Fake - owszem, to oznacza luke krytyczna, ale w oprogramowaniu MEN. Luka home.pl co najwyzej temu sprzyja.

Ale pomysl sobie w ten sposob - administratorzy Twojej sieci lokalnej, a nawet osoby, ktore te siec podsluchuja tez widza pod jakie adresy URL wchodzisz. Czy inzynier oprogramowania powinien planowac dostep do serwisu w taki sposob, aby taka informacja jak adres URL miala tak krytyczne znaczenie?

a mnie tez nie daje spokoju ten przecinek w kwocie :]

moze chcieli 200,00 zł a tamto zero sie nacisnelo o jedno za duzo przy wpisywaniu poprzednich czterech zer :]

w kazdym razie ciezko stwierdzic jaka to kwota , bo mozna uznac ze to inny system numeryczny :]

a jezeli chodzi o system ktory mamy w polsce to 200,000 wychodzi jak 200 zł

a wogole najlepiej jakby hack.pl napisal 200k zł i po klopocie :D

Paweł Gruszecki - no ok, men ma dziury w skryptach niby ich wina, ale taka firma jak home.pl powinna brać pod uwage, że wśród tych 150k kont które obsługują są też osoby które pisząc skrypty ignorują kwestie bezpieczeńśtwa, albo poprostu brakuje im umiejętności. Można by rzec, że to ich sprawa tylko że IMO hostingodawca nie powinien ułatwiać hackerom sprawy. Pozatym skoro ponoć wszyscy wiedzieli o luce to admini napewno też więc nic w takiej sytuacji ich nie tłumaczy. Oczywiście najlepiej później obrucić kota ogonem i przedstawić się jako "my biedne niewinne ofiary cyber-terrorystów", identyczny przykład -> http://forum(...)topic.ph p?t=147&postdays=0&postorder=asc&start =0

@fake - Ja nie bronie home.pl, z reszta nie mam powodow :-). Staram sie jednak patrzec na sprawe obiektywnie. Nie bylo dobre z ich strony, ze dostep do logow byl tak latwo dostepny (ale dodajmy tez uczciwie, ze wiele firm hostingowych w rownie prosty sposob umozliwia uzyskanie dostepu do rozmaitych statystyk, a te czesto tez zawieraja bezposrednie URL-e). I to byl blad, nie tyle blad komputerowy, ile planistyczny. Twierdze jednak, ze nazywanie go krytycznym jest przesadzone. To byla tylko dziura ulatwiajaca pewne specyficzne wykorzystanie innych i tu sie zgadzamy.

Obracanie kota ogonem tez nie jest dobre, ale tu ich rozumiem - coz maja robic, najprosciej zaslonic sie prokuratura ;-). Przyznanie sie do bledu byloby dla nich porazka, a tak licza, ze sprawa rozejdzie sie "po kosciach".

Co do przedstawionego linku to najglosniejszym przypadkiem tego typu jest ujawnienie pewnych danych z systemow firmy Gemius. Bylo o tym glosno jakis czas temu (tam sprawa byla moze nieco latwiejsza pod wzgledem prawnym). Udowodnienie, ze mielismy tutaj do czynienia z przestepstem komputerowym moze jednak nie byc latwe (autor moze sie z reszta powolywac na przyklad na stan wyzszej koniecznosci). Temat byl z reszta maglowany przez licznych prawnikow. Zrozumiale jest jednak dzialanie firm przeciwko jakimkolwiek formom hackingu. Klucz rozumowania jest tu dosc prosty - pomijajac juz kwestie czysto wizerunkowe, czesto firma zabezpiecza rozne dane, w tym dane objete tajemnica handlowa (np. korespondencja). Jesli firma przyzna, ze dostep do tych danych nie wymagal "lamania" to rodzi sie pytanie czy dane te byly wlasciwie chronione, a co za tym idzie - czy w istocie nie byly dostepne publicznie. Stad juz tylko krok do twierdzenia, ze nie mamy do czynienia z tajemnica handlowa, a to jak latwo sie domyslic - moze byc dla firmy bardzo powaznym zagrozeniem.

Nie dziwie sie wiec dzialaniom prawnym firm. Postaw sie na miejscu home.pl (pomiajac juz fakt, ze nie powinni w ogole do takiej sytuacji dopuscic, ale nie oszukujmy sie, nie ma systemu zabezpieczonego idealnie) - otrzymujesz informacje i propozycje zaplacenia 200 000 zl. Placisz? Moim zdaniem ta informacja nie jest tego warta. Pozostaje Ci wiec tylko podjecie krokow prawnych.

Aha, zapomnialem sie odniesc, ze firma taka jak home.pl powinna przewidywac bledy programistow... Oczywiscie... I zaloze sie, ze przewidziala juz z 1000... Ale 1001-szego nie ;-). Nie da sie myslec ZA programistow. Tym bardziej, ze jestem przekonany, ze niezabezpieczenie statystyk mialo swoje uzasadnienie w marketingu - wygodzie wiekszosci klientow. Wprawdzie jest to kiepskie uzasadnienie, ale jest. Kazda firma w jakis sposob ustala rozmaite priorytety. Home.pl ustalilo taki na ktorym sie przejechali. Slusznie zbieraja za to teraz "baty", szczegolnie, ze jako lider maja srodki by lepiej oplacac technikow (a ze wola je wydawac na marketing to juz ich priorytety). Ale nadal uwazam, ze cala sprawa jest rozdmuchana.

> informacji i użytkownicy straciliby dane to
> dostaliby taki rachunek do zapłacenia że
> trudno byłoby im to przełknąć

Chyba nie az tak trudno :-). Czytales ich regulamin? Jest tam cos o tym, ze odpowiadaja do wysokosci abonamentu :-). Jesli wiec stracisz wazne dane to w sadzie wygrasz tak powiedzmy gora z 600 zl ;-).

> No sorry, czy jakakolwiek szanująca się osoba
> udzieliłaby po przyjacielsku informacji takim
> kapusiom? Pewnie nie,

I to juz kwestia ich priorytetow. Na przyszlosc sie przejada. Ale tylko jesli znajdzie sie ktos kto bedzie chcial postapic podobnie jak hack.pl. Tego rodzaju informacje generalnie przekazuje sie nieodplatnie. Dobra i uznana praktyka jest zglosic, dac termin na poprawienie, po czym udac sie do mediow. Ktos chcial zarobic, to musial liczyc sie, ze propozycja moze zostac odrzucona ;-).

> Na pewno kupiec się znajdzie, pewnie co najmniej > 10 firmom konkurencyjnym zależałoby na
> osłabieniu pozycji rywala.

A to juz bardzo nieladne by bylo i co najmniej czyn nieuczciwej konkurencji, nie chcialbym byc klientem tej firmy, ktora by sie czegos takiego podjela.

> Wiem, że home jedzie na darmowych "linuksach"

Sorry, ale to malo wiesz ;-)

> Nie mówię, że nie był to trochę bezczelne ale
> jeśli firma która ogłasza się hostingiem #1 w
> polsce chce zastąpić speców od bezpieczeństwa
> prokuratorem, to chyba powinni zrewidować swoje
> hasło reklamowe.

Tez sie zgadzam, ze nieladne to bylo "podziekowanie".

> Administratorzy sieci widzą wszystko, więc nie
> ma znaczenia czy zabezpieczyłeś adres URL.
> Cookie przesyłane są w nagłówku zaraz po adresie
> zasobu i choćbyś nie wiadomo jak to zabezpieczył

Tak, tylko, ze mechanizm sesji (cookie) jest tymczasowy. A adres URL zwykle pozostaje sposobem na wejscie do systemu na stale.

A co powiesz na HTTP_REFERER?

Mam myslec jeszcze czy zgodzisz sie ze mna, ze autoryzacja przez adres URL nie spelnia oczekiwanych wymagan w kwestii bezpieczenstwa?

> To że skrypt w pewnych warunkach nie jest
> zabezpieczony - nie znaczy, że usługodawca ma
> udostępniać całemu światu dane niezbędne do
> jego złamania.

Bez dwoch zdan.

> Wiesz, pewnie płacących userów mało obchodzi
> jak niezabezpieczne są skrypt innych płacących
> userów.

Oczywiscie, to najwazniejszy problem do rozwiazania dla administratora w firmie hostingowej.

Problem identyfikacji usera przy dostępie do administracji danego serwisu to zdecydowanie problem osoby tworzącej serwis/CMS.

Co do tych nieszczęsnych statystyk w home.pl to od niemal samego początku każdy klient mógł poprosić o ustawienie loginu i hasła dostępowego więc tutaj też wychodzi na jaw bezmyślność niektórych administratorów SERWISÓW a nie adminów home.pl.

Generalnie hack.pl Ameryki nie odkryli a prztyczka w nos dostali zarówno oni jak i home.pl. A jak to z mediami bywa - jak coś wywąchają to robią z igieł widły.

ehh głupota jak home.pl niechce płacić to ktoś inny za tą wiedze zapłaci :) , poprostu na głupocie można starcić a na wiedzy zyskać :)

> To tylko umowa cywilnoprawna. W świetle prawa
> raczej chyba mało znacząca.

Chyba jednak nie :-). I nie powiedzialbym, ze to TYLKO umowa cywilnoprawna, bo powinno byc "az umowa cywilnoprawna". Jesli strony ograniczaja swoja odpowiedzialnosc to jest to ich sprawa, mozna sie na taka umowe nie zgadzac. Sa rozne przypadki, w ktorych zapisy umowy cywilnoprawnej beda niewazne, ale nie tutaj.

> Na oponie też producent może napisać, że jak
> bez przyczyny pęknie i ktoś się przez to zabije
> zwraca jedynie wartość nakrętek, tylko że to
> chyba w świetle prawa nie ma żadnego znaczenia.

Zupelnie inna sprawa. Ale pewne motywy podobne - jesli wartosc swiadczenia gwarancyjnego bedzie przez strony ograniczona do wartosci nakretek (uwaga - informacja na oponie nie jest wystarczajaca, ale jesli bedzie umowa gwarancyjna...), tak dlugo klient wiecej na tej podstawie nie wyciagnie. Ma on jednak inne mozliwosci dzialania (niezgodnosc z umowa, byc moze sprawa karna). Ale to zupelnie nieadekwatny przypadek.

> Wiesz zależy dobrą dla kogo. Ty pewnie nie
> chciałbyś pracować za darmo.

Nie. Ale wiem ile warte sa rozne informacje. Ta informacja nie byla warta 200 000 zl.

> A jeśli home.pl nie umie zabezpieczyć serwerów,
> to nie rozumiem dlaczego ktoś inny nie mógłby
> wystąpić z taką ofertą. Za audyt zdaje się
> zapłacili.

No przeciez nie mowie, ze nie mogl. Ale sie nie dziwie, ze ta oferta nie zostala zaakceptowana ;-).

> Pozew do prokuratury to dziwna forma odżucenia
> propozycji.

Niewatpliwie dosc oryginalny ;-)

> To w home nie używają żadnego darmowego softu?

Nie, nie... Wspominales o "darmowych linuksach". Home.pl nie uzywa Linuxa. Nota bene, darmowe oprogramowanie gorsze czy jakie? Bo nie rozumiem... :-)

> Autoryzacja przez cookie nie spełnia wymagań
> odnośnie dostępności (czasami zdarza się, że
> ludzie nie akceptują tak samo jak wyłączają js)
> wtedy jedynym sposobem jest przesłać
> identyfikator sesji w adresie URL.

Ale wciaz mowisz o identyfikowaniu sesji przez adres URL (jako parametr WGET).

A ja o ograniczaniu (np. ukrywaniu) dostepu do zasobu przy pomocy URL.

Roznica taka, ze przy pierwszym wciaz jest to dostep tymczasowy, a przy drugim - staly.

A poza tym - przy sesji (zupelnie abstrahujac czy id sesji wysylamy przez cookie czy parametr) mozna zaimplementowac dodatkowe mechanizmy, ktore zapobiegaja uzywaniu tej samej sesji przez dwie osoby.

Jednak to o czym Ty mowisz to wciaz jest autoryzacja przez sesja, co najwyzej poprzed URL. A ja mowie o typowym autoryzowaniu przez URL, np. ukrywanie zasobu przez jakis "dziwny" adres, albo przesylanie loginu i hasla bezposrednio w URL.

> tylko sposoby lepsze lub gorsze. Zgadzam się, co
> więcej autoryzacja przez HTTP jakąkolwiek metodą
> nie spełnia wymogów bezpieczeństwa.

Miedzy jakakolwiek i metoda wstawilbym slowo "prostą".

Na koniec przypomne, bo moze mylnie rozumiesz moje wypowiedzi, ze nie bronie home.pl, uwazam, ze slusznie zbieraja negatywne opinie. Sam osobiscie nie przepadam za home.pl, jednak daleki jestem od twierdzenia, ze ich administratorzy czegos tam nie umieja - do wiedzy Pana Jurczyka mam ogromny szacunek, chocby dlatego, ze zaczal ja zdobywac w czasach gdy ja odkrywalem jak wyglada modem.

Ale nagonka na nich jest IMO nieadekwatna do rodzaju przewinienia. Protestuje przeciw twierdzeniu, ze byla to jakas "luka krytyczna".

A przede wszystkim uwazam, ze to wokol czego hack.pl zrobil tyle szumu to amatorszczyzna.

Hack.pl zachował się nieodpowiedzialnie.
Hacking.pl jak sliniace sie dzieci z piaskownicy zacytuje tylko jedno zdanie.

"O ile do tej pory takie sprawy zwykle nie wychodziły poza krąg dwóch bezpośrednio zainteresowanych stron lub zostawały ujawniane dopiero po dłuższym czasie - tym razem mamy do czynienia z profesjonalnym podejściem do tematu.

Nasza redakcja jako pierwsza w Polsce - po 6 godzinach od powstania problemu - napisała o próbie uzyskania korzyści majątkowych w zamian za nieupublicznienie informacji"

Ci to w ogole nie wiem po co się wtrącają wszędzie szukając sensasji.

Co do Home.pl zachowali się dobrze pewnie kupę kasy wydali na audyt mają swoich administratów to bogata firma która na pewno nikomu nie da kasy o tak.

GET, nie WGET, sila przyzwyczajenia ;-).

Jak zwykle. hacker coś tam znalazł i chciał zarobić wyłudzając forsę, a przy okazji wkopać serwis hacking. co do home.pl, nie sądzę by działali w dobrej wierze.

Czemu tu sie dziwic? ze home.pl przyzna sie do dziur w swoim systemie? Trzeba zachowac twarz, zwalic wine na krakowska konkurencje i znow podkrecic troche top100.pl tak by byla pozycja lidera zachowana. Od dawna bylo wiadomo ze home ma problem. Ich sztukowany apache, brak rewrite, krecacy support no i trudny dla nieinformatyka panel. Dodatkowo pytajac o cos support w zwiazku z tym panelem odpowiedzi sie nie otrzymuje, a jedynie wykonana czynnosc. Panel ma byc dla ludzi a nie dla supportu home.
Home tez ma dziwne podejscie do klienta. Daje niby konta z duzym transferem, ale jak juz ktos postawi serwis, ktory ma duzo odwiedzin (nie chodzi tu o serwis porno), to usiluja wywalic takiego klienta tworzac sztuczne bariery.

Jesli chodzi o caly ten serwis MEN... no coz.. pomijam fakt ze utworzenie adresu men.home.pl jest reklama dla home'a, ale.. Widac Jan Kotlarz czegos nie dopilnowal. Giertych ma wielu wrogow, a gosc jest bardziej obcykany w maloogladanych portalach religijnych. W koncu jak skrajnie prawicowa partia wepchala sie do MEN, to i webmaster musi byc pelnym chrzescijaninem. Nie wazne czy dobry, wazne ze "nasz".
Zreszta jak obserwuje rynek, to zauwazam ze coraz wiecej jest cwaniakow, ktorym wydaje sie ze potrafia programowac, a teraz kiedy PHP ma byc w szkolach, to bedzie ich jeszcze wiecej. Oczywiscie, moze sie trafic ktos porzadny, majacy zadatki na dobrego programiste, ale lamerzy psuja rynek. Osobiscie mialem stycznosc z takim cwaniakiem co przerabial darmowe CMSy/sklepy i sprzedawal jako "swoj" produkt za ciekawe pieniadze. Nic wiecej nie potrafil, ale gebe to mial taka ze hej.. pyskowanie to chyba najlepiej mu ze wszystkich umiejetnosci wychodzilo. Rynek oczywiscie zawsze weryfikuje i odrzuca takich chlam, ale ... Niektorzy zleceniodawcy patrza na cene glownie a nie umiejetnosci i taki chlam zalewa rynek.

r-mi:
>>Nie, próbowałem dociec dlaczego home na dźwięk słowa "pieniądze" reaguje paranoicznie, co najmniej tak jakby ktoś przystawił im pistolet do czoła i chciał okraść.Może mają darmowy soft i się im zdaje, że wszystko jest gratis ;) Swoją drogą gdybym wziął konto na home i nie zapłacił a oni napisaliby, że jak nie wpłacę pieniędzy do tygodnia to skasują pliki i nie przedłużą konta... czy to nie byłaby próba szantażu ;)?[quote]Ta informacja nie byla warta 200 000 zl.[/quote]
Gdybyś np. miał serwer na home i przez to wyciekłaby Ci baza klientów... to być może by była. Wiadomo, że dla gimnazjalisty z bb by przemo to na pewno nie będzie tyle warte ale mi się zdawało że home to "profejsonalny hosting dla firm". Na pewno wiesz, że dla Ciebie ta informacja nie byłaby tyle warta, ale można też spojrzeć z innej perspektywy."[..] Za pożno - luka jest już usunięta od 15 minut... Analizując Państwa poczynania w logach doszliśmy do tego jakąś godzine temu....[..]".

domel:
"Swoją drogą gdybym wziął konto na home i nie zapłacił a oni napisaliby, że jak nie wpłacę pieniędzy do tygodnia to skasują pliki i nie przedłużą konta... czy to nie byłaby próba szantażu ;)" - nie bylaby to proba szanatazu, zakladajac konto na home.pl akceptujesz regulamin w ktorym masz jak byk informacje ze po niedokonaniu oplaty w ciagu xxx dni konto zostanie skasowane.