Hlavní navigace

Pandořina skříňka má třináctou komnatu

Marek Antoš 16. 4. 1999

Češi, řečeno s Reinhardem Heydrichem smějící se bestie, mají jednu zajímavou vlastnost: jestli někde nějaké zadní vrátka jsou, tak je zcela určitě vyšťourají. Ukázalo se to i na příkladu Pandory, která funguje sotva dva dny a už je tu problém: nehlídá dostatečně identitu moderátora a nahrává spammerům.

Na problém přišli kolegové ze serveru E-bussines.cz a jeho podrobný popis najdete v jejich článku tamtéž. Hned na úvod podotýkám, že to není žádná „pecka“ a dá se předpokládat, že tuto dirku přátelé z Mobil serveru velmi rychle odstraní; jde o klasické porodní bolesti.

Oč tedy jde? Pandora umožňuje založení několika typů konferencí, které se následně liší v chování vůči přispěvovatelům. Do některých z nich se mohou přihlásit všichni a také všichni přispívat, v jiných podléhají všechny příspěvky schválení moderátorem a do některých se nemůžete sami zapsat vůbec. Právě tato omezení, která souvisí s moderováním konferencí, údajně na Pandoře není těžké obejít.

Pandora totiž hlídá pouze to, zda povolující mail přišel z adresy, kterou má zaznamenanou jako adresu moderátora. Pokud se obě adresy shodují, je vymalováno a operace (třeba povolení příspěvku do konference) se provede. Tyto adresy moderátorů jsou přitom veřejně přístupné na stránkách konferencí a pro středně zdatného šikulu tak není žádný problém nastavit svůj program tak, aby se tvářil jako moderátor – a dělat si, co se mu zlíbí. Zveřejňování moderátorů a jejich e-mailových adres je samozřejmě logická věc, která je na místě, ale v tomto případě funguje poněkud kontraproduktivně.

Lepší postup pro moderování volí většina běžně používaných listservů, tedy programů, které se starají o běh klasických elektronických konferencí. Zavádějí totiž obvykle cosi jako dvoustupňovou ochranu. Moderátor (či správce) pošle listservu mailem příslušný příkaz, u některých listservů dokonce už v této chvíli musí použít zvláštní heslo, které je předem nastavené. Kontroluje se tedy nejprve adresa a heslo. Ani v případě správných údajů však ještě není operace zdárně dokončena – nyní se teprve vygeneruje zvláštní mail s jednorázovým kódem, který se odešle zpět na adresu správce. Ten musí mail přečíst a poslat jej zpět listservu; teprve potom je kruh uzavřen. Je to sice poněkud zdlouhavé, ale přeci jen o poznání bezpečnější. I když někdo předstírá identitu správce (a může třeba znát i zmíněné heslo), žádost o potvrzení s ad hoc vygenerovaným kódem skončí ve schránce skutečného správce. Často se mu posílá i znění původního mailu včetně hlaviček, aby mohl v případě pokusu o neautorizovaný přístup vypátrat, kdo mu to loupe perníček.

Podobný přístup by tedy mohli zvolit i autoři Pandory. Bude to pak sice komplikovanější, což je vzhledem k jejímu určení „pro všechny“ nevítané, ale na druhou stranu výrazně bezpečnější. A je ostatně možné, že přijdou i na nějaký další způsob, jak se s věcí vypořádat, který mne nenapadl – nechme se překvapit.

Marek Antoš


Starší, související články:

Našli jste v článku chybu?
Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

DigiZone.cz: ČT láká na jarní programové tipy

ČT láká na jarní programové tipy

Podnikatel.cz: Na 3. prosince se chystá protest proti EET

Na 3. prosince se chystá protest proti EET

Měšec.cz: Golfové pojištění: kde si jej můžete sjednat?

Golfové pojištění: kde si jej můžete sjednat?

Měšec.cz: Vklad na cizí účet je draze zpoplatněn (přehled)

Vklad na cizí účet je draze zpoplatněn (přehled)

DigiZone.cz: Milan Kruml: procházka TV historií

Milan Kruml: procházka TV historií

Měšec.cz: Banky mlží o nákladech na předčasnou splátku hypotéky

Banky mlží o nákladech na předčasnou splátku hypotéky

Root.cz: Telegram spustil anonymní blog Telegraph

Telegram spustil anonymní blog Telegraph

DigiZone.cz: Rádio Šlágr má licenci pro digi vysílání

Rádio Šlágr má licenci pro digi vysílání

Vitalia.cz: Pravda o přibírání na zimu

Pravda o přibírání na zimu

DigiZone.cz: HD programy ČT i v UPC Horizon

HD programy ČT i v UPC Horizon

120na80.cz: Rovnátka, která nejsou vidět

Rovnátka, která nejsou vidět

120na80.cz: Co všechno ovlivňuje ženskou plodnost?

Co všechno ovlivňuje ženskou plodnost?

Měšec.cz: Jak levně odeslat balík přímo z domu?

Jak levně odeslat balík přímo z domu?

DigiZone.cz: Digi CZ výrazně zlevnila balíček HBO

Digi CZ výrazně zlevnila balíček HBO

Měšec.cz: Finančním poradcům hrozí vracení provizí

Finančním poradcům hrozí vracení provizí

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla