcie dostępne dla każdego.

  • >>lub inne szczególne jej zabezpieczenie<<
    Tylko tu o żadnych zabezpieczeniach nie było mowy.

  • dc

    Aby otworzyć obrazek musisz znać jego nazwę. Dla przeciętnego api też musisz znać token, żeby z niego skorzystać i tak samo jest *jakimś numerem w urlu*. W ujęciu technicznym to jest zabezpieczenie. W praktyce to prawie żadne.

  • W żadnym ujęciu technicznym nie jest to zabezpieczenie!!! Pliki na Twoim HDD też są zabezpieczone? To, że nie ma przeglądarki plików nie oznacza, że są one zabezpieczone w jakikolwiek sposób.

  • dc

    Zamiast krzyczeć polecam zaznajomić się z problemem. To się niczym nie różni w sensie technicznym od formularza z hasłem, urlem z tokenem czy spreparowanym urlem z sql injection. Jest tu ogromna różnica intuicyjnie, ale nie ma sensownej granicy, która można wyznaczyć posługując się terminami technicznymi. Bo to nie jest tak, że obrazek to jakiś plik, który udało mu się otworzyć. Metafora systemu plików nie przekłada się na informację w sieci w sposób bezpośredni. Nie ma różnicy, czy obrazek jest osiągalny z example.com/img.jpg czy example.com?img=1231. Stąd krok do tokenów jako zabezpieczenia, potem sql injection a dalej cokolwiek zabezpieczone hasłem.

  • ciochu

    Proszę przeczytać jeszcze raz przepis i zwrócić uwagę, że chodzi o szczególne zabezpieczenia, w doktrynie za takie uważa się zabezpieczenia których usunięcie wymaga od sprawcy specjalistycznej wiedzy lub dysponowania specjalistycznymi narzędziami. Jeżeli dostanie się do takich plików nie sprawia sprawcy, żadnych trudności trudno mówić o zabezpieczeniu. Ponadto właściciel wprost również zdaje sobie sprawę, ponieważ nie składają wniosku o ściganie, tylko wystąpią z pozwem cywilnym.

    Nie masz racji.

  • dc

    Więc w jaki sposób różni się to od tokenów api w urlach? Bo wiedza o tym, że część urla jest tokenem jest tak samo specjalistyczna jak wiedza o tym, że konkretna część urla może, powtarzam może odpowiadać nazwie pliku na serwerze.

    Jakiś czas temu był błąd w jakimś systemie transakcyjnym, gdzie wystarczyło podmienić id w urlu, by wejść na stronę teoretycznie widoczną tylko dla innego użytkownika. Wolałbym, żeby ktoś kto to wykorzystał mógł odpowiedzieć przed sądem. Nie zrzucajmy winy włamywaczy na producentów zamków.

  • Adres URL nie jest zamkiem. To adres, który każdy może znaleźć w książce telefonicznej lub domyślić się istnienia innych numerów których tam nie ma (ani na mapie), poprzez podmianę kolejnego numerka.

  • dc

    W tej metaforze URL nie jest zamkiem tylko kluczem.