VID EDS dati Google meklētājā
14 punkti
|
agriskrusts
| 19.02.10 09:42 |
12
komentāri
|
|
|
Vakar nopublicēju rakstu par to, cik vigli bija izmantot VID EDS lai konstatētu, ka tāda informācijas nopūdes problēma eksistē: Cik viegli bija atklāt "caurumu" VID EDS sistēmā. Tomēr tāds vienkāršs veids nav vienīgais kā par šo problēmu uzzināt. 4ATA biedrs Neo intervijā Jānim Domburam (http://www.knl.lv/raksti/1027/) rakstīja, ka par caurumu esot uzzinajuši no kāda programmētāja, bet atklāt to izdevās diezgan vēlu. Un atklāja, tāpēc ka "paveicās."
Vai eksistē vēl kāds veids? Ātra ielūkošanās Google indeksā atklāj diezgan interesantu lietu: tajā nezināmu iemeslu pēc parādās slavenais GetDuf.aspx dokuments demo sistēmā. Saturs, protams, šobrīd neatbilst XML failu formātam un nesatur kādu nodokļu deklarāciju, bet pieslēgšanās lapu EDS demo sistēmai.
Jebkuram "hakerim" pat ar šadu informāciju pietiktu, lai pamēģinātu, kā šis dokuments uzvedas produkcijas sistēmā. Varbūt par šādu veiksmi stāsta Neo.
Šajā sakarā, gan daudz interesantāks ir jautājums par to vai kādā laika posmā Google nebija piekļuvis šim skriptam, kad tas bija neaizsargāts un savā indeksā neglabāja Latvijas nodokļu maksātāju iesniegtās deklarācijas? Ne, visas, protams, bet pat vienas nokļūšana tajā ir dīvaina. Ja tas tiešām tā ir bijis, tad jebkurš, kam ir izdevies nokopēt kādu nodokļu deklarāciju varēs policijai stāstīt, ka pie tās nokļuvis izmantojot Google meklētāju .... Un diez vai Google būs tik pretīmnākošs un palīdzēs policijai pasakot va konkrētais dokuments kādreiz (kopš 2008.gada) ir vai nav bijis tā indeksā.
Saistītie raksti:
» Cik viegli bija atklāt "caurumu" VID EDS sistēmā
» Deivids Hejs sakauj krievu milzi Valujevu
» Livonijas viduslaiku apmetne – Godesverdera
» Pits un Džolija INGLORIOUS BASTERDS pirmizrādē
» Lūdzu, čurājiet dušā - Brazīlijas ūdens taupīšanas kampaņa
» Cik viegli bija atklāt "caurumu" VID EDS sistēmā
» Deivids Hejs sakauj krievu milzi Valujevu
» Livonijas viduslaiku apmetne – Godesverdera
» Pits un Džolija INGLORIOUS BASTERDS pirmizrādē
» Lūdzu, čurājiet dušā - Brazīlijas ūdens taupīšanas kampaņa
Pievienot komentāru
Komentē kā lietotājs
Anonīms
komentārs
Vēl jau varētu paspēlēties ar cookie informāciju, jo tur arī
izstrādātāji ir izmantojuši diezgan vieglus kodus, kurus pamainot varētu no
demo kļūt par autorizētu lietotāju ;)
atbildēt
Anonīms
komentārs
Vēl jau varētu paspēlēties ar cookie informāciju, jo tur arī
izstrādātāji ir izmantojuši diezgan vieglus kodus, kurus pamainot varētu no
demo kļūt par autorizētu lietotāju ;)
atbildēt
Anonīms
komentārs
Kā cilvēks, kurš izstrādā dažādas sistēmas, varu teikt, ka šis caurums
ir tīrākā neuzmanības kļūda no sākuma programmētājam, kurš elementāri
nesalīdzina id (šajā gadījumā vai šim lietotājam ir piekļuve dokumentam
ar šādu id) un otrajā posmā jau testētājam, jo viņam jāpārbauda visas
dinamiskās vienības, tai skaitā arī ID... Nu varam pamēģināt elementāri
ar šādu pašu paņēmienu (ID maiņu) paklejot pa draugiem.lv... Nu tur
redzēsi citus profilus un tādā secībā, kā viņi reģistrējušies, bet
nespēsi neko mainīt, jo tiesības mainīt šī lietotāja datus tev nav! Zinot
kādā steigā jaunais EDS tika palaists pieļauju, ka auditēja citu, varbūt
veco EDS versiju, kas nav tāda kā jaunā...
atbildēt
Anonīms
komentārs
Nav ko piebilst par VID sistēmu. Pirmkārt jau testa vides ir tikai
iekšējās. Arī reālās vides ir iekšējās ar piekļuves tiesībām no
atsevišķām ārējām darbstacijām pēc konkrētiem IP. VID vajag nopietni
padomāt par pēdējo gadu darbu.
atbildēt
agriskrusts
(par Anonīms komentāru)
Protams, ka nomaiņa nebūs risinājums. Šādas lietas gandrīz jebkuram
izstrādātājam var gadīties. Kā var noprast, sistēmu izstrādāja steigā
un šī konkrētā lieta ir programmētāja neuzmanība. Negribētu būt tā
cilvēka vietā šobrīd - sajūta noteikti ir pavisam bēdīga.
atbildēt
Anonīms
komentārs
Vai tu tici, ka IT izstrādātāja nomaiņa būtu risinājums?
Nu ja abstrahējas no tā, ka jebkuram ITšņikam gribas jaunus projektus.
Nu ja abstrahējas no tā, ka jebkuram ITšņikam gribas jaunus projektus.
atbildēt
ak34
(par Anonīms komentāru)
Nepamēģināju, jo netaisu bezmaksas auditus, turklāt šādas lietas
mēģināšana nav diez ko likumīga un var sagādāt problēmas. Nav man hobijs
lauzt visu, kas ir uzlaužams.
Man ir vairāki paziņas, kuriem dēļ šāda hobija ir sanākušas problēmas, tai skaitā ar likumsargiem. Ik pa laikam gadās, ka labu gribišs ziņotājs pats dabū ciest, jo pret viņu ierosina lietu par sistēmas uzlauzšanu. Šāda iemesla pēc diemžēl neiesaku ziņot par atklātajiem drošības caurumiem šādās sistēmās. Ja vien labi nepazīsti cilvēku, kam šādas ziņas sniedz un viņš nemēģinās "piešūt" "kiberuzbrukumu"
Man ir vairāki paziņas, kuriem dēļ šāda hobija ir sanākušas problēmas, tai skaitā ar likumsargiem. Ik pa laikam gadās, ka labu gribišs ziņotājs pats dabū ciest, jo pret viņu ierosina lietu par sistēmas uzlauzšanu. Šāda iemesla pēc diemžēl neiesaku ziņot par atklātajiem drošības caurumiem šādās sistēmās. Ja vien labi nepazīsti cilvēku, kam šādas ziņas sniedz un viņš nemēģinās "piešūt" "kiberuzbrukumu"
atbildēt
Anonīms
komentārs
"Jebkuram "hakerim" pat ar šadu informāciju pietiktu, lai
pamēģinātu, kā šis dokuments uzvedas produkcijas sistēmā."
Ja jau tev tagad tas šķiet tik acīmredzami, kāpēc tad nepamanīji šo caurumu un kā apzinīgs nodokļu maksātājs neinformēji VID?
Atbilde: tāpēc, ka TAGAD, jau zinot detaļas, ir ārkārtīgi viegli sist dūri pie krūtīm un stāstīt, ka tas taču elementāri, es to būtu pamanījis bezmaz vai pirmajā acu uzmetienā utt.
Ja jau tev tagad tas šķiet tik acīmredzami, kāpēc tad nepamanīji šo caurumu un kā apzinīgs nodokļu maksātājs neinformēji VID?
Atbilde: tāpēc, ka TAGAD, jau zinot detaļas, ir ārkārtīgi viegli sist dūri pie krūtīm un stāstīt, ka tas taču elementāri, es to būtu pamanījis bezmaz vai pirmajā acu uzmetienā utt.
atbildēt
ak34
(par Anonīms komentāru)
Diez vai ka pašam ir saprašana par to, kā strādā meklētāji. ;) Precīza
informācija par to kā strādā Google meklētājs ir pieejama tik viņiem
pašiem.
Rakstā ir saite uz GetDuf EDS demo sistēmā, nevis produkcijas. Produkcijas caurums ir jau diezgan ilgu laiku kā aiztaisīts. Savukārt demo vide tika salabota realtīvi nesen. Demo vidē pie citiem dokumentiem varēja tikt klāt vēl otrdien pa dienu. Un ievadot neeksistējošu dokumenta numuru rādīja kļūdas paziņojumu.
Jāsaka gan ka saturs bija pieejams tikai autorizētiem lietotājiem. Dienas beigās demo videi problēmu izlaboja.
Turklāt šī pat saite bija tur atrodama arī pirms De Facto raidījuma. Ar šādu pašu Google indeksa saturu.
Tas ka informācija nav Google indeksā šobrīd nozīmē, ka tā nav pieejama. Google nav interneta vēstures arhīvs un mūžīgi neglabā vecas lapu kopijas. īpaši tādas uz kurām vairs apmeklētājs nevar nokļūt, jo šādus rezultātus rādīt būtu slikts klientu serviss. Gan jau, ka ar laiku pazudīs arī šī saite.
Ja ir tā kā rakstīja Neo, tad iedabūt Google indeksā deklarācijas nebija problēmas - vajadzēja ielikt kaut kur saiti uz tām vai paskatīties tās Google Chrome pārlūkā
Rakstā ir saite uz GetDuf EDS demo sistēmā, nevis produkcijas. Produkcijas caurums ir jau diezgan ilgu laiku kā aiztaisīts. Savukārt demo vide tika salabota realtīvi nesen. Demo vidē pie citiem dokumentiem varēja tikt klāt vēl otrdien pa dienu. Un ievadot neeksistējošu dokumenta numuru rādīja kļūdas paziņojumu.
Jāsaka gan ka saturs bija pieejams tikai autorizētiem lietotājiem. Dienas beigās demo videi problēmu izlaboja.
Turklāt šī pat saite bija tur atrodama arī pirms De Facto raidījuma. Ar šādu pašu Google indeksa saturu.
Tas ka informācija nav Google indeksā šobrīd nozīmē, ka tā nav pieejama. Google nav interneta vēstures arhīvs un mūžīgi neglabā vecas lapu kopijas. īpaši tādas uz kurām vairs apmeklētājs nevar nokļūt, jo šādus rezultātus rādīt būtu slikts klientu serviss. Gan jau, ka ar laiku pazudīs arī šī saite.
Ja ir tā kā rakstīja Neo, tad iedabūt Google indeksā deklarācijas nebija problēmas - vajadzēja ielikt kaut kur saiti uz tām vai paskatīties tās Google Chrome pārlūkā
atbildēt
Anonīms
komentārs
Stulbums. Vai nu autoram nav nekādas izpratnes par meklētāju darbību, vai
arī šī ir tīšām veidots tendenciozs raksts panikas un kopējā sajukuma
līmeņa celšanai.
Protams, ka šobrīd tas fails ir indeksēts. Vai autors ir apskatījies, cik dažādos resursos tas pēdējās dienās ir ticis iesaitēts? Un to, vai XML'i ir noindeksēti var pārbaudīt dažu sekunžu laikā. Atbilde ir nē, nav...
Protams, ka šobrīd tas fails ir indeksēts. Vai autors ir apskatījies, cik dažādos resursos tas pēdējās dienās ir ticis iesaitēts? Un to, vai XML'i ir noindeksēti var pārbaudīt dažu sekunžu laikā. Atbilde ir nē, nav...
atbildēt
atbildēt