Hlavní navigace

Nebezpečné URI a další nové kontinenty

Vojtěch Bednář

Způsob, kterým prohlížeče pod Windows - a možná nejen pod nimi - pracují s adresami URI, je prý aktuální a novou bezpečnostní hrozbou. Je to hrozba. Ale ani aktuální, ani nová.

Vojtěch Bednář

Ilustrace: Nenad Vitas

Zajímáte-li se o trendy v bezpečnosti, pak určitě navštivte tuto stránku. Díry větší, než jsme si mysleli, tak se jmenuje příspěvek, který ve stručnosti popisuje toto: způsob, kterým webové prohlížeče implementují práci s identifikátory prostředků, vede k tomu, že s pomocí webových stránek, respektive odkazů, je možné spouštět místní aplikace v počítači. Tato nová a aktuální bezpečnostní hrozba má představovat nedozírné riziko a motá hlavu nejen uživatelům, ale i programátorům a IT profesionálům.

Vzpomínám si na to jako by to bylo dnes, i když je to už dobrých pět let. Jistý člověk – softwarový vývojář, který se bezpečností zabývá v podstatě okrajově – prezentoval zákazníkovi nový projekt. Jednalo se o ranou verzi aplikace, která, ač běžela lokálně na PC s Windows, používala pro komunikaci k uživatelem webový prohlížeč. Jednou z funkcí, kterou tato aplikace disponovala a pro svou funkci potřebovala, bylo spouštění programů z odkazů na stránkách. Bylo tak možné dosahovat na svou dobu pozoruhodných efektů.

Když nastala nejobávanější část prezentace, tedy diskuze, kdosi z přítomných se šťouravě zeptal, zda právě tato vlastnost nemůže být potenciálně zneužitelná k napadení počítače (webový prohlížeč byl jediným klientským programem a uživatel měl zamezen přístup ke standardním nabídkám systému), jeho hacknutí a vykradení informací. Dostalo se mu odpovědi, že něco podobného je krajně nepravděpodobné a že s bezpečností si vzhledem k tomu, že vše je pod kontrolou, není nutné jakkoliv lámat hlavu.

Tazatele to kupodivu neodradilo a téma poněkud rozšířil. A co kdyby třeba někdo otevřel nějakou internetovou stánku a například si tak zformátoval disk? Byl „setřen“ za svou naivitu a diskuze pokračovala méně absurdními dotazy.

Jak to tak vypadá, z absurdního dotazu je najedou bezpečnostní trend. Jistě, používání Internetu a webového prohlížeče se od té doby poněkud posunulo. Máme tady Web 2.0, možná bude 3.0, a další novinky, avšak fundamentální záležitosti zůstávají nezměněny. Problém se zneužíváním URI, i když nemusí jít jen o spouštění aplikací, ale nespočívá ve hledání a léčení bezpečnostních ran programů. Jde o jejich vývoj. A poučení z oné pět let staré historky zůstává stále stejné. Totiž že na podobné věci se má myslet při vývoji aplikací a ne až při jejich používání. A že ani naivní dotazy nelze ignorovat, protože když se ignorují, může to vést nejenom k takovým důsledkům. Ale hlavně k popření základní zásady každého vývoje, a nejen softwarového; že centrem pozornosti je ten, kdo bude produkt nakonec používat, nebo kdo se k němu třeba jen i náhodou dostane. Ne ten, kdo jej vyvíjí a připravuje. Žel bohu, a v tom se s Techworldem shodnu, tomu tak nebylo, a velmi často – až příliš často – tomu tak není ani dnes. Škoda.

Našli jste v článku chybu?

21. 8. 2007 15:40

Fenix (neregistrovaný)
Asi jsem mimo ... jak to má implementované FF?

20. 8. 2007 16:54

To že se dá z prohlížeče pustit libovolná aplikace s libovolnými parametry bylo původně myšleno jako feature. Pro Intranet a mnohá další použití je to velmi užitečná funkce.
Ano, dá se zneužít, zejména je-li chyba v implementaci tak jak to teď má FF. O jejím potenciálním nebezpečí se vědělo hned při vývoji a záleželo na tom, v jaké security zone je ten který dotyčný web.
Určitě je bezpečnost třeba promýšlet hned na začátku a v předprodukční fázi ji pořádně otestovat (security/bug tests by měly b…

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

DigiZone.cz: Perspektivy TV v roce 1939 podle časopisu Life

Perspektivy TV v roce 1939 podle časopisu Life

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Vitalia.cz: Vychytané vály a válečky na vánoční cukroví

Vychytané vály a válečky na vánoční cukroví

Vitalia.cz: Jmenuje se Janina a žije bez cukru

Jmenuje se Janina a žije bez cukru

Vitalia.cz: Nahradí sluch, ale zvuk je zcela jiný

Nahradí sluch, ale zvuk je zcela jiný

Podnikatel.cz: Chtějte údaje k dani z nemovitostí do mailu

Chtějte údaje k dani z nemovitostí do mailu

Měšec.cz: Sleva na dítě a manželku pro OSVČ je zpět. Ale..

Sleva na dítě a manželku pro OSVČ je zpět. Ale..

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

DigiZone.cz: Česká televize mění schéma ČT :D

Česká televize mění schéma ČT :D

Root.cz: Kamery Sony se dají ovládnout na dálku

Kamery Sony se dají ovládnout na dálku

Podnikatel.cz: Udávání kvůli EET začalo

Udávání kvůli EET začalo

Vitalia.cz: Mondelez stahuje rizikovou čokoládu Milka

Mondelez stahuje rizikovou čokoládu Milka

Podnikatel.cz: Alza.cz má StreetShop. Mall.cz více výdejních míst

Alza.cz má StreetShop. Mall.cz více výdejních míst

Vitalia.cz: Když přijdete o oko, přijdete na rok o řidičák

Když přijdete o oko, přijdete na rok o řidičák

DigiZone.cz: Vedení ČRo: personální změny od ledna

Vedení ČRo: personální změny od ledna

Root.cz: Nová třída SD karet A1 s vysokým výkonem

Nová třída SD karet A1 s vysokým výkonem

120na80.cz: Co všechno ovlivňuje ženskou plodnost?

Co všechno ovlivňuje ženskou plodnost?