Довольно интересную тему затронул в своем блоге Андрей Петухов, цитирую:
Добавлю еще то, что по аналогичному сценарию поисковые системы не только эксплуатируют SQL-инъекции (ровно как нарушают ст. 272 УК РФ), но и затем еще кешируют результаты атаки. Примеров довольно много: 1, 2, 3, 4, 5...
И что? В этом случае снова виноват несчастный файл "robots.txt"? :)
Разумеется проблема не в Яндексе. И Google гораздо эффективнее в этом плане ;) Но остается главный вопрос, как реагировать на то, что поисковая машина так свободно безобразничает?
Дано:
- Есть сайт А, на котором есть уязвимость SQLi, позволяющая удалить все данные из БД.
- Есть форум B, на который мальчик Петя постит ссылку, при переходе по которой отправляется запрос, реализующий SQLi на сайте А и, как следствие, удаляющий там данные.
Вопросы:
- Есть поисковик С, который радостно индексирует форум B и, переходя по ссылке, наносит ущерб сайту А.
- Виноват ли поисковик в том, что на сайте А пропали данные?
- Если не виноват поисковик, то кто же виноват?
Добавлю еще то, что по аналогичному сценарию поисковые системы не только эксплуатируют SQL-инъекции (ровно как нарушают ст. 272 УК РФ), но и затем еще кешируют результаты атаки. Примеров довольно много: 1, 2, 3, 4, 5...
И что? В этом случае снова виноват несчастный файл "robots.txt"? :)
Разумеется проблема не в Яндексе. И Google гораздо эффективнее в этом плане ;) Но остается главный вопрос, как реагировать на то, что поисковая машина так свободно безобразничает?
ИМХО - это уже параноя и не несет никакого смысла. Только троллинг. Без обид 8)
ОтветитьУдалить1) поисковики не фаззят, они переходят по _уже_ опубликованным ссылкам.
2) Мне, как владельцу сайта пофиг, кто перешел по этому урл - робот или ананимус через Тор. В чем смысл? Если анонимусу так хочется сделать дроп тейблс, то он это сделает через сокс, прокси или Тор, может, конечно, выпендриться и сделать через Яндекс бота - а смысл? Я ещё круче предлагаю! Сделать ссылку через какой-нить "укорачиватель" и выложить в твиттер! А там по этой ссылке тот же дроп тейблс. Что делать, караул 8) Другими словами это не та проблема на которую стоит обращать внимание в таком ракурсе и с такой постановкой вопроса 8)
По ссылкам - очень интересно! Читал с удовольствием!
ОтветитьУдалить> Но остается главный вопрос,
ОтветитьУдалить> как реагировать на то, что поисковая
> машина так свободно безобразничает?
Ну сначала конечно надо будет подождать, пока поисковая система доест оставшихся детей. После этого *тихим и неуверенным голосом* исправить уязвимость.
Очевидна вина разработчика сайта. Поисковик не виноват. О чем разговор?
ОтветитьУдалитьЕсли я забыл закрыть окно, пошел дождь и что-то затопил (ну, если окно в крыше машины, то машину, а может, и квартиру, если дождь был в ветреную погоду), неужели дождь виноват?! Бред какой-то.
Если какая категория данных должна быть как-то защищена, разве не хостящая ее система должна обеспечить защиту? Уж если поисковик смог проиндексировать, то что говорить о мотивированном злоумышленнике?!
Вот всякие Яндекс.Бары - немного другая тема.
Дано:
ОтветитьУдалить1. Есть сайт А, на котором есть уязвимость SQLi, позволяющая удалить все данные из БД.
2. Есть форум B, на который мальчик Петя постит ссылку с подписью "самый вкусный борщ", при переходе по которой отправляется запрос, реализующий SQLi на сайте А и, как следствие, удаляющий там данные.
3. Есть Ваша бабушка, которая радостно обнаруживает на форуме B ссылку на рецпт борща, и, переходя по этой ссылке, наносит ущерб сайту А.
Вопросы:
1. Виновата ли Ваша бабушка в том, что на сайте А пропали данные?
2. Если бабушка не виновата, то кто же виноват?
>> Semenyaka
ОтветитьУдалитьОтветил вам у себя в блоге. Копирую ответ сюда.
Откуда появилась вторая загадка – вы уже первую решили? Или вы пытаетесь провести аналогию? Если второе – то аналогия не работает, у робота нет умысла, у человека есть. Если первое – прошу вас, поделитесь ответом.
Так-то я могу еще загадок накидать.
- Что если Петя в тексте ссылки написал: «NEVER EVER EVER FOLLOW THIS LINK», и никто из пользователей форума не ходил по ссылке, пока не пришел робот, который не понимает семантики?
- Что если Петя в тексте ссылки написал: «FOLLOW THIS LINK TO EXPLOIT …» и по ссылке перешел местный хулиган на форуме?
Вы правда считаете, что все эти ситуации судом будут расцениваться одинаково?
Интересно, что с точки зрения статьи 272 УК поисковик действительно совершил неправомерный доступ, выполнив SQLi, поскольку нарушается установленный порядок доступа к информации.
ОтветитьУдалитьПрикольно, да?
Andrew Petukhov:
ОтветитьУдалить1) вторая загадка взялась у меня из головы - прошу прощения, это мое право задавать вопросы, и разрешение получать на это мне не надо :)
2) уверяю Вас, у Вашей бабушки не было умысла уничтожать информацию на сайте A!
3) вот в следующих ситуациях разница между действиями человека и робота - действительно более существенна.
4) я нигде не писал про мое мнение о судебной перспективе любого из этого случаев, это Ваши фантазии.
@Semenyaka
ОтветитьУдалить>> вторая загадка взялась у меня из головы - прошу прощения, это мое право задавать вопросы, и разрешение получать на это мне не надо
Задавайте, конечно, вопросы сколько угодно. Мне просто показалось странным начинать новые загадки, не обсудив исходную.
>>я нигде не писал про мое мнение о судебной перспективе любого из этого случаев, это Ваши фантазии.
Я задал вам вопрос, при чем тут мои фантазии?
@Semenyaka
ОтветитьУдалитьДа, и еще. По-моему, у читателей складывается впечатление, что я знаю ответ на свою загадку или занимаюсь троллингом поисковиков. Увы!
Я уже придумал кучу логичных ответов на нее, в зависимости от точки зрения на проблему.
to asintsov:
ОтветитьУдалитьсогласен, что эта тема на грани троллинга :) однако, хотелось выяснить, кто, что думает по этому поводу...
ЗЫ. Мне твоя идея использовать поисковики в качестве инструмента даже очень понравилась :)
to Сергей Солдатов:
проведу другую параллель. Я использую пароль по умолчанию к сетевому устройству. Добрый хакер прошелся по дефолтам и порутал мой девайс. Кто виноват? Я, который не сменил пароль или хакер, который воспользовался уязвимостью?
Тоже самое и тут. Да, на моем сайте уязвимость. Кто-то ее нашел, а потом опубликовал на форуме. Прошло некоторое время и все уже забыли (забили), а поисковые системы регулярно обновляют в свой кеш данные из базы данных, которые владелец сайта не хотел никому разглашать (ПДн? Данные держателей пластиковых карт?). Очевидно, что тут вина того, кто нашел и опубликовал пруфф на форуме. А теперь вопрос. Если человек, увидевший пруфф на форуме, воспользовался им для проведения атаки на веб-сервер, его действия попадают под ст. 272? Да! А вот действия поисковика нет (имхо у поисковика не было злого умысла). Но остается главный вопрос :), как реагировать на то, что поисковая машина так свободно безобразничает?
"А теперь вопрос. Если человек, увидевший пруфф на форуме, воспользовался им для проведения атаки на веб-сервер, его действия попадают под ст. 272? Да!"
ОтветитьУдалитьЛол, а если браузер человека, переходит по img src с пруффом для проведения атаки на веб-сервер, его действия попадают под ст. 272? Да!
Так это ж прикинь Дим, под статью 272 при желании попадает даже твой поход в сортир подрочить на порносайт!
>> Лол, а если браузер человека, переходит по img src с пруффом для проведения атаки на веб-сервер, его действия попадают под ст. 272?
ОтветитьУдалитьнет! злого умысла нет
>> Так это ж прикинь Дим, под статью 272 при желании попадает даже твой поход в сортир подрочить на порносайт!
Дима, веди себя прилично.
Andrey Petukhov: ok, позиция понятна. Мои загадки, собственно, равнозначны Вашим, по большому счету. На мой взгляд, неважно, как удаляется информация с сайта А - походом туда робота Яндекса или чей-то бабушки. Важно то, кто действовал сознательно, а кто - нет. И в этом смысле бабушка и Яндекс эквивалентны.
ОтветитьУдалитьАналогия в реальной жизни. Пусть Вася сделал взрывное устройство, которое взрывается удаленно, по нажатию кнопки. Подкинет он эту кнопку на детскую площадку (где какой-нибудь ребенок рано или поздно ее нажмет - просто так), положит на дорогу (где ее нажмет проезжающий автомобиль) или нажмет сам - существенной разницы нет, вина будет на нем, а не на ребенке или водителе.
И, как я писал, ситуация, когда есть явное предупреждение (бабушка по ссылке не пойдет, а Яндекс - пойдет) - вот эта ситуация сложнее. Но, представляется мне, логично использовать тот же подход.
Повторю, всё изложенное - IMHO.
хах, про бабушку слишком наглядно сказано
ОтветитьУдалить