Zrádné odkazy ve freemailu Atlasu

Provozujete web, na kterém nabízíte, či dokonce požadujete po uživatelích registraci? Pak vězte, že jste v uplynulých měsících zcela zbytečně ztráceli nemalé množství zájemců.

Probíhala-li registrace na vašem serveru standardním způsobem, tedy tak, že po vyplnění údajů se odeslal potvrzující e-mail s odkazem na uživatelovu adresu, stálo by možná za přezkoumání, kolik vašich „duší“ má e-mailovou schránku na portálu Atlas.cz (Atlas.sk). Možná je spočítáte na prstech jedné ruky. Třetí největší český portál si totiž nevěděl s podobnými e-maily rady! Nutno mu alespoň k dobrému připočíst, že po našem pondělním upozornění v minulém týdnu proběhla druhý den svižná oprava.

V čem byl problém?

Tip na zrádné odkazy ve zprávách webového rozhraní freemailového serveru portálu Atlas.cz jsme obdrželi od čtenáře, který web požadující registrace provozuje. Nyní je jasné, že patří mezi šťastlivce s vlídnými uživateli, kteří mu nahlásili chybu v potvrzujícím odkazu uvnitř registračního e-mailu.

Týden si tento provozovatel lámal hlavu, kde se mohl splést, až se zmýlené dopátral přímo v e-mailovém rozhraní Atlasu. Registrační odkaz vypadal třeba takto:

http://www.zkou­ska.cz/modules­.php?username=A­tlasCZ?initco­de=Gh5bgD5689R9t

Ve webovém rozhraní se zobrazil zcela správně, k uživatelově radosti byl dokonce klikatelný, ale když na něj příjemce poklepal, místo potvrzení registrace na něj čekala hláška typu „stránka nenalezena“. Jak je to možné? Freemail totiž předal prohlížeči adresu ve tvaru:

http://www.zkou­ska.cz/modules­.php?username=a­tlascz?initco­de=gh5bgd5689r9t

Velká písmena byla najednou přeměněna na malá. Což je velké nadělení. Zatímco mezi doménovým jménem Lupa.cz a lupa.cz pro uživatele i prohlížeč moc velký rozdíl není a na místo určené se člověk dostane, třeba se znaky u podadresářů a jmen souborů se nevyplatí si zahrávat. Neřku-li s odkazy potvrzujícími registraci na nějakém serveru.

Nevidím do hlav vývojářů Atlasu a ani do jejich systémů, ale pokud je to opravdu tak, tak je to dost hloupé chování, protože např. http://navrcho­lu.cz/Statisti­ka/16/ opravdu není to samé jako http://navrcho­lu.cz/statisti­ka/16/, a uživatelů, kterým provozovatel nějaké služby posílá svůj odkaz, to způsobí nemalé problémy a vrhne to špatné světlo ne na freeemail, ale na odesílatele e-mailu, který v očích uživatele neumí poslat funkční URL," říká Tomáš Krause, technický ředitel společnosti Internet Info.

Technický a produktový ředitel portálu Atlas.cz Petr Šnajdr nám za upozornění poděkoval a pouze dodal: Je těžké říci k tomu něco více bližšího než to, že se jednalo o chybu, která je lidskou chybou programátora, který se na projektu podílel. Na základě vašeho upozornění byla chyba identifikována a ještě ten den odstraněna.

Odhalit chybu…

Těžko z povzdálí odhadovat, zda se poměrně závažná chyba vyskytla ve webovém rozhraní Atlasu někdy v poslední době, nebo je tam minimálně od uveřejnění nové verze e-mailu v březnu loňského roku, tedy 17 měsíců.

Paradoxem situace je, že chyba je relativně těžko odhalitelná. Programátor na straně jedné chybu neudělá, ale uživatel Atlasu na straně druhé klikne na zrádný odkaz, který ho svede na scestí. Chybu pak pochopitelně přičítá provozovateli serveru. Než aby ji nahlásil, mávne rukou. O kontaktu technické podpory také nemůže být řeč. Nebo že by ano?

Zda došlo k pochybení i na straně technické podpory, je ve stádiu ověřování. Pokud se tak opravdu stalo, dojde k úpravě daného procesu tak, aby se zabránilo dalšímu opakování, slibuje Petr Šnajdr.

… ani technická podpora nechtěla

V redakci máme důkaz, že k pochybení technické podpory Atlasu skutečně došlo. Náš čtenář, ve snaze na pomýlení e-mailového rozhraní upozornit, napsal už na začátku června technické podpoře e-mail, v němž problém se závadnými odkazy vysvětlil. Po urgenci se „konkrétní“ odpovědi dočkal 28. června:

28.6.2006
HelpDesk ATLAS.CZ help@help.atlas.cz
Subject: [ATLAS #IZB-38319–576]: Chyba: Mail

Dobry den,

nikdo nam podobný problém nehlásil, bude nutné, abyste si upravil registraci, aby nerozesílala malá velká písmenka. Případně odkaz zkopírujte.

S přátelským pozdravem

Tím byl osud nefunkčních odkazů ve freemailu Atlasu zpečetěn do 31. července, než jsme kontaktovali Petra Šnajdra, na jehož podnět už byly odkazy 1. srpna uvedeny do pořádku. Otázkou je, zda chybu, která měla pro provozovatele serverů a uživatele nepříjemné následky, způsobil vrtošivý lidský faktor. Když uživatelům nepomáhá ani urgence technické podpory a obrací se na média, je nutné se zamyslet nad chybou v systému.

Pověst Atlasu a freemailů obecně tak dnes bohužel příliš nevylepšíme. Jsou tomu dva měsíce, kdy byla ve webových rozhraních Atlasu a portálu Centrum.cz objevena uživatelem poměrně závažná bezpečnostní chyba. Pomocí speciálně napsaného HTML kódu šlo obejít bezpečnostní filtr (který měl odstraňovat potenciálně nebezpečné HTML elementy) a vložit do e-mailu JavaScript, který umožnil útočníkovi číst poštu. Pokud se uživatel přihlásil ke svému účtu přes webové rozhraní a zlomyslný e-mail otevřel, script se provedl v kontextu jeho session s webovým serverem. Třetí „do party“, freemail portálu Seznam.cz, zase v červenci prodělal shodou okolností dokonce dva velké výpadky, které ho přiměly k jistým opatřením.

Odkazy v e-mailech

Případ podivných linků na freemailu Atlasu nastoluje otázku, jak webová rozhraní e-mailů a e-mailoví klienti s odkazy pracují. Zatímco dříve jsme museli takřka každé přijaté URL kopírovat do adresního řádku prohlížeče, moderní freemaily a klienti už zobrazují zprávy v HTML a adresy klikatelné.

Zajímavý průzkum na toto téma provedl spolu s testery na svém blogu Jiří Bureš. Co mu vyšlo? Pokud si chcete býti jisti, že se adresátovi zobrazí odkazy aktivní, určitě nevynechejte http://. Problémy s uvedením protokolu mají jen některé webmaily. Test podstoupily rovněž i odkazy s mailto: a file:///.

Někdy ale ani správné zobrazení odkazu nepomůže, pokud je URL příliš dlouhé a „rozlomí se“. Uživatel je pak musí „slepovat“ a zkopírovat je do adresního řádku. Může ale odkazům vlastně věřit?