ja sie juz kiedys (ok. 2003-4r) zetknalem z dziurami w systemie pocztowym home.pl i olewactwem admina - dalo sie wtedy w banalny sposob przejac sesje usera sprawdzajacego poczte przez www, jesli kliknal on w link do jakiegos serwisu i w chwile po tym admin wyciagnal z logow http-referera z ktorego user poczty wszedl na strone. bo id sesji albo inny odpowiednik byl oczywiscie w linku. napisalem do admina - tamten sciemnal ze "pewnie admin (mojego) lan-u filtruje pakiety" i takie bzdety.

Ojej, jaka sensacja! ;)
Przeciez nawet home pisze gdzieś w regulaminie czy w dokumentacji, że statystyki NIE SĄ chronione przed nieupowaznionym dostępem. I każdy kto ma styczność z home.pl może o tym wiedzieć. Naprawde nie trzeba być hakerem, żeby wykombinować, że wystarczy sprawdzić 1000 adresów i któryś z nich na pewno da dostęp do statystyk.
Oczywiście, że home mogłoby lepiej zabezpieczyc dostęp do statystyk (w ogóle zabezpieczyć) bo ktoś może sobie po prostu nie życzyć żeby np. konkurencja wiedziała jaki ma ruch na stronie ale nie ma to nic wspólnego z bezpieczeństwem. Jeżeli jedynym zabezpieczeniem dostępu do panelu jest jego adres to znaczy, że nie jest on zabezpieczony ale co najwyzej ukryty. Tak samo jak statystyki. Jedyna różnica to to, że jest do sprawdzenia wiecej niż 1000 kombinacji.
A ten supertajny adres można poznać nie tylko analizując statystyki. Wystarczy, że ktoś przejdzie ze swojego supertajnego panelu bezpośrednio na jakąś inną strone i juz admin tamtej strony zna supertajny adres panelu.
W skrócie: hakerzy (zapewne po długotrwałej pracy) odkryli coś co nie było przykryte a home poczuło się szantażowane groźbą ujawnienia fragmentu swojej dokumentacji (czy jakiegos helpa - nie chce mi się teraz szukać) - jedyną ciekawostką wartą relacjonowania jest powaga z jaką obie strony podeszły do sprawy ale media i PR rządzą sie swoimi prawami więc przepychanki będą się pewnie ciagnąć ciągnąć ciągnąć...

@r-mi - mysle, ze jednak nie uda nam sie przekonac siebie wzajemnie :-).

[quote]No i co z tego, że drugą wywali, przecież dla mnie nie ma to znaczenia jeśli jestem w systemie. I jak chcesz odróżnić osoby, skoro wszystkie dane łącznie z adresem IP są takie same? Mówimy o lanie.[/quote]

Owszem, tak dlugo jak dlugo druga osoba nie bedzie aktywna w systemie, bedziesz mogl dzialac. Ale kolejne zabezpieczenie (prosty JS po stronie klienta) pozwoli Ci symulowac jego aktywnosc, nawet gdy poszedl na kawe. Jesli dwie przegladarki zaczna rownolegle korzystac z tej samej sesji (po zabezpieczeniu np. jednorazowymi tokenami) to mozna wywalic obu uzytkownikow.

Jesli jednak probujesz mnie przekonac, ze zawsze znajdzie sie jakis myk, zeby to obejsc (choc na 3 sekundy) to ja Ci powiem - oczywiscie, ze tak. Ale zaczelismy do tego czy sesja jest bezpieczniejsza od autyryzacji bezposrednio przez GET. I mysle, ze juz mi sie to udalo wykazac.

[quote]Zawsze mnie śmieszyły ograniczenia hostingów nakładane na pornografię.[/quote]

Wiesz, sa firmy, ktore nie maja przeciwko byciu kojarzonym z pornografia i takie, ktore maja cos przeciwko temu. To chyba ich prawo, prawda?

[quote]Co do parametrów - to fakt nie ma w polsce hostingu, który dawałby to za co użytkownik zapłaci.[/quote]

Tez nie przepadam za taka praktyka, pisalem o tym z reszta kiedys: http://di.com.pl/archiwum/13387.html .

Ale coz, do hostingu wkradl sie marketing... Tak jak juz chyba wszedzie z reszta... Nie przepadam za polityka marketingowa wielkich gigantow, ale coz poradzic - ich prawo, a prawem klientow jest nie korzystac z takich ofert. Nie od dzis jednak wiadomo, ze dobrze przemyslany marketing ma jednak korzystne dla firmy dzialanie.

Jesli masz pomysl jak odwrocic ten marketingowy trend i doprowadzic do powrotu do przejrzystych ofert i cennikow to smialo :-).

Dodam tylko, ze czysty FTP nie wygeneruje az takiego obciazenia procesora, sadze wiec, ze jest mozliwosc wykorzystania pelni transferu (na FTP). Zapisy regulaminowe o nadmiernym zuzyciu procesora jakby nie patrzec sluza jednak ochronie klientow wlasnie (aby ktos z zasobozernymi skryptami nie spowolnil serwera, na ktorym "chodza" strony kilkuset klientow).

[quote]Każdy komu nie są obce elementarne zasady logiki pewnie wie, że chyba jakiś debil to pisał. No chyba, że dwie luki dzięki którym uzyskano dostęp są mało istotne.[/quote]

Ja tam nie neguje, tylko caly czas mowie, ze "krytyczne" z punktu widzenia administratora serwisu, a nie home.pl. Nie przekonasz mnie do tak wielkiego nagiecia definicji luki krytycznej :-).

>Mozesz, tylko jak sie wlaczysz to wywali druga
>osobe. Jeden z pomyslow to stosowanie
>jednorazowych tokenow. Mozna to rozwijac o
>kolejne zabezpieczenia (np. przeciw atakowi man-
>in-the-middle).

No i co z tego, że drugą wywali, przecież dla mnie nie ma to znaczenia jeśli jestem w systemie. I jak chcesz odróżnić osoby, skoro wszystkie dane łącznie z adresem IP są takie same? Mówimy o lanie.

>Patrzalem z perspektywy home.pl
Moim zdaniem jednak informacja była warta 200000 jeśli nie dla home to dla ich klientów. Na home.pl stoi wiele stron rządowych i BiP'ów. Za policja.pl zapłacono np. 150000 zł. Co by się stało, gdyby ktoś to wykorzystał i pokasował parę takich witryn. Sam stosuję prostą autoryzację po http przy pierwszym logowaniu (redirect, żeby zalogować nowego usera) + szyfrowanie haseł w bazie danych. W życiu bym nie pomyślał, że mój hosting będzie tak nieodpowiedzialny i udostępni komuś logi.

>Za pożno - luka jest już usunięta od 15
>minut... Analizując Państwa poczynania w logach
>doszliśmy do tego jakąś godzine temu.
Odpowiedź na poziomie dziecka z przedszkola i równie bezczelna jak rządanie pieniędzy "prosze pani, to ania pierwsze mnie kopła". Chyba by się należało chociaż dziękuję.

>ktory ma duzo odwiedzin (nie chodzi tu o serwis
>porno), to usiluja wywalic takiego klienta
>tworzac sztuczne bariery.
Zawsze mnie śmieszyły ograniczenia hostingów nakładane na pornografię. Moim zdaniem takimi firmami nie warto sobie głowy zawracać. Od tego, żeby zastanawiać się nad legalnością bądź nie witryny jest policja i prokuratura, nie potrzeba mi dodatkowego "problemu" w postaci nudzących się pracowników firmy, dla rozrywki patrzących "kogo by tu wywalić" opłacanych z moich pieniędzy.

Co do parametrów - to fakt nie ma w polsce hostingu, który dawałby to za co użytkownik zapłaci. Po prostu te parametry ustalają debile którzy nie wiedzą, że aby je osiągnąć potrzeba jeszcze odpowiedniej mocy procesora. Dla mnie to wygląda tak, że phpbbbp pożera zasoby. Ale oprócz tego zwykłe phpbb, wordpress, nuke, fusion i w ostateczności WSZYSTKO INNE, nawet za goły FTP można wyżucić gościa kiey wygeneruje za duże obciążenie CPU. Jak masz więcej odwiedzin to obojętnie co byś miał na koncie i tak cię wywalą.

Takie firmy jak home mają różne dziwne promocje typu pół roku za złotówkę. To była kiedyś droga oferta. A na drogą ofertę stać firmy, które mają statyczne strony z 10 Hits dziennie tylko po to, żeby sobie to druknąć na wizytówkach.

Teraz na stronę home wejdzie sobie gimnazjalista i pomyśli że by fajnie na przemie postawić forum dla szkoły. Za złotówkę. Robi fajną stronę i ma dziennie 10000 Hits. No i teraz home ma problem. Bo 1 serwer wytrzyma albo 10 gimnazjalistów albo 10000 firm. I jaki skrypt w takich warunkach może być "niezasobnożerny". chyba tylko "403 Forbidden". Moim zdaniem właśnie konta dzielone w wielkich firmach są przystosowane dla klientów... którzy ich nie używają.

--
Znalazłem ciekawe info:

http://hack.pl/aktualnosci/oswiadcznie_w_s prawie_wykrycia_krytycznej_luki_serwerow_homepl_59 3

Więc to niewątpliwie luka krytyczna (skoro umożliwiła dostęp do CMS ministerstwa edukacji)

---

http://hacking.pl/pl/news-6553-Sprawa_wymu szenia_przez_hackpl_w_prokuraturze.html
>O "krytycznej luce" w systemie home.pl nie może
>być mowy. Termin ten został użyty wyłącznie
>ko silny argument do wyłudzenia 200,000 zł.
>Każdy, kto zna się na bezpieczeństwie IT zdaje
>sobie sprawę, że rewelacje opisane przez
>hack.pl mijają się z prawdą.

no i dalej mamy ;)

>Dodatkowo, ze względu na naruszenie
>integralności serwisu rządowego Ministerstwa
>Edukacji Narodowej przyglądać się jej będzie
>Agencja Bezpieczeństwa Wewnętrznego

Każdy komu nie są obce elementarne zasady logiki pewnie wie, że chyba jakiś debil to pisał. No chyba, że dwie luki dzięki którym uzyskano dostęp są mało istotne.

Moim zdaniem w tej sprawie mamy do czynienia z błędnym myśleniem "luka jest tak prosta, że nie może być krytyczna, bo gdyby była krytyczna to pewnie wymagałaby 1,5 mln zł i 5 lat na naprawę"