Грешки и лично пространство

January 25, 2008

В блога си често публикувам грешки и се забавлявам на чужд гръб, главно на онлайн журналистите.

Вчера открих една грешка в голям сайт от мащаб, дето не става за блогване – тотален “краш” на юзърското прайваси на невъобразимо количество хора. Не ми се е случвало да попадам на такива неща много пъти, може би под 5 пъти за целия ми живот. Не говоря за административна уязвимост. Операционни системи, админване и т.н. не са ми от компетентността, а за съвсем проста логическа грешка.

Ето ви някои примери за грешка от този тип, за който говоря замотано, дето програмистът може да допусне от недоглеждане:

– може да допусне неоторизиран логин в системата – пишете юзър, нещо вместо парола и влизате винаги;
– може да допусне заобикаляне на права на логнат потребител – юзър с права X пише нещо и изведнъж вижда всичко (примерно може да вижда писмо 1, 2 и 4, ама като подаде 3 и нищо не проверява, дали има право да чете 3 или не);
– може да съхранява информацията по начин, при който логините въобще губят смисъл. Примерно пароли в текстов файл, който се вижда от уеб и се казва passwords.inc 🙂 Говоря ви за лоши практики от реалния живот, които съм виждал.

В този аспект, внимавайте като се регистрирате по разни сайтове. Давайте различни и дълги пароли, не публикувайте прекалено лична информация и не се предоверявайте. Ако X.com падне и ви научат универсалната парола, ще ви се стъжни живота. Няма уебсайт, на който напълно може да се разчита, че пази вашето лично пространство, даже на гугъл услугите. Малко повече параноя в тези времена на луди хора онлайн, държавен приоритет за борбата с интернет и свръхнатрупване на лични данни няма да ви навреди.

Публикувано в: Uncategorized 12 коментара RSS 2.0

Ако постът ви харесва, цъкнете на сърцето:

Коментари

12 коментара на “Грешки и лично пространство”

  1. Георги on January 25th, 2008 09:21

    Да не би да си гледал сутрешния блок на БТВ с оная леля дето са и “хакнали” пощичката та си се сетил за това?

    Така както го обясняваш вероятно става въпрос на нискобюджетен проект на някоя гаражна фирма. Ако не е такъв случая значи е фирма, която наема студенти да вършат много работа за малко пари. 🙂

  2. Longanlon on January 25th, 2008 10:52

    Преди 6-7 години един приятел откри грешка в сигурността на хитмейл. Прати им няколко писма с описание на проблема и как да си го оправят, но те не му обърнаха внимание – до момента в който даунлоудна от тях някаквъ архиви с над 50 хил. писма и им ги прати… Тогава се сетиха да се оправят и да му благодарят.

  3. Longanlon on January 25th, 2008 10:52

    хотмейл де 🙂

  4. dzver on January 25th, 2008 11:53

    Longanlon а пратиха ли му финансова благодарност? 😛

    Георги, за тази ли говориш: http://news.netinfo.bg/?tid=40&oid=1151954 ? Вчера видях в логовете на nickaserv как един пробва да ghost-не 30-40 ника поред и накрая успява (статистика, трябва ти 1 успех от 100 опита – успяваш на 40-тия път, колко му е). Дори в най-сигурната поща, каквато не се съмнявам е yahoo, ако паролата ти е qwerty или 123, никой не може да ти помогне.

  5. dzver on January 25th, 2008 11:57

    В този пост http://dzver.com/blog/?p=1111 стана ясно, че в момента дори парола като QsjFzYFK8091Zf е несигурна в огромната част от сайтовете, ползващи md5 или sha1 (wordpress, phpbb, invision, drupal, gallery и т.н. и т.н.)

    Тъй че по въпроса с паролите считам за сигурно единствено ползването на различни пароли навсякъде. Това не значи да се пишат на листче – просто има си lost password и всеки път като забравиш паролата си я сменяш.

  6. Георги on January 25th, 2008 12:31

    Да, лелята е същата.

    Колкото до паролите, няма смисъл да ги помниш всичките. KeePass (http://keepass.info/). Има чудесна portable версия, идеална за USB. Тая програмка не спирам да е препоръчвам, понеже освен че ми помни 60+ регистрации за сайтове има и версия за телефон…

  7. Таня on January 25th, 2008 12:56

    Благодаря за инфото – аз наистина ползвах една и съща парола навсякъде и сега ще взема да я сменя.

  8. dzver on January 25th, 2008 13:00

    Георги, а така не се ли предоверяваш на програмата? И тя е писана от хора и уиндоуса също, както и троянските коне.

  9. Георги on January 25th, 2008 13:34

    Паролите ти се пазят в един файл, който си криптираш с master парола. Можеш да си го носиш навсякаде. Иначе програмката е open-source и ако те съмнява сигурността можеш да си я “пречешеш”.

    А това наистина е варианта за ползване на различни пароли. Иначе трябва да ползваш една, но пък възниква проблема с юзърите. Някаде юзъра ти е юзър, другаде имейл, на трето място – имейла за спам… Абе тегаво си е.

    Иначе OpenID нещо не ми хареса съвсем. Имам идея за по-добра реализация, ама да видим дали ще я бъде…

  10. dzver on January 25th, 2008 14:03

    Еленко е писал за подобен проблем в MySpace.

    Само че нямах предвид MySpace, а български сайт – но това само потвърждава принципа. Никой сайт не е застрахован от глупости и грешки, а на тези грешки висят вашите лични данни.

    Грешките, които човек допуска, докато твори код са невероятно количество и с повечето от тях кодът работи, така че си остават неотстранени с години.

  11. sylph on January 27th, 2008 06:00

    Моля те, кажи ми че не си “поправял” български седмичник (печат/online). pls

  12. dzver on January 27th, 2008 16:33

    не говоря за ежедневник, те не съхраняват много лични данни при регистрациите си.

Оставете отговор