Социальные сети

   Недавно мир потрясла новость - СК, МВД и ФСБ ищут виновных в утечке данных пользователей в поисковики. Не прошло и 20 лет, как оказалось, что поисковики то, огого! Могут и и странички на сайтах индексировать! Я, конечно, считаю что все это бурление однозначно и полно объясняется пиаром нового закона о ПД, жидомасонским заговором и скорым прилетом Нибиру. Однако же, хотелось бы остановится на этом случае подробнее.

   В бытность студентом, я подрабатывал, как это теперь называется, контент-менеджером и веб-программистом. Лабал сайтики, если по простому. И соответственно, на 2-м курсе решил слабать сайтик библиотеки, как семестровую работу. И слабал его на ПХП. Там была админка и личный кабинет, где пользователь хранил свои предпочтения. Ну так вот, при показе другу, как мне тогда казалось, великому хакеру, произошел конфуз. Он "взломал" мой сайтик просто набив адрес пхпешки отвечающей за отображение предпочтения пользователей. Как вы уже догадались ID пользователя передавался GETом. Отчего так? А оттого, что я тогда не знал что такое сессия :-) Полазив в этих ваших интернетах, я сайтик допилил и успешно сдал. С тех пор я очень уважительно отношусь к защите ПД :-)
  Итак,  урок был усвоен, и весь период моего знакомства с ПХП и лабанием сайтов на нем, я инклюдил проверяльщик сессий на всех закрытых страницах.
  Мораль рассказанной басни, наверное, еще не совсем ясна и, поэтому, давайте рассмотрим механизм сессий, и соответственно, механизм "взлома" говносайтов личинкой скайнета  - Яндексом.
  Когда человек заходит на современный сайтег - ему присваивается кука с идентификатором сессии, и на стороне сервера создается "виртуальный массив данных" с этим идентификатором. Туда можно записывать и читать всякую полезную ерунду - типа admin=true, user=lox и т.д. Что это означает для конечного пользователя? Это означает, что сайт вас теперь знает, и если вы перейдете на другую страничку, или откроете сайтик завтра - он запросит куку с таким именем и если ID и в куке и ID сессии на стороне сервера совпадут - вас опознают как старого знакомого.
  Не верите? Залезьте в настройки браузера и посмотрите свои куки. Вот сейчас я залез в уютненькое и что я вижу в куке? lepro.sid=2656fe361634few336r3323r43gf Если я зайду на сайтик написанный на ПХП все будет еще конкретней - PHPSESSID=0044d2d40df270fc5b0ba7ecab4d0163. Кроме идентификатора сессий, куки может хранить кучу другой инфы, у нее есть параметр времени жизни, пути и тд. Но сейчас это не важно. Важно другое - механизм сессий является стандартным механизмом используемым системами авторизации.
  Каким образом эти системы работают? Стандартный пример, описанный во всех туториалах для начинающих, примерно такой - вы проверяете логин и пароль (стадия аутентификации) и присваиваете сессионной переменной (флагу авторизации) значение "истина". Теперь, при обращении к закрытой странице программа проверяет - флажок "пользователь авторизован" есть и истинен? Если нет - гудбай на главную, если да - отобразить страницу. Если пользователь вышел из системы - флажок снимается. Сессия протухла - опять на главную.
  Это простейшая, стандартная, доступная школьнику и школьниками активно внедряемая в свои сайтеги система.
  На мажорных сайтах мегаоператоров, такой системы авторизации не было. Это означает, что все эти введения логинов и паролей и прочее мозгоебство - просто фикция. Аутентификация есть, авторизации нет. Это как сарай без задней стены :-)
  Отчего же так? А оттого,  что при проектировании клиент-ориентированных систем, проектировщик, как ни странно, ориентируется на потребности и чаяния конечного пользователя.  А пользователь не хочет много думать, пользователь не хочет что-то запоминать и страдать потом вспоминая. Пользователь хочет, чтобы на сайте была одна кнопка - "быстро сделать все хорошо". И помня об этом, администратор проекта выбрасывает нафиг аутентификацию с авторизацией.  Есть  псевдоуникальная ссылка, генерируемая псевдослучайным ГСЧ - и хватит. Ведь эта схема, как бы тоже обеспечивает аутентификацию/авторизацию. От кул-хацкеов какая-никакая защита, опять же. Юристы прикрыли жопу строчкой в договоре. Все довольны.
  И тут веб-програмер ставит на эту "секретную страницу" счетчик. Яндекс приходит и честно индексирует эту "уникальную, и известную только вам" ссылку.
  И кто в этом виноват? Однозначно планета планета комета Нибиру и файл robots.txt












Вам это будет интересно!

  • Пост про поисковики
  • около сессии


  • Последние новости


    Шаг 5. Выбираем фирменное наименование организации

    Если вы собираетесь регистрировать новое юридическое лицо, то перед вами неизбежно встают необходимость выбора его названия и ряд сопутствующих вопросов. Следует ли проверять выбранное наименование организации на уникальность перед подачей документов на регистрацию? Можно ли зарегистрировать компанию с таким же наименованием, как и у другой, уже существующей орган...
    Читать далее »

    Шаг 4. Выбор системы налогообложения

    Действующее налоговое законодательство позволяет налогоплательщику в некоторых случаях значительно уменьшить сумму уплачиваемых налогов путем грамотного выбора режима налогообложения. Выделяют общий режим налогообложения и специальные налоговые режимы, которые следует отличать от льготных режимов. При применении общего режима налогообложения налог...
    Читать далее »

    Аренда помещений

    Самым тесным образом с фактическим адресом организации связана Аренда Ею помещений, необходимых для налаживания выбранных видов деятельности. Для деятельности любой организации необходимо помещение. Однако недвижимость стоит сейчас очень дорого, и лишь немногие организации в состоянии приобрести помещение в собственность. В связи с этим значительная част...
    Читать далее »

    Шаг 3. Выбираем место нахождения организации

    МЕСТО НАХОЖДЕНИЯ ОРГАНИЗАЦИИ, ЕЕ ЮРИДИЧЕСКИЙ, ФАКТИЧЕСКИЙ И ПОЧТОВЫЙ АДРЕСА В ГК РФ приведено понятие «место нахождения юридического лица» – так называемый юридический адрес, официально зарегистрированный в ЕГРЮЛ. Однако юридическое лицо может располагаться и по другому адресу – фактическому. В гражданском законодательстве не содержит...
    Читать далее »

    Карточка

    С образцами подписей и оттиска печати ...
    Читать далее »

    Форма

    Документа, подтверждающего наличие лицензии Приложение 26 СЕРТИФИКАТ СООТВЕТСТВИЯ ...
    Читать далее »

    Уведомление

    О регистрации юридического лица в территориальном органе Пенсионного фонда Российской Федерации по месту нахождения На территории Российской Федерации Приложение 22 Свидетельство О регистрации страхователя в территориальном фонде Обязательного медицинского страхования При обязательном мед...
    Читать далее »