Hlavní navigace

Nebezpečné URI a další nové kontinenty

Vojtěch Bednář 20. 8. 2007

Způsob, kterým prohlížeče pod Windows - a možná nejen pod nimi - pracují s adresami URI, je prý aktuální a novou bezpečnostní hrozbou. Je to hrozba. Ale ani aktuální, ani nová.

Vojtěch Bednář

Ilustrace: Nenad Vitas

Zajímáte-li se o trendy v bezpečnosti, pak určitě navštivte tuto stránku. Díry větší, než jsme si mysleli, tak se jmenuje příspěvek, který ve stručnosti popisuje toto: způsob, kterým webové prohlížeče implementují práci s identifikátory prostředků, vede k tomu, že s pomocí webových stránek, respektive odkazů, je možné spouštět místní aplikace v počítači. Tato nová a aktuální bezpečnostní hrozba má představovat nedozírné riziko a motá hlavu nejen uživatelům, ale i programátorům a IT profesionálům.

Vzpomínám si na to jako by to bylo dnes, i když je to už dobrých pět let. Jistý člověk – softwarový vývojář, který se bezpečností zabývá v podstatě okrajově – prezentoval zákazníkovi nový projekt. Jednalo se o ranou verzi aplikace, která, ač běžela lokálně na PC s Windows, používala pro komunikaci k uživatelem webový prohlížeč. Jednou z funkcí, kterou tato aplikace disponovala a pro svou funkci potřebovala, bylo spouštění programů z odkazů na stránkách. Bylo tak možné dosahovat na svou dobu pozoruhodných efektů.

Když nastala nejobávanější část prezentace, tedy diskuze, kdosi z přítomných se šťouravě zeptal, zda právě tato vlastnost nemůže být potenciálně zneužitelná k napadení počítače (webový prohlížeč byl jediným klientským programem a uživatel měl zamezen přístup ke standardním nabídkám systému), jeho hacknutí a vykradení informací. Dostalo se mu odpovědi, že něco podobného je krajně nepravděpodobné a že s bezpečností si vzhledem k tomu, že vše je pod kontrolou, není nutné jakkoliv lámat hlavu.

CIF16

Tazatele to kupodivu neodradilo a téma poněkud rozšířil. A co kdyby třeba někdo otevřel nějakou internetovou stánku a například si tak zformátoval disk? Byl „setřen“ za svou naivitu a diskuze pokračovala méně absurdními dotazy.

Jak to tak vypadá, z absurdního dotazu je najedou bezpečnostní trend. Jistě, používání Internetu a webového prohlížeče se od té doby poněkud posunulo. Máme tady Web 2.0, možná bude 3.0, a další novinky, avšak fundamentální záležitosti zůstávají nezměněny. Problém se zneužíváním URI, i když nemusí jít jen o spouštění aplikací, ale nespočívá ve hledání a léčení bezpečnostních ran programů. Jde o jejich vývoj. A poučení z oné pět let staré historky zůstává stále stejné. Totiž že na podobné věci se má myslet při vývoji aplikací a ne až při jejich používání. A že ani naivní dotazy nelze ignorovat, protože když se ignorují, může to vést nejenom k takovým důsledkům. Ale hlavně k popření základní zásady každého vývoje, a nejen softwarového; že centrem pozornosti je ten, kdo bude produkt nakonec používat, nebo kdo se k němu třeba jen i náhodou dostane. Ne ten, kdo jej vyvíjí a připravuje. Žel bohu, a v tom se s Techworldem shodnu, tomu tak nebylo, a velmi často – až příliš často – tomu tak není ani dnes. Škoda.

Našli jste v článku chybu?
Vitalia.cz: Když bílkoviny, tak jíme ty nekvalitní

Když bílkoviny, tak jíme ty nekvalitní

Podnikatel.cz: Letáky? Lidi zuří, ale ony stále fungují

Letáky? Lidi zuří, ale ony stále fungují

Root.cz: Prvních 700 routerů Omnia je hotových

Prvních 700 routerů Omnia je hotových

Vitalia.cz: Muž, který miluje příliš. Ženám neimponuje

Muž, který miluje příliš. Ženám neimponuje

DigiZone.cz: RRTV: licence pro Šlágr TV

RRTV: licence pro Šlágr TV

Měšec.cz: TEST: Vyzkoušeli jsme pražské taxikáře

TEST: Vyzkoušeli jsme pražské taxikáře

Podnikatel.cz: „Lex Babiš“ Babišovi paradoxně pomůže

„Lex Babiš“ Babišovi paradoxně pomůže

DigiZone.cz: LG OLED65E6: první pohled

LG OLED65E6: první pohled

Vitalia.cz: dTest odhalil ten nejlepší kečup

dTest odhalil ten nejlepší kečup

DigiZone.cz: Nejnovější špičkové TV ve videu

Nejnovější špičkové TV ve videu

DigiZone.cz: Nova opět stahuje „milionáře“

Nova opět stahuje „milionáře“

Vitalia.cz: 7 příčin neplodnosti u žen: pravda a mýty

7 příčin neplodnosti u žen: pravda a mýty

DigiZone.cz: DVB-T2 ověřeno: seznam TV zveřejněn

DVB-T2 ověřeno: seznam TV zveřejněn

120na80.cz: Zázrak ze smetiště: co léčí lopuch?

Zázrak ze smetiště: co léčí lopuch?

Lupa.cz: Bude Google platit médiím za použití článků?

Bude Google platit médiím za použití článků?

Vitalia.cz: Test dětských svačinek: Tyhle ne!

Test dětských svačinek: Tyhle ne!

120na80.cz: Co je padesátkrát sladší než cukr?

Co je padesátkrát sladší než cukr?

Lupa.cz: Patička e-mailu závazná jako vlastnoruční podpis?

Patička e-mailu závazná jako vlastnoruční podpis?

120na80.cz: Galerie: Čínští policisté testují českou minerálku

Galerie: Čínští policisté testují českou minerálku

Vitalia.cz: Antibakteriální mýdla nepomáhají, spíš škodí

Antibakteriální mýdla nepomáhají, spíš škodí