OMG, это 5!

otets-mihail

http://thedailywtf.com/forums/65974/ShowPost.aspx

Josh Breckman worked for a company that landed a contract to develop a content management system for a fairly large government website. Much of the project involved developing a content management system so that employees would be able to build and maintain the ever-changing content for their site.
Because they already had an existing website with a lot of content, the customer wanted to take the opportunity to reorganize and upload all the content into the new site before it went live. As you might imagine, this was a fairly time consuming process. But after a few months, they had finally put all the content into the system and opened it up to the Internet.
Things went pretty well for a few days after going live. But, on day six, things went not-so-well: all of the content on the website had completely vanished and all pages led to the default "please enter content" page. Whoops.
Josh was called in to investigate and noticed that one particularly troublesome external IP had gone in and deleted *all* of the content on the system. The IP didn't belong to some overseas hacker bent on destroying helpful government information. It resolved to googlebot.com, Google's very own web crawling spider. Whoops.
After quite a bit of research (and scrambling around to find a non-corrupt backup Josh found the problem. A user copied and pasted some content from one page to another, including an "edit" hyperlink to edit the content on the page. Normally, this wouldn't be an issue, since an outside user would need to enter a name and password. But, the CMS authentication subsystem didn't take into account the sophisticated hacking techniques of Google's spider. Whoops.
As it turns out, Google's spider doesn't use cookies, which means that it can easily bypass a check for the "isLoggedOn" cookie to be "false". It also doesn't pay attention to Javascript, which would normally prompt and redirect users who are not logged on. It does, however, follow every hyperlink on every page it finds, including those with "Delete Page" in the title. Whoops.
After all was said and done, Josh was able to restore a fairly older version of the site from backups. He brought up the root cause -- that security could be beaten by disabiling cookies and javascript -- but management didn't quite see what was wrong with that. Instead, they told the client to NEVER copy paste content from other pages.

Fragaria

руки обрывать надо за систему безопасности на JavaScript.

artimon

Я сталкивался уже с подобной системой безопасности. Правда в менее деструктивном варианте.
http://kean.livejournal.com/59411.html

yroslavasako

у меня вот такой вопрос возник. Кто виноват в обрушении информации? Хост, который не зашитил контент, или Гугл , который его удалил? Чем действия последнего отличаются от действий хакеров, которые пользуются ошибками в системе безопасности для получения доступа к приватному контенту?

evgen5555

Гугл виноват, конечно, как же можно было подумать на честных вебмастеров!

davidko

как известно, гугл виноват во всём!

kruzer25

Чем действия последнего отличаются от действий хакеров, которые пользуются ошибками в системе безопасности для получения доступа к приватному контенту?

А если я сделаю на главной странице сайта большую красную кнопку "админка", и не защищу ничего паролем - чем действия простых пользователей будут отличаться от действий хакеров, которые пользуются ошибками в системе безопасности для получения доступа к приватному контенту?

yroslavasako

меня интересует, где лежит грань? Простые пользователи, подчеркиваю - простые, не пройдя аутентификацию не смогли бы получить доступ к кнопке "удалить контент"

Ivan8209

Гугл ничем не отличается от простого пользователя.
Если он смог, то и простой пользователь смог бы.
---
...Я работаю антинаучным аферистом...

kruzer25

А как насчёт пользователей, у которых нет джаваскрипта, например?

Elina74

Простые пользователи тоже могли бы, отключи они куки и яваскрипт. Это не так-то сложно.

kruzer25

Это не то, что "не так-то сложно", у каких-то пользователей вообще джаваскрипта нет (например, lynx/links, да и куки там по умолчанию отключены а у каких-то - ИЕ, у которого, например, в 2003-ей винде по умолчанию все сайты - restricted, то есть, тоже без джаваскрипта и кук.

otets-mihail

меня интересует, где лежит грань?

для определения этого существует суд

sergey_m

Тоже мне новость. Я каждый месяц подобное вижу, правда без таких технических подробностей. Вот самые хиты:

Marinavo_0507

В этих хитах нет указаний на повреждение целостности контента.

sergey_m

"Взломан сайт". Значит осуществлено вмешательство в содержимое.

Marinavo_0507

> "Взломан сайт". Значит осуществлено вмешательство в содержимое.
Не уверен, что автор жалобы владеет терминологией на таком уровне