Zabezpečení serverů Mumie
Příznám se rovnou - četl jsem nějaké články na tomto serveru, a dokonce i o mumii... Nedalo mi to, a podíval jsem se na většinu toho, co on sám provozuje. Budiž, první mé oko padlo na Fórum ... ano, Mumie si ho jistě napsala sama, to dělám také (ale v PHP), ale nikdy neudělám tolik chyb (bezpečnostích i uživatelských), jako on udělal ve svém fóru. Ano, možná i talent na programování má, ale pochybuji (hodně silně pochybuji) že si je vědom toho, co se normálně dělá a co ne. Já jsem již vytvořil hodně projektů, dělám v PHP (což se o moc neliší od ASP), ale....
No, začneme fórem. Vytvořil jsem si tedy jednoduchého uživatele "Zabezpeceni_je_v_prdeli" s heslem "nazdar" , rokem narození 1900 a poznámkou "Tohle neni zabezpeceny"
No, pokud vynechám věc, že kolonka "Heslo" je tu uvedena jen jednou, tak je tu další věc ... Když se překliknu u zadávání hesla, tak jsem v prdeli, a mimochodem PRÁVĚ PROTO se všude heslo zadává dvakrát .... No, budiž, pokračujme. Pokud se do tohoto fóra budete přihlašovat z nějaké netové kavárny, tak vaše heslo mohu hned odpozorovat jednoduchým nahlédnutím do historie navštívených stránek. Mumie totiž nejen že nekóduje hesla (před odesláním do login.php (u mě) je přece nejdříve zakóduji, a ještě je loginu nepředám takovýmto kravským způsobem - login.asp?id=uzivatelske_jmeno&heslo=heslo_uzivatele ).... takže pokud kliknete na následující adresu, tak se přihlásíte pod námi vytvořeným uživatelem, a ještě k tomu se dozvíte heslo - http://forum.supersms.cz/login.asp?id=Zabezpeceni_je_v_prdeli&heslo=nazdar
Jak již bylo upozorňováno na to, že když se přihlásím přes link - http://forum.supersms.cz/index.asp?id=2157&kod=M21NWyTB23mTznWd2hdSaXm8GH56n9&from=default.asp (který je pro našeho uživatele), tak se přihlásím. Systém totiž vůbec neodhlašuje po nějakém limitu (časovém). Nezakazuje přístup , nezaznamenává IP adresy ..... prostě nic ! A nikdy bych neudělal fórum tak, že se proměnné přesouvají přes link, to rozhodně ne. Když už dělám sekci po zalogované, tak si to stránky (skripty) předávají takzvaně "underground" - tedy ne přes link.... No, a pokud se podíváme do nastavení našeho uživatele, pak do zdrojového kódu, tak heslo zjistíme jednoduše:
A co si o tom mám myslet? Jedině snad že autor je nezodpovědný .... Nic víc, nic míň.
No, budeme ale pokračovat .... pokud stisknete "odhlásit" , tak nejspíše (stejně jako já), budete stále klikat na odhlásit, protože tlačítko odhlásit a všechno uživatelské nastavení zůstane v menu !! viz
v levém menu vidíte všechno osobní nastavení, ale i že jste on-line! jediné co svědčí o vašem odhlášení jsou zbylé dvě zakroužkované položky , a sice Příhlášení a "Jste zde poprvé......" nic víc. Už jen to mě utvrzuje v doměnce, že Mumie programovat neumí, a tak by od toho měla jíti pryč .... Jo, a ještě k tomu zabezpečení, resp k tomu přihlašování, říkal jsem že stačí jediný pohled do historie navštívených stránek, o čemž se můžete přesvědčit na následujícím screenu:
Ale aby jsme nezůstali jen u fóra, podívejme se na superhosting.cz. Podívejme se třeba na doménu cz-mt.cz, která je moje, a je v současnosti zakázaná providerem hostingu (nicméně v zoně .cz je).... Takže superhosting nám říká že:
zatímco nic.cz nám říká že
což potvrzuje i jiná hostingová společnost pipni.cz:
Takže co si o tom mám myslet? www.superhosting.cz má chyby, a Mumie by se měla přestat programováním živit ... Proč? Protože to není potřeba. Proč? Protože to neumí. Až se naučí programovat stránky bez chyb, až se naučí neuvádět falešně údaje, tak budiž, ale dříve ne.
Sbohem pane Mumie.
Pavel Ptáček
22.3.2003
|