מסתבר שאין כמו חוסר שינה כדי לצוץ עם רעיונות, גם אם קצת מטורפים.
היום בבוקר עלתה בדעתי דרך שאפשר לעקוף את ההגנות שיש לישראבלוג כרגע כנגד עוד תולעת מהסוג שתקפה אותו לפני שלושה שבועות (כתבתי על זה לפני יומיים).
כתבתי ליריב אימייל שמסביר את ההתקפה החדשה. להזכירכם, בפעם שעברה הוא פשוט טען שזה בלתי אפשרי. הפעם הוא כתב את התגובה הבאה:
אני בתהליך של העברת הקלט דרך מסננים שימנעו כל תג ו-attribute שאינם מורשים.
אלו חדשות מצויינות. זהו פתרון שיכול, אם ממומש כמו שצריך, לפתור אחת ולתמיד את הבעיות. כמובן שייתכן שיהיו בעיות מימוש בפתרון, אבל ברגע שהגישה נכונה, יהיה יחסית קל לפתור את הבעיות שיצוצו.
כמובן שאני אמרתי את זה כבר בינואר של שנה שעברה (לפני שנה ושליש), וחבל שיריב היה צריך שמישהו יכתוב תולעת לפני שהוא לוקח את נושא האבטחה בצורה רצינית.
כדי לעקוב אחרי הנהלים המקובלים, ומכיוון שעל פי הערכותיו של יריב ייקח בין חודש לחודשיים ליישם את הפתרון הזה, אני דוחה את הפירסום של הדרך לכתוב תולעת שתעבוד על ישראבלוג כפי שהוא כרגע. אני אפרסם את הדרך עוד חודש, או כאשר הפתרון ימומש, המוקדם מבינהם.
כן ביקשתי במפורש מיריב שייתן קרדיט כאשר הוא מפרסם. צר לי שאני דואג לא רק לישראבלוג אלא גם לביתי. באופן אישי אני חושב שהרווחתי את זה ביושר. אתם מוזמנים לחוות את דעתכם החולקת בתגובות 
שחר
לפחות תזהיר אותי לפני פרסום התולעת?
למרות שאין לי שום מושג מה אעשה עם האזהרה הזו.
אין לי שום כוונה לכתוב תולעת. רק להגיד "אם תעשו 1 2 3 אז תהיה לכם תולעת עובדת".
בכל מקרה, תמיד קחי בחשבון את הנקודות הבאות:
1. אני לא בן האדם החכם היחידי, בהחלט יכול להיות שמישהו אחר גם יעלה על זה, בין אם אני אפרסם ובין אם לאו.
2. אם זה לא יקרה תוך חודש, אני קצת בספק אם זה יקרה בכלל ללא תמריץ. כמו שכבר כתבו פה, זה לא מדע גרעיני.
לגבי מה לעשות, זה מאוד פשוט, גם אם לא נוח:
אל תכנסי למערכת אלא אם את צריכה לעשות בה משהו (לעדכן בבלוג שלך, לבדוק סטטיסטיקות וכו’).
אם נכנסת, תעשי את מה שאת צריכה, ואז תלחצי על "יציאה".
ברמת העקרון ההתקפה יכולה להיות בבלוג של אנשים אחרים או אצלך בתגובות. יהיה קשה קצת להתמודד עם המגבלה על אורך התגובה, אבל לא בלתי אפשרי.
צר לי שאני כל כך משרה פרנויה, אבל המצב לא טוב. לא ברור, ואפילו לא בהכרח סביר, שמישהו יחליט לנצל את זה.
אלו החסרונות של שימוש במערכת לא מאובטחת.
שחר
כלומר, כל עוד אני לא מזדהה ונכנסת לבלוג שלי – הכל בסדר?
או שהכוונה לא להתקרב לישראבלוג בכלל?
בעעעההה.
🙁
מקווה שיריב יסתדר עם זה.
כל עוד את לא מזדהה בבלוג שלך, את בסדר.
שחר
תודה.
א. ברור שמגיע לך קרדיט, אתה לא צריך להתנצל על זה.
ב. כל הכבוד לך על ההשקעה!
ג. זה ממש מעצבן שכל פעם צריך להירשם מחדש כדי להוסיף פוסטים!
שחר, אני בהחלט חושב שמגיע לך קרדיט (אם לא יותר).
העצות שלך שוות הרבה כסף בעולם האמיתי (בהנחה שיריב היה לוקח מישהו שזה עיסוקו על מנת לייעץ לו).
אם יריב יממש אותן, זה גם ימנע נזק פוטנציאלי לתדמית של ישראבלוג, וכמובן, נזק ממשי למשתמשים.
ישר כוח.
אין ספק שמגיע לך קרדיט.
כמו כן – אין ספק שבארץ משום מה אין מודעות לעניין.
לא מבין את זה.
אתה עושה ליריב שירות בחינם, מתריע על בעייה אמיתית והוא אפילו לא מודה בזה.
ממש בת יענה.
כאילו שאם הוא לא יודה, זה לא ייקרה.
המינימום זה לתת קרדיט (ואולי גם לבקש עזרה).
לתת קרדיט זה מקובל. אני חושב שחלק מהעניין זה התגובה שלו להצעה שלי לדחות את הפרסום:
לפי הנהוג בעולם האבטחה? אפשר לחשוב שאני מיקרוסופט. אני בן אדם אחד ואני עושה פה את הפיתוח, התמיכה, הנהלת החשבונות, הפיתוח העסקי והכל.
מה שגורם לי להניח שהוא לא מתכוון לתת קרדיט, לא.
בכל מקרה, לגבי לבקש עזרה, זה לא מקובל להניח. כמובן שאם הוא יבקש עזרה, אני אעזור (בתשלום), אבל להרגיש "חייב" לכל פוץ שמחליט להראות לך שגיאת אבטחה גם לשכור את שירותיו זו מטלה לא הגיונית. הסיבה היחידה שהצעתי את שירותי זה בגלל הטענה שלו שהוא לא יכול.
וכן, בהחלט יכול להיות שיריב בעצם רוצה שישרא יהיה רק אתר לבלוגים של פאקצות!1!!
שחר
אני מתייחס לזה שהוא אמר שהוא לא יכול.
אם יש מישהו אחר שכן יכול – כדאי לפנות אליו.
ברור שאותו אדם יכול וגם צריך לקבל שכר על מעשיו.
אני לא מבין רק את הקטע של ההתנצלות שלך.
הרי אף אחד לא חי כאן מעבודה לשם שמיים.
אתה יכול וצריך לקבל קרדיט על זה – מה שאתה עושה שווה כסף.
ולגבי הפקצות – הרגת אותי 🙂
אני לא חושב שאני מפר תנאי שימוש בזה שאני מפרסם כאן. תנאי השימוש אוסרים עלי לתקוף את המערכת, לא לפרסם טקסט, ולא משנה מהו תוכנו.
וכן, אני לקוח משלם. יש משפט מאוד ידוע מימי ראשית האינטרנט: "http://www.unc.edu/depts/jomc/academics/dri/idog.html">באינטרנט, אף אחד לא יודע שאתה כלב". כמו שמישהו אמר פעם, אתה יכול להיות ילד מובטל שמנהל אתר מהמרתף של אמא שלו, אבל חשוב שהאתר לא יראה כאילו הוא מנוהל ע"י ילד מובטל שעובד מהמרתף של אמא שלו, וכאן אני חושש שיריב נכשל.
לגבי הפירצה – אני לא יכול להגיד שום דבר בבטחון, אבל אני לא חושב שהפרצה הזו תבגר ע"י עוד תיקון מקומי. זו לא פירצה חדשה, כמו שזו דרך חדשה לנצל את הפרצות הקיימות שיריב כבר הודיע שהוא לא מתכוון לסגור (למעט באמצעות השינוי היסודי).
אני לא יודע בוודאות אם זה המייל שלי שגרם לו להחליט שהגיע הזמן לסגור את הבעיה, אבל אני יודע שלפני שלושה ימים שלחתי לו מייל שעליו התשובה היתה "אין בעיה", ואתמול שלחתי אליו מייל שעליו התשובה היתה "בסדר, אני אפתור את זה".
שחר
למדת בעירוני ט’ בתל אביב?
לא.
ואת?
שחר
שחר שלום,
עברתי גם אני קצת על האופציות בישראבלוג, ומצאתי מספר דברים העלולים להוות בעיית האבטחה, כולם ללא יוצא מהכלל באמצעות פרצות XSS והחדרת script זדוני.
ההצעה שלי ליריב, היא במקביל לפעולות שהוא נוקט, לפנות ליועץ אבטחת מידע חיצוני, שיגיע עם "ראש פתוח" ויוכל לאתר את הבעיות בצרה יותר טובה.
שחר.
"לצוץ עם" זה תרגום מאנגלית?
YEAh
מעניין… עד כמה זה עובד?
href=javascript:alert
javascript:alert
javascript:alert2
כנראה שהדרך היחידה היא באמת מסנן HTML חכם, למשל כזה שיפרק את הקוד למרכיביו (בסהכ יש פה קישורים, תמונות, וגופן) וירכיב מחדש באופן נקי
הממ.. אני רואה שה- מסוננים כבר, לפחות זה
אפילו מהטקסט ה-om mouse over מסוננים
איזה חולקת. מה פתאום.
גם כל מה שקראתי (קצת) לאחור, נשמע נכון ומדויק.
יש לי פוסט במצב צבירה של טיוטא, שצועק מכיוון העוול שנגרם ליוזביליות ולממשק. אתה הרבה יותר מנומס ממני.
🙂