UJ 艂ata ERK
Niedawno portal Onet.pl opublikowa艂 ciekaw膮 informacj臋 dotycz膮c膮 bezpiecze艅stwa Elektronicznej Rejestracji Kandydat贸w Uniwersytetu Jagiello艅skiego. Jak si臋 okaza艂o, mo偶liwe by艂o przegl膮danie wniosk贸w tysi臋cy zainteresowanych nauk膮 na tej uczelni w bardzo prosty spos贸b.
Wystarczy艂o po za艂o偶eniu konta podmienia膰 ostatnie cyfry adresu URL, aby przegl膮da膰 inne wnioski. Dzi臋ki temu mo偶na by艂o w banalny spos贸b uzyska膰 dost臋p do danych takich jak: nr konta, imi臋 i nazwisko, data urodzenia, NIP, dok艂adny adres, a tak偶e informacje o 艣wiadectwie dojrza艂o艣ci. Jak wida膰 jest to do艣膰 poka藕na ilo艣膰 danych. O ca艂ym problemie poinformowa艂 jeden z rejestruj膮cych si臋. Jak donosi Onet.pl, b艂膮d zosta艂 naprawiony, studenci przeproszeni, ale ... jak dosz艂o do tego uchybienia? Do dzisiaj w Sieci jest wiele stron, w kt贸rych przegl膮danie kolejnych dokument贸w, nawet tych potencjalnie chronionych, mo偶na zrealizowa膰 podmieniaj膮c cz臋艣膰 adresu.
Czasami kiedy w bazie danych dodawana jest nowa warto艣膰 (np. id_u偶ytkownika czy id_artyku艂u) przypisuje si臋 jej warto艣膰 jedynie liczbow膮. O ile w przypadku artyku艂u nie ma to znaczenia (o czym za chwil臋) to raczej nie powinno si臋 nadawa膰 id z艂o偶onego tylko z cyfr dla u偶ytkownika, gdy偶 w 艂atwy spos贸b mo偶na przewidzie膰 i uzyska膰 dost臋p do informacji o innym u偶ytkowniku. Na przyk艂ad, je偶eli nasze id=12345, to przy powy偶szych za艂o偶eniach, id poprzedniego u偶ytkownika b臋dzie wynosi艂o id=12344 i kolejno id=12343, id=12342 i tak dalej...
W pewnych sytuacjach ma to jednak sens. Je偶eli dane na jakiej艣 stronie nie maj膮 posiada膰 ogranicze艅 i mog膮 by膰 udost臋pniane dla wszystkich u偶ytkownik贸w, to nie ma nic nagannego w stosowaniu tego typu identyfikator贸w. We藕my np. kolejne wpisy z Dziennika Analityk贸w VirusList.pl:
- http://viruslist.pl/weblog.html?weblogid=551
- http://viruslist.pl/weblog.html?weblogid=552
- http://viruslist.pl/weblog.html?weblogid=553
Jak wida膰 podmienianie ostatniej warto艣ci (cyfry) pozwala porusza膰 si臋 mi臋dzy kolejnymi wpisami Dziennika Analityk贸w. U偶yto tutaj metody get (HTTP), kt贸ra prezentuje si臋 jako "parametr=warto艣膰". S膮 to jednak informacje, do kt贸rych ka偶da osoba w Sieci ma dost臋p, wi臋c ukrywanie ich nie ma 偶adnego sensu.
Sam fakt wykorzystania takich identyfikator贸w (liczbowych) nie by艂by problemem, gdyby odpowiednio kontrolowano dost臋p do danych jakie mo偶e posiada膰 konkretny u偶ytkownik. I mam tutaj na my艣li nie tylko "wgl膮d" w czyje艣 dane, ale tak偶e ich modyfikacje czy w ekstremalnych przypadkach skasowanie ca艂ego konta.
殴r贸d艂o: www.viruslist.pl |