Tento blog je v současné době uzavřen.
Pokračování blogu na bloguje.cz jsem zrušil. Pokud budu někdy pokračovat, bude to spíš tady.
Co udělá webmaster, když potřebuje některou stránku nebo soubor dočasně znepřístupnit? V první řadě zruší vnitřní odkazy. Ale tím v řadě případů i skončí, ba dokonce si „ušetří práci“ tím, že odkazy vloží jen do komentářů. Co oči nevidí, na to myš neklikne, myslí si.
Moji kolegové na jisté stránce (omlouvám se, že nebudu konkrétní, nechci je podrážet) zveřejňují souhrnné výsledky akcí, které pořádají. Když jsem se tam podíval v lednu, byly k dispozici výsledky za 24 akcí ve formě 24 souborů PDF. Jenže oni jich v jedné sérii pořádali 25 (a to bylo veřejně známo). Kdepak je ten zbývající soubor? Jelikož názvy souborů měly logiku, stačilo zadat do řádku adresu s kódem (opět veřejně známým či logicky odvoditelným) chybějící akce – a vida, soubor se stáhl. Výsledky v něm byly spočteny špatně, a tak ho chtěli potlačit, ale udělali to velmi diletantsky: soubor na serveru existoval beze změny, jenom na něj nebyl odkaz.
O měsíc později jsem navštívil stránku znovu, poněvadž se ukázalo, že chyby jsou ve více souborech. A vida, odkazy nikde. Ani jeden. Jenže stačilo se podívat do zdrojového kódu, a samozřejmě odkazy byly opět pouze zakomentovány.
Je zkrátka naivní představovat si, že lze cokoliv existujícího na serveru ochránit pouze tím, že na to nedáme (zakomentujeme) odkaz uvnitř svého webu. Samozřejmě uživatel, který neví, že má citlivý soubor hledat, to ani nezkusí. Jenže kdo si záměrně nebo jen ze zvědavosti otevře zdrojový kód, má adresu jako na zlatém podnose. A i když je webmaster opatrnější a odkaz ve zdrojáku opravdu smaže, nemá vyhráno:
„No propána, tak si to někdo stáhne, co se stane,“ řeknete si. U textového souboru se souhrnnými výsledky hrozí skutečně nejvýše ostuda. Pokud se ovšem povaluje na serveru nějaký nebezpečný skript, který tam někdo zapomněl po ladění...
Vložit vlastní komentář – Návrat k článku – RSS komentářů tohoto článku
K tomuto článku není možné vkládat komentáře.
© Honza Hučín 2004–6
Šuplík běží na PIPNI.CZ. Díky!
8. 8. 16:48 | Pepa
7. 8. 21:26 | Honza Hučín
7. 8. 21:02 | Honza
6. 8. 14:29 | Pepa
3. 8. 18:29 | Honza
*1967, absolvent MFF UK v Praze (1991)
statistik, analytik, programátor, učitel, hudebník