Šuplík Honzy Hučína

Skok na navigaci (menu)

Tento blog je v současné době uzavřen.
Pokračování blogu na bloguje.cz jsem zrušil. Pokud budu někdy pokračovat, bude to spíš tady.

Komentovaný článek

Internet a vše kolem
20. 2. 2005

Sejde z očí, nesejde z webu

Co udělá webmaster, když potřebuje některou stránku nebo soubor dočasně znepřístupnit? V první řadě zruší vnitřní odkazy. Ale tím v řadě případů i skončí, ba dokonce si „ušetří práci“ tím, že odkazy vloží jen do komentářů. Co oči nevidí, na to myš neklikne, myslí si.

Moji kolegové na jisté stránce (omlouvám se, že nebudu konkrétní, nechci je podrážet) zveřejňují souhrnné výsledky akcí, které pořádají. Když jsem se tam podíval v lednu, byly k dispozici výsledky za 24 akcí ve formě 24 souborů PDF. Jenže oni jich v jedné sérii pořádali 25 (a to bylo veřejně známo). Kdepak je ten zbývající soubor? Jelikož názvy souborů měly logiku, stačilo zadat do řádku adresu s kódem (opět veřejně známým či logicky odvoditelným) chybějící akce – a vida, soubor se stáhl. Výsledky v něm byly spočteny špatně, a tak ho chtěli potlačit, ale udělali to velmi diletantsky: soubor na serveru existoval beze změny, jenom na něj nebyl odkaz.

O měsíc později jsem navštívil stránku znovu, poněvadž se ukázalo, že chyby jsou ve více souborech. A vida, odkazy nikde. Ani jeden. Jenže stačilo se podívat do zdrojového kódu, a samozřejmě odkazy byly opět pouze zakomentovány.

Je zkrátka naivní představovat si, že lze cokoliv existujícího na serveru ochránit pouze tím, že na to nedáme (zakomentujeme) odkaz uvnitř svého webu. Samozřejmě uživatel, který neví, že má citlivý soubor hledat, to ani nezkusí. Jenže kdo si záměrně nebo jen ze zvědavosti otevře zdrojový kód, má adresu jako na zlatém podnose. A i když je webmaster opatrnější a odkaz ve zdrojáku opravdu smaže, nemá vyhráno:

  • stránku nebo soubor totiž mezitím mohl v pohodě zalinkovat někdo jiný (například vyhledávač),
  • případně se dá adresa z kontextu snadno odvodit,
  • nemluvě o nezabezpečených serverech, kde se dá obsah adresáře vypsat.

„No propána, tak si to někdo stáhne, co se stane,“ řeknete si. U textového souboru se souhrnnými výsledky hrozí skutečně nejvýše ostuda. Pokud se ovšem povaluje na serveru nějaký nebezpečný skript, který tam někdo zapomněl po ladění...

Vložit vlastní komentářNávrat k článkuRSS komentářů tohoto článku

Komentáře

Žádné komentáře nejsou k dispozici.

K tomuto článku není možné vkládat komentáře.

© Honza Hučín 2004–6

Šuplík běží na PIPNI.CZ. Díky!

sber.cermat.cz

RSS Šuplíku

RSS komentářů – souhrnně

U každého článku je samostatný RSS kanál pro komentáře.

Výběr článků

Posledních 10 článků

nebo podle data:

nebo hledání fulltextem:

Archiv všech článků

Poslední komentáře

Zabili mě, parchanti [2]

8. 8. 16:48 | Pepa

Cestou kolem blogu [2]

7. 8. 21:26 | Honza Hučín

Cestou kolem blogu [1]

7. 8. 21:02 | Honza

Vrtulník nad hlavou [3]

6. 8. 14:29 | Pepa

Taková hra na volby [1]

3. 8. 18:29 | Honza

Nejčtenější

Žádné údaje nejsou k dispozici.

O mně

*1967, absolvent MFF UK v Praze (1991)

statistik, analytik, programátor, učitel, hudebník

nyní Ústav pro informace ve vzdělávání

Životopis (RTF)

Napište mi