Československá literární komunita

Tak jako generace autorů před vámi, publikujte svoji psanou tvorbu. Podělte se o svoje názory a sbírejte zpětnou vazbu na svoje díla. Inspirujte se a učte od nejlepších.

Přidejte se

Únik IP adres uživatelů Písmáka

24. 08. 2011
6
0
1888
Autor
Dero

Vážení uživatelé,

v nedávné době byl jeden z uživatelů Písmáka vlákán uživatelem VT Marvin pod dílo, které obsahovalo programový kód (JavaScript) umožňující odhalit IP adresu a další údaje daného uživatele.

Při bližším prozkoumání databáze vyšlo najevo, že dva zdejší uživatelé, jmenovitě Marking Machine (a jeho alternicky) a VT Marvin (a jeho alternicky), zde již v minulosti sběr IP adres opakovaně prováděli. Připojovali kód JavaScriptového počítadla ke svým dílům a získali tak přístup k IP adresám zdejších uživatelů. Prostým porovnáním seznamu přístupů z internetového počítadla a seznamu přístupů k dílu tak mohli zjistit IP adresu každého uživatele, který některé z jimi upravených děl navštívil.

Jedná se o tato díla uživatele Marking Machine (+ alternicků):

  • http://pismak.cz/index.php?data=read&id=334244 (nick Belgie)
  • http://pismak.cz/index.php?data=read&id=334381
  • http://pismak.cz/index.php?data=read&id=334441
  • http://pismak.cz/index.php?data=read&id=335286
  • http://pismak.cz/index.php?data=read&id=338523 (nick Pan Otazník)
  • http://pismak.cz/index.php?data=read&id=381771 (nick Mám místo mozku z piva kostku)
  • http://pismak.cz/index.php?data=read&id=381773
  • http://pismak.cz/index.php?data=read&id=381812
  • http://pismak.cz/index.php?data=read&id=381822 (nick Sabinek)
  • http://pismak.cz/index.php?data=read&id=381968 (nick romantickipavlik)
    • Toto dílo zneužil i VT Marvin k zaslání avíza osobě, jejíž IP adresu chtěl aktuálně získat. Jeho poslední komentář ve znění "avi admin" nesměřuje adminům, nýbrž jeho oběti.
  • http://pismak.cz/index.php?data=read&id=388940 (nick Marking Machine)
  • http://pismak.cz/index.php?data=read&id=389644 (nick Nedůležitý)

A o tato díla uživatele VT Marvin (+ alternicků):

  • http://pismak.cz/index.php?data=read&id=382382 (nick Vince Black)
  • http://pismak.cz/index.php?data=read&id=382612 (nick Emanuel Ředkvička)
  • http://pismak.cz/index.php?data=read&id=390782 (nick VT Marvin)

Seznam výše i s názvy děl: http://pismak.cz/download/pismak_toplist.png

Uživateli VT Marvin bylo uděleno varování, uživatel Marking Machine bude vzhledem k aktuálně platnému varování i se svými alternicky na 30 dní zablokován.

Jaké údaje mohly uniknout?

  • Vaše IP adresa, kterou měl počítač přidělenu v okamžiku, kdy jste si prohlíželi dané dílo.
  • Informace o operačním systému, který používáte, a jeho nastavení (minimálně zneužitelné).
  • Informace o internetovém prohlížeči, který používáte (minimálně zneužitelné).

Co se dá zjistit z IP adres(y)?

  • Vaše přibližná geografická poloha.
  • Alternicky, které používáte.

Co se nedá zjistit z uniklých údajů?

  • Vaše soukromá korespondence, koncepty děl nebo heslo na Písmáku.
  • Stránky, které mimo Písmáka navštěvujete.

Je IP adresa soukromý údaj?

Ne, není. Správa serveru má k dispozici IP adresy všech uživatelů jako ostatně správa kteréhokoli internetového serveru. Vzhledem k zaměření Písmáka však IP adresu považujeme za citlivý údaj, neboť zdejší uživatelé mají právo zůstat v anonymitě, chtějí-li používat více uměleckých pseudonymů. Proto IP adresu nikde na serveru nezveřejňujeme a proto považujeme aktivity vedoucí k jejímu zjištění třetí stranou prostřednictvím tohoto webu za zneužití aplikace a tudíž porušení pravidel.

Jak se to mohlo stát? Proč není Písmák lépe zabezpečen?

Již historicky na Písmáku uživatelům umožňujeme vkládat do svých děl a kritik HTML kód. Takto například množství uživatelů vkládá obrázky. Prozatím nebylo potřeba tento režim žádným způsobem omezovat, neboť zdejší uživatelé této volnosti užívali v souladu se zaměřením serveru - k dekoraci a personalizaci svých děl či kritik.

Uživatelům také bylo umožněno vkládat programové kódy, skripty, což je zjevná bezpečnostní chyba, která zde byla tak dlouho přítomná pouze z toho důvodu, že ji nikdo nezneužil. Alespoň na těch nejexponovanějších místech jsem tuto chybu opravil. V nejbližší době nahraji i větší balík oprav, které by měly dále omezit zneužitelnost zdejšího systému. Jsem však limitován nedostatkem volného času, proto prosím o strpení.

Uživatele vyzývám, aby tento server využívali v souladu s jeho zaměřením, a apeluji, aby nezneužívali jeho technických nedokonalostí k žádným nestandardním účelům. Bohužel není v mých silách nárazově všechny nedostatky starého kódu poopravovat, musím se tedy spolehnout na dobrou vůli vás, uživatelů.

Děkuji za pochopení a vemi se omlouvám těm uživatelům, jichž se únik IP adres dotýká.

-- Dero


Na psaní názorů musíte mít ověřený email.
Sdílení
Nahoru