Československá literární komunita
Tak jako generace autorů před vámi, publikujte svoji psanou tvorbu. Podělte se o svoje názory a sbírejte zpětnou vazbu na svoje díla. Inspirujte se a učte od nejlepších.
Přidejte seÚnik IP adres uživatelů Písmáka
Autor
Dero
Vážení uživatelé,
v nedávné době byl jeden z uživatelů Písmáka vlákán uživatelem VT Marvin pod dílo, které obsahovalo programový kód (JavaScript) umožňující odhalit IP adresu a další údaje daného uživatele.
Při bližším prozkoumání databáze vyšlo najevo, že dva zdejší uživatelé, jmenovitě Marking Machine (a jeho alternicky) a VT Marvin (a jeho alternicky), zde již v minulosti sběr IP adres opakovaně prováděli. Připojovali kód JavaScriptového počítadla ke svým dílům a získali tak přístup k IP adresám zdejších uživatelů. Prostým porovnáním seznamu přístupů z internetového počítadla a seznamu přístupů k dílu tak mohli zjistit IP adresu každého uživatele, který některé z jimi upravených děl navštívil.
Jedná se o tato díla uživatele Marking Machine (+ alternicků):
- http://pismak.cz/index.php?data=read&id=334244 (nick Belgie)
- http://pismak.cz/index.php?data=read&id=334381
- http://pismak.cz/index.php?data=read&id=334441
- http://pismak.cz/index.php?data=read&id=335286
- http://pismak.cz/index.php?data=read&id=338523 (nick Pan Otazník)
- http://pismak.cz/index.php?data=read&id=381771 (nick Mám místo mozku z piva kostku)
- http://pismak.cz/index.php?data=read&id=381773
- http://pismak.cz/index.php?data=read&id=381812
- http://pismak.cz/index.php?data=read&id=381822 (nick Sabinek)
-
http://pismak.cz/index.php?data=read&id=381968 (nick romantickipavlik)
- Toto dílo zneužil i VT Marvin k zaslání avíza osobě, jejíž IP adresu chtěl aktuálně získat. Jeho poslední komentář ve znění "avi admin" nesměřuje adminům, nýbrž jeho oběti.
- http://pismak.cz/index.php?data=read&id=388940 (nick Marking Machine)
- http://pismak.cz/index.php?data=read&id=389644 (nick Nedůležitý)
A o tato díla uživatele VT Marvin (+ alternicků):
- http://pismak.cz/index.php?data=read&id=382382 (nick Vince Black)
- http://pismak.cz/index.php?data=read&id=382612 (nick Emanuel Ředkvička)
- http://pismak.cz/index.php?data=read&id=390782 (nick VT Marvin)
Seznam výše i s názvy děl: http://pismak.cz/download/pismak_toplist.png
Uživateli VT Marvin bylo uděleno varování, uživatel Marking Machine bude vzhledem k aktuálně platnému varování i se svými alternicky na 30 dní zablokován.
Jaké údaje mohly uniknout?
- Vaše IP adresa, kterou měl počítač přidělenu v okamžiku, kdy jste si prohlíželi dané dílo.
- Informace o operačním systému, který používáte, a jeho nastavení (minimálně zneužitelné).
- Informace o internetovém prohlížeči, který používáte (minimálně zneužitelné).
Co se dá zjistit z IP adres(y)?
- Vaše přibližná geografická poloha.
- Alternicky, které používáte.
Co se nedá zjistit z uniklých údajů?
- Vaše soukromá korespondence, koncepty děl nebo heslo na Písmáku.
- Stránky, které mimo Písmáka navštěvujete.
Je IP adresa soukromý údaj?
Ne, není. Správa serveru má k dispozici IP adresy všech uživatelů jako ostatně správa kteréhokoli internetového serveru. Vzhledem k zaměření Písmáka však IP adresu považujeme za citlivý údaj, neboť zdejší uživatelé mají právo zůstat v anonymitě, chtějí-li používat více uměleckých pseudonymů. Proto IP adresu nikde na serveru nezveřejňujeme a proto považujeme aktivity vedoucí k jejímu zjištění třetí stranou prostřednictvím tohoto webu za zneužití aplikace a tudíž porušení pravidel.
Jak se to mohlo stát? Proč není Písmák lépe zabezpečen?
Již historicky na Písmáku uživatelům umožňujeme vkládat do svých děl a kritik HTML kód. Takto například množství uživatelů vkládá obrázky. Prozatím nebylo potřeba tento režim žádným způsobem omezovat, neboť zdejší uživatelé této volnosti užívali v souladu se zaměřením serveru - k dekoraci a personalizaci svých děl či kritik.
Uživatelům také bylo umožněno vkládat programové kódy, skripty, což je zjevná bezpečnostní chyba, která zde byla tak dlouho přítomná pouze z toho důvodu, že ji nikdo nezneužil. Alespoň na těch nejexponovanějších místech jsem tuto chybu opravil. V nejbližší době nahraji i větší balík oprav, které by měly dále omezit zneužitelnost zdejšího systému. Jsem však limitován nedostatkem volného času, proto prosím o strpení.
Uživatele vyzývám, aby tento server využívali v souladu s jeho zaměřením, a apeluji, aby nezneužívali jeho technických nedokonalostí k žádným nestandardním účelům. Bohužel není v mých silách nárazově všechny nedostatky starého kódu poopravovat, musím se tedy spolehnout na dobrou vůli vás, uživatelů.
Děkuji za pochopení a vemi se omlouvám těm uživatelům, jichž se únik IP adres dotýká.
-- Dero