Dekujeme za obnoveni funkcnosti diskuse
Z vlastni zkusenosti vim, ze session a kontrola IP adresy jsou v urcitych pripadech zcela nepouzitelne. A pokud se podivate na to, jak je tvorena napr. v ASP session, doctete se, ze je to prave na zaklade posilani specialnich cookies. Problem nastava, kdyz nektere podnikove firewally session nepusti nebo pane boze rozdeluji pozadavek mezi nekolik IP adres. To je pak uz takovy hrozny gulas, ze jsme pred casem museli take vse predelat.
asi bych jim doporucil vybrat si zpusob autentifikace ( session, IP, hash v GET nebo neco jineho )
Wizi
No HTTP protokol je bezestavovy a na udrzovani session proste neni delany. Proto reseni zajistujici tuto funkcionalitu je ponekud neobratna a netrivilani a je potreba si je poradne rozmyslet, Nicmene lze to zajistit bezpecne, ale musi se u toho myslet, pouziti sifrovaneho HTTP (HTTPS) je zaklad. pokud tomu tak neni, nedelejte si jakoukoliv iluzi o bezpeci. Takovym zakladnim pravidlem je poziti webmailu jako krajniho reseni, kde proste muze byt problem z bezpecnosti.
Tehle článek mě zaujal. Ale ona bezpečnost mailů "normálních" lidí by byla malá tak jako tak. Máme s kamarády malý server, kde se nám lidi registrují (aby si pak mohli zahrát šachy) a zadávají hesla. Myslíte si, že zadávají různá hesla na e-mail a u nás? Kdybych se uspokojoval čtením cizí pošty, tak bych si docela užil...
Jednoduše - vygenerovat nové heslo, zaslat jej na email a zašifrované uložit do databáze. Nebo udělat pomocnou dvojici typu "nápovědná otázka a heslo", kdy heslo taky uložíš zašifrované a když správně odpoví, tak mu umožníš korektní přihlášení. Ale nejbezpečnější je ta 1. varianta.
To neni vubec zadne prakvapeni. I kdyby tohle nebylo, stale vas mail putuje jako otevreny text pres dalsi mista.
Jedina mozna ochrana duvernych mailu je sifrovani. Pro ty, kteri se o sve maily staraji, tohle nic neznamena. Pro ty, kteri na ne kaslou, dobre jim tak.
Naucit se a nainstalovat PGP/GPG je otazka par hodin. Odkliknout ,,zasifrovat'' je otazka nekolika sekund. Kdyz na to nekdo kasle, neni mu pomoci.
Proto lidi *prosim* sifrujte. Neni to pro teroristy nebo pro nejake podvratne zivly, to je uplne uplne normalni vec kazdodenniho zivota a vzhledem k povaze mailu jako technologie by mela byt kazda zprava duvernejsi nez verejna nebo ,,je mi to celkem jedno'' sifrovana.
Na internetu existuje kupa navodu. Sam jsem jeden cas vedl serial na novinky.cz, ktery vysvetloval vse od zacatku do konce. Je to tam k nalezeni pod autorem Hynke Hanke. Takovych navodu je ale spoustu. Che to jen chtit.
Sifrovat?
1. Strasna prace
2. Nevim, jak se PGPuje mail pri cteni / odesilani v Netscape
Cili - radsi si vypnu ten javascript..
Nehlede na to, ze jestli si chce nekdo precist mou postu, tak at si to uzije, nota bene pokud je to clovek, ktery me vubec nezna. Nakonec heslo stejne chodi nezasifrovane, takze si ho muze sosnout kterykoli spravce nekde na ceste...
Bohuzel, temer vse co jste napsal, je spatne.
Dovolte mi to opravit, abyste zbytecne nematl ostatni.
ad. strasna prace -- v rozumnych email klientech (a mezi ty pocitam i MS Outlook, Netscape Messanger) je to zalezitosti stisku jedne klavesove zkratky.
ad. nevim jak se (de)PGPuje mail pri cteni v Netscape -- automaticky.
ad. vypnuti javascript... -- Vam jiz ze samotne podstaty technologie e-mailu vubec nepomuze. Toto se nazyva ,,falesny pocit bezpeci''.
ad. heslo se posila nezasifrovane -- jiz par *desitek* let nastesti ne. Rika se tomu asymetricka kryptografie.
Opravdu Vam doporucuji precist si vyse zmineny serial ci jiny material.
No, ja se obavam, ze VY byste si mel precist clanek, o nemz se bavime. Jde zde o cteni mailu PRES WWW ROZHRANI, takze nejake Outlloky ci netscape messengery sem prosim neplette.
ad. strasna prace - 1. vygenerovani klice, 2. nastaveni maileru (dejme tomu, ze pouzivam mailer a ne www), 3. (HLAVNE) - donuceni vsech okolo, vcetne treba obchodnich partneru, ktere jsem zatim nekontaktoval apod., aby PGP instalovali tez... CHA CHA CHA, uz to vidim...
ad. netscape a PGP - jeden o voze, druhy o koze - nechci snizovat moznosti netscape, ale ze by dePGPoval mail, ktery ctu treba na centru pres web? Mozna leda nejak pomoci obsahu okna, ale to se mi nezda prilis trivialni... O tom jsem mluvil, ne o tom, ze by to nebylo trivialni v maileru, ten je na to staven...
ad. vypnuti javascript - to samozrejme funguje proti danemu typu utoku, ktery je v clanku popsan
ad. heslo nezasifrovane - asymetricka kryptografie? Jo, neco o tom vim, uz par let... Ale ta porad neresi problem freemailu pres WWW rozhrani :^( Holt asi nechapete, o cem mluvim. Jde mi o to, ze pokud se prihlasim pres formular do mail sluzeb napr. seznamu, tak heslo, kterym se prihlasuju, muze kdokoli po ceste, kdo ma dostatecne opravneni, muze bez problemu vysniffovat, neb je nezabezpecene. Leda by se pouzivalo SSL (jedna z voleb napr. centra), to je vase oblibene asymetricke kryptovani...
pokud by mi tu nekdo chtel teoretizovat s tim, ze nemam pouzivat www rozhrani, ale radsi misto toho pop3, tak na to muzu odpovedet, ze jsou alespon dva duvody, proc to nejde:
1. (u me): firewall (a co ted, doktore?)
2. (taky u me): kdyz si chci precist postu odjinud nez normalne (coz se mi stava dost casto), musel bych nastavovat mail klienta napr. v inetove kavarne, coz si nejsem jist, zda se tam vubec smi...
Autor se vlastne priznava, ze je hacker - nejen se priznava k trestne cinnosti, ale krome upozorneni spravcu serveru nedela nic pro jejich ochranu. Zverejnenim navodu, jak cist soukrome informace, pouze prispiva k bulvarnimu charakteru serveru www.zive.cz.
Zverejnovani popisu chyb po predchozim upozorneni adminu je naprosto normalni a zasluzna cinnost. Co na tom vidite spatneho a bulvarniho?
Snad si take myslite, ze chyby je nejlepsi utajovat, ze si jich *snad nikdo nevsimne*? Ale pane, takhle bezpecnost nikdy nefungovala a kdykoliv se to zkokuselo, tak ten pokus zkrachoval.
Chyby musi byt (rozumne, po upozorneni adminu) zverejnovany, aby si na ne dali dalsi admini pozor. Jinak o nich budou vedet jen crackeri (nemotejte do toho hackery, proc by asi hackeri cetli cizi maily???) a to je zle.
Zasluzna cinnost by to byla, pokud byste nepopisoval chyby a nedaval navod k trestnemu cinu. Nikdy jsem netvrdil, ze se maji chyby utajovat - vybral jste si jen cast z meho prizpevku.
Vadi mi:
1. ze jste nedovolenym zpusobem vnikl do systemu
2. presne jste popisoval a tak daval i navod k trestnemu cinu (i kdyz ne konkretni osobe, ale vsem)
3. nedal jste administratorum dostatek casu na reakci a opravu (program nebo system, ktery je naprogramovan jednim programatorem a pouzivan v omezenem meritku, take muze dotycny zmenit za nekolik hodin (zalezi na zmene) a nasadit. Tohle neplati u vetsich systemu, kde je prace sdilena celym tymem. System se pak musi testovat a nasadit, jen kdyz je rozume zarucena jeho funkcnost).
Nevadi mi:
1. zverejnovani chyb
Honza
mozes mi pls povedat ako prenikol do systemu? Alebo co urobil protizakonneho? Ze ziskal pristup k svojmu emailovemu accountu inou cestou ako je to obvykle? To neni dokonca ani neeticke a nieto uz protizakonne
Keby sa autor priznaval k trestnym alebo neetickym cinom tak si myslim ze tvoja reakcia by bola namieste ale takto si do toho dal trosku vela emocii....
Je stejne, jako by jsi rikal, ze jsi se prochazel ve tri hodiny rano v Narodni galerii jen proto, ze nejaky zamestnanec zapomenul vecer zamknout dvere. Kdyz neco takoveho uvidim, upozornim prece majitele a nezneuziji to k mym prochazkam. A kdyz me nechyti, tak jsem OK.
Myslim, ze jeho cin minimalne neeticky byl - hlavne diky tomu, ze zverejnil navod a nedal dostatecny cas na odstraneni zavady.
Presnejsi analogie by byla, kdyby se s pouzitim spendliku vloupal do _svyho_ zamcenyho bytu, na problem se zamkem upozornil vyrobce zamku a pote, co se nic nedelo, tuto informaci zverejnil. IMHO ani jedna z techto casti neni ilegalni, a neeticka je tak nanejvejs ta cast se zverejnenim - ale zalezi na uhlu pohledu, osobne povazuju za dulezitejsi to varovani, ze to jde probourat tak jednoduse, ze to zvladne i amater, nez moznost, ze to nekdo zneuzije.
Tohle nebylo amaterske probourani. Amaterske mozna pro ty, co se vyznaji v html, ale ne pro bezne uzivatele.
Je to sama, pokud pouziji analogii Narodni galerie, jako kdybych objevil otevrene dvere ve tri hodiny rano a upozornil na to spravce. Spravce mi rekne (Post.cz), ze chybu opravi - ale ze drive nez rano to nestihne. Pockam tedy do rana, az je chyba opravena, pak zacnu zverejnovat, co se stalo. Kdyby rano chyba opravena nebyla, doporucim majitelum exponatu, aby si je prenesli do jineho muzea.
Clanek byl podle teto analogie zverejnen ve 4:00 rano. Dusledek bude, ze se o chybe dozvi a idalsi lide a budou chodit nad ranem do galerie - udelam tak medvedi skuzbu.
Tohle nebylo amaterske probourani. Amaterske mozna pro ty, co se vyznaji v html, ale ne pro bezne uzivatele. Promin, ale to, ze se beznej uzivatel neobtezuje s naucenim se zakladu prace s internetem prece neni vina "hackera". Stejne jako v realnym svete - pokud budu chodit po ulici, aniz bych predtim venoval trochu casu na nastudovani dopravnich predpisu, tak se taky nemuzu divit, az me neco prejede...
Jinak pokud jde o tu opravu - nevim, jestli autor nechal firmam dostatek casu. Osobne bych rekl, ze ano, protoze oprava zrovna tyhle chyby je zalezitosti plus minus jednoho radku kodu, a uprimne receno je natolik hloupa a soucasne zavazna, ze si za ni jeji tvurce ochranu nezaslouzi. Nechavat jim na ni dva dny mi prijde skoro hodne.
Html maily nejsou zalezitosti beznych uzivatelu - ti pisou meily tak, jak je nastaven jejich postovni klient. Vetsina uzivatelu, ktere jsou potkal, a u kterych neni VT jako konicek nebo prace ani nevi, jak nastavit barvu pisma ve Wordu. Samozrejme, ze to neni chyba toho, co teto chyby zneuzije, ale neni to ani duvod, aby chyby zneuzival. A daval navod ostatnim pred opravou chyby.
Pokud oprava je zalezitosti jednoho radku, proc to reseni nenabidl autor spravcum? Neverim ale, ze by si spravci dovolili pustit verzi, která nebyla radne otestovana. Proto je to nedostatecny cas.
Ten jeden radek bude spravce serveru vymejslet asi tak minutu, dalsi minutu mu potrva, nez to dotycny misto najde, a do peti minut to ma otestovany. Nereknu, pokud by slo o chybu, ktera vyzaduje zmenit strukturu poloviny databaze a dopsat tri tisice radek kodu, ale pokud je to chyba naprosto elementarni a svou blbosti v podstate srovnatelna se situaci, kdy by server prenasel login a heslo nezakodovany v URL a jeste zobrazoval titulek "Posta: Prihlasen uzivatel X s heslem Y", tak si nezaslouzi toleranci.
Uzivatel sice mozna nemusi nic vedet o HTML mailu, ale mel by neco vedet o bezpecnostnich rizicich na internetu a moznosti, jak se pred nima chranit. Stejne jako by mel vedet, ze ten cervenej panacek na semaforu znamena, ze si ma davat pozor, aby ho neco neprejelo. Pokud to nevi, je to pouze a vyhradne jeho problem. Nadavat pak muze jen sam sobe.
Co kdyz to ale nelze pouzit vami navrhovane reseni? Napr. spravce serveru vi, ze uzivatele pouzivaji jeho freemail proto, ze umoznuje zobrazovat maily s html kodovanim a umoznuje take spoustet scripty. Pokud ted navrhovane reseni je zakazat sciprty, je to pro spravce neprijatelne a bude hledat jine, treba pracnejsi reseni.
Uzivatel by mel vedet o bezpecnostnich rizicich, to je pravda. Uzivatel se pred takto publikovanou chybou muze branit jen tim, ze prejde na jiny freemail, nema moznost sam chybu opravit. Asi ta chyba existovala na servrech uz od zacatku nebo minimalne pekne dlouho - proto je nevhodne zverejnovat navod na jeji vyuziti v neumerne kratke dobe po jejim objevenim.
Stejne by bylo, kdybyste objevil, ze u vaseho domu neni zamek v poradku a dvere se tak nedaji zamknout. Zavolal byste majiteli domu, aby zamek opravil - ten by ale na to potreboval delsi dobu. Urcite byste mezitim nevykrikoval: "Podivejte, nejdou mi zamknout dvere, budou opraveny az pozitri!"
Nikdo take nesmi zneuzit nevedomosti uzivatele. Stejne jako neprejedu chodce, ktery vstoupil do prechodu, kdyz tam mel cerveneho panacka.
Co kdyz to ale nelze pouzit vami navrhovane reseni? Napr. spravce serveru vi, ze uzivatele pouzivaji jeho freemail proto, ze umoznuje zobrazovat maily s html kodovanim a umoznuje take spoustet scripty. Pokud ted navrhovane reseni je zakazat sciprty, je to pro spravce neprijatelne a bude hledat jine, treba pracnejsi reseni.
To je opravdu velmi slozity problem, co treba na tyden/mesic/... skripty vypnout, a potom vymyslet/naprogramovat/otestovat lepsi reseni, pak zese skripty zapnout... :)
Honzo, prestan tady, prosim, placat dokola.
Jedine, co mi vadi, ze opravdu 2 dny je MALO.
Kdyz zpravu nezverejni (a neupozorni na to), tak by admin nic nedelal
(aby me nekdo nechytl za slovo - mozna by se nasel alespon jeden admin,
ktery by to nechal lezet nafurt nebo na mesic.)
Otazka na autora clanku:
- Informoval jste take poskytovatele freemailu, ze informace zverejnite ve ctvrtek?
- Ubehlo mezi informaci pro spravce freemailu 48 hodin nebo jste je informoval v utery vecer a informace zverejnil ve ctvrtek rano?
- Pozadal jste je o vyjadreni, do kdy problem opravi a dal jste jim sanci problem opravit pred zverejnenim?
Zde jsou odpovedi na Honzovy otazky:
- Ano, pri zasilani upozorneni poskytovatelum freemailu jsem vyslovne uvedl, ze se chystam chyby zverejnit 10.1.2002 vecer. Meli tedy dva dny (od vecera 8.1.2002) a o teto lhute vedeli.
- Jak uz z predchozi odpovedi vyplyva, informoval jsem je v utery vecer a informace zverejnil ve ctvrtek vecer. 48 hodin tedy mezi tim ubehlo.
- Upozornil jsem je, ze se problem chystam zverejnit a informoval jsem jej o lhute, ve ktere jej maji cas opravit. Ze ctyr z peti se do vyprseni lhuty ozvali a zadne problemy s casem nemeli. Pouze z Postu se neozvali - tenhle freemail je ale aspon v posledni dobe nejaky divny. Myslim si, ze se mou zpravou ani nezabyvali. Pokud by potrebovali na opravu vice casu, mohli odpovedet a prodlouzeni lhuty me pozadat, asi bych jim vyhovel.
Jeste jedna analogie me napadla:
Nikdy nereknu - "U dalnice na Mladou Boleslav je uz druhym dnem odstavene auto Audi A6 s plnou vybavou (menic CD a v kufru je lyzarska vystroj). Prave zadni dvere nejsou zamcene. Rikal jsem to sice majiteli, ale ten je sluzebne v zahranici a auto si drive nez za tyden nezabezpeci. Proto apeluji na vsechny, aby si auto nevsimali."
Jenze on to rika i MAJITELUM schranek. Me by zajimalo jestli by te jako majitele exponatu v muzeu nezajimalo ze se tam kde kdo dostane. Majitelu je tisice, jak jinak jim to rict ? Upozornit i lidi, ktery budou by v budoucnu emailovy server mohli provozovat. Maji to vedet vsichni.
ty jsi magor, paneboze.... misto abys byl rad, ze to nekdo zverejni a da tak adminum minimalne 36 hodin na opraveni jejich vlastni blbosti, tak se tady ohanis stupidnima prirovnanima... ach jo... mam svuj server a kdyz mi ho nekdo hackne/crackne, je to proste moje vina, nezabezpecil jsem si ho dostatecne, a nebudu vyrvavat, ze mi mel dat den nebo dva na opravu, nez to zverejni, ale budu drzet hubu a snazit se to OKAMZITE opravit...
... on treba neni magor. Je jen jednim z tech potrrefenych adminu
TO HONZA>>> neblbni tady, Mr.Blahos neni zadnej cracker natoz hacker. Vyuziva jen jinde popsane zpusoby a principy, davno zname. O bezbpecnosti FREEmailu a FREEwebu by se dalo psat velmi dlouze. A bylo by to velmi zajimave cteni Ze si nejaky script kiddie hraje a uci se v PATNACTI LETECH (a navic jiz preklada z anglictiny ? To je dobre, nikomu neskodi, my jsme v tech letech takove moznosti nemeli ... SKODI TEN, KDO NAPSAL SPATNY SW (tim nechci rici, ze existuje cokoliv bezpecneho - zavisi vsak na hloubce znalosti a na nutnych prostredcich) ... KIDDIE=DETATKO (nikoliv CRACKER )
No myslim, ze vam stejne skoncila vychazka a uz ste zpatky ve svem pavilonu, pod peclivym dozorem, kombinovanym se skotskymi striky, ale stejne mi to neda.
Pokud mi nekdo najde v systemu podobnou chybu, snazim se ji opravit v co nejkratsim case a 48 hodin je na podobne veci az az. Nicmene nechapu jak muzute povazovat podobny prunik do systemu za trestny cin? Pokud se budu ve tri rano prochazet po Narodni galerii a rano to oznamim vedeni, tak se snad nic nedeje - ja sem je upozornil, oni snad tu chybu opravi a pokud ne vina IMHO pada na ne. Jinak by ta chyba byla dal pristupna a je dost velika sance, ze se najde daleko amoralnejsi a stejne schopny clovek, ktery nebude vahat a zneuzije ji.
Ikdyz teda fakt nechapu k cemu je nekomu jedna konkretni schranka na freemailu.
Kdyby se nekdo prochazel ve vasem dome v noci a rano vam to rekl, bylo by vse v poradku? Myslim, ze nebylo.
Je to obdobne - kdyz vim, ze neco neni v poradku, musim podniknout ucinne veci, ktere napravi problem. A veci se netykaji jen upozorneni na chybu, ale take poskytnuti dostatecneho casu na jeji opraveni. Viz Post.cz - programatori slibili, ze chybu opravi, ale dva dny jin na to zrejme nestacily - podle toho, co bylo psano v clanku. Clanek byl stejne zverejnen. Spravnejsi by bylo, kdyby se autor informoval, kdy bude chyba opravena treba postem a pak poskytl navod na opraveni chyby i ostatnim Freemailum. Chybu by mohl zverejnit jen oznamenim o ni (bez navodu) a pokud by ani pak provozovatele nereagovali, zverejnit popis chybu dohromady s jejim moznym resenim.
Skoda jen vasi kousave poznamky o mych vychazkach - jen tolik, ze jsem hodne premyslel, jestli na vas prizpevek reagovat. Uvod degraduje vas prizpevek do diskuze na pouhe urazeni.
Ahoj,
tedy neda mi to, abych taky nepridal nazor.
"Kdyby se nekdo prochazel ve vasem dome v noci a rano vam to rekl, bylo by vse v poradku? Myslim, ze nebylo"
Upravim trochu tve prirovnani tak, aby vice odpovidalo situaci:
Takze pokud by se nekdo prochazel, nebo mohl prochazet v mem dome ( moji schrance) hlidanem bezpecnostni agenturou ( v tomto pripade tedy poskytovatelem freemailu), tak bych byl rad, ze tuto informaci dostane nejen ta bezpecnostni agentura, ale taky ja, jakozto majitel domu. A nejen to. Dost bych se zajimal o to, jak je to mozne a jakym zpusobem k tomu mohlo dojit. A to i proto, abych si sam mohl overit, zda jiz doslo k naprave a v pripade ze ne, tak abych mohl vcas zmenit bezpecnostni agenturu.
Pripadne mi, ze jsi zamestnancem jedne z potrefenych "bezpecnostnich agentur", nebo se pletu ?
to Honza
Jestli jste si toho nevšiml drahý pane, tak autor článku dává jasnou radu všem uživatelům jak se proti tomuto typu útoku bránit
To jest zakázat si v browseru java script a je to.
Takže jeho článek je vrcholně záslužný a uživatelé díky němu ví jak se bránit.
P.S.: Já pokud jsem nalogován jak Windows tak v Linuxu používám hlavní browser (v Linuxu Konqueror ve Windows MSIE) se zakázanou Javou, Active-X, java scripty, instalací součástí plochy atd... . Dělám to kvůli bezpečnosti v ostatních browserech (Mozilla) to mám povoleno a potřebuji-li na stránky s javou a java scrïpty použiji Mozillu.
To ze se da dostat do jakehokoliv systemu je stara znama vec, protoze vsechno je jen otazkou casu a penez. Popisovany postup proniknuti na servery je sice zajimavy, ale opet se opira o chybu uzivatele. Tak jako se nesmite divit, ze Vam virus napadne pocitac, kdyz si otevrete zavirovanou prilohu, tak nechapu proc bych mel vubec otvirat mail od nekoho ciziho. Stejne tak sve "oficialnejsi" email adresy na webu nikam nevyplnuju cimz zabranim zahlceni sve posty spamem a podobnym vtipalkum.
Ruku na srdce, kolika z vas by vadilo, kdyby si nekdo precetl vase soukrome maily? Vzdyt zpravidla v nich neprobiha temer zadna oficialni komunikace a moznost zneuziti je rovna temer nule ....
do minuleho tydne jsem si taky myslel, ze se muzu zavejrit jen tim, ze spustim nejakou priblblou prilohu. Ale I-Worm/BadTransII me vyved z omylu. Stah jsem postu pres POP3 a zavejril sem se jenom tim, ze jsem pres tu zpravu prejel kurzorem :))
Takze ono uz to neni tak tezky se zavejrit :))
K.
Jestli si ty servery ani nekontrolujou session a IP adresu, tak to je teda fakt sila. Sice se me to netyka, protoze mail pres webovy rozhrani nectu, a kdyz uz, tak s vypnutym skriprovanim, ale stejne je to sila. Jen by me docela zajimalo, jestli by neslo cely to slozity vnucovani javascriptu do mailu jednoduse obejit nejakym webbugem a tomu pak testovat hlavicku referrer...
Ono to neni tak jednoduche.
Treba na Email.cz kontrola IP je. Jenze, pokud vase cache ma dva nebo vice otcu (nadrazene cache), tak neni jasne, ze ktereho IP prijde dalsi pozadavek, takze to pak vyhazuje hlasku o neplatnem pristupu. Proto je kontrola implicitne vypnuta - da se zapnout pri logovani. Neco podobneho maji i jine servery.
A s tim, ze kdyz se uzivatel neodhlasi, tak ma neomezeny pristu? .... a co treba doba platnosti kodu? (pokud uzivatel urcitou dobu neudela zadnou akci, tak ze session kod zneplatnen)
Net@ddress (www.netaddress.com) to maji vyresene tak, ze pokud chce uzivatel vesti zabezpeceni, tak se pouzivaji cookies (je to volitelne!). Ma to dve vyhody:
1) postu lze cist jen na pocitaci, odkud se uzivatel prihlasil
2) pokud je uzivatel pripojen modemem, spojeni vypadne a pocitac po opetovnem pripojeni ziska novou IP, tak uzivatel neni odmitnut, prestoze IP je jina
Myslim si, ze se do cookie uklada nejaky autenticky, jedinecny, autorizacni kod...
Cookie se sice ukládá na uživatelově počítači, ale není problém ze skriptu na stránce předstírat, že potřebuju hodnotu cookie zjistit, prohlížeč mi ji dá a já si ji pak při průniku "nastavím" na svém počítači - to lze - cookie se ukládá v prostých souborech, nic víc to není.
A co se týče kontroly IP adresy, i tu dokážu obejít (viz odstavec ohledně Centra).
Jasně, session se po určité době zneplatní. Ale pokud právoplatný uživatel zavře okno a odejde od počítače a já se začnu vydávat za něj, systém si myslí, že jsem on a normálně mě dovolí pracovat dál a neodhlásí mě, pouze pokud bych sám více než onu omezenou dobu nic nedělal. Nebo si napíšu skriptík, který používám, pokud server disponuje ochranou podle IP adresy, a ten mi všechno stáhne za mě a já nemusím sedět u počítače a čekat.
Nekdo vam regulerne hakne vas freeweb a vy to takhle zakrivate ze se nic nestalo.
No to uz je horsi nez ct1 s tim svym vykonstruhovanym zpravodajstvim.
Tohle je normalne sprostej clanek na objednavku s nulovou informacni hodnotou!
shame on you!shame on you!shame on you!shame on you!shame on you!shame on you!shame on you!shame on you!shame on you!shame on you!shame on you!shame on you!shame on you!shame on you!shame on you!shame on you!shame on you!shame on you!shame on you!shame on you!shame on you!shame on you!shame on you!
Clanek je to dobry, ale zajimalo by me, zda za nej Marek Blahous dostane honorar
Ono totiz studentum casto panove z vedeni neplati, i kdyz to slibi, ostatne pry to neni omezene jenom na Zive ale i na dalsi z cpressu, ale o tom nemam zadne dukazy ...
me jenom stacilo, kdyz mi po dvouch vydanych clancich neprojevili zajem mi cokoli vyplatit a to po nekolikratem varovani ...
Clanek jsem zverejnil na internetu v ramci svych web stranek, na ktere jsem odkazoval ze zaslane tiskove zpravy (ktera sla mimojine i na Zive), a pripsal jsem k nemu, ze muze byt volne siren v nezmene podobe (vice viz http://unclehacker.mysteria.cz/popis.php). Proto od redakce Zive necekam zadny honorar, i kdyz ve ctenosti trham rekordy
Není to spíš chyba osla, co má povolený JavaScript na těchto serverech, kde to není vůbec potřeba? Tedy asi vyjma emailu, ale to je balastní email server.
Marku Blahuši, když nemáš peníze na server :))), tak kolik času jsi vynaložil na tyto experimenty? Řekl bych, že kupu času, takže...
Moc tomu ale nevěřím, že by si ty servery vážně nekontrolovaly session, anebo tím javascriptem jsi ukradl i tu session a pak ji importoval do svého browseru?
K bezpecnosti, spise nebezpecnosti uzivatelu: pop3.seznam.cz login a password identicky: alberta, americka, amorek, ampulka, anatomie, anketa, anonym, atelier, autorita, babi... (to vse asi za 3 minuty ziskate pruchodem slovniku, kdo ma zajem o moznost vyberu atraktivnich jmen, ma moznost...)
Omlouvám se, že reaguju až později.
"Tyto experimenty" jsem provozoval ze školy, kde mám internet zdarma (ale pomalu) a z domu, vždy během půl hodinky, na kterou se denně na internet připojuji (to jsou mi ještě rodiče ochotni platit). Co se týče celkových nákladů, možná mě to stálo tak jednoměsíční poplatek za nějaký virtuální server. Ale platit si ho každý měsíc, nebo si dokonce pořídit vlastní fyzický server, na to opravdu nemám, nebo by mě to alespoň dost finančně (z)ruinovalo.
Session (pokud myslíš session provozovanou přes cookies) používal ze serverů pouze Atlas, ale ta se dá JavaScriptem pomocí document.cookies "ukrást" a pak se jí prokazovat při vyžadování stránky od serveru ("importovat ji do svého browseru").
"Prunik" ke kontu odhadovanim hesel je neco trochu jineho a dovolil bych si rict "mene sofistiovaneho" nez prunik timto mym pouzitym zpusobem. A hlavne se tak nedostanete ke schrance uzivatele, o jehoz mate zajem, ale pouze ke schrankam vam uplne neznamych lidi.
pozrite si vacsinu webov, malo ktory programator escapuje html tagy... potom sa niet comu cudovat ze to dopadne takto.
Myslim si ze zato mozu hlane tieto dve priciny:
1. neviem o tom nepoznam to. (alebo mu este nikto nerozhasil message oard koncovym tagom tabulky).
2. sef vam povie ze uz vcera bolo neskoro a tak sa to neako pozliepa len aby to fungovalo, a ked to funguje tak naco sa v tom vrtat :)