"Svetski, a naše" i sigurnost
Bila na brdovitom Balkanu jedna manje-više poznata, da je tako nazovemo, aktivna web development agencija. Radiše vredno i marljivo - prosto rapidno! I igrom slučaja dođoh ja do jednog njihovog projekta, da pogledam malo. Kliknu ovde kliknu onde, a sigurnosne rupe iskaču ne znaš koja veća od koje…
Ništa, kažem ja pa dobro dešava se - igrala se deca, pa zaboravila ponešto. Obavestim ja njih telefonom, i posle nekoliko dana stigne odgovor “Sigurnost je u redu, lozinke su kriptovane”. Ko vidi samo odgovor, kaže u redu, ali u pitanju su se pominjale opasne stvari, one koje se pišu na vratima špajze kao upozorenje za malu decu. Prosto ne znaš koja je opasnija - izostavljanje basename()-a pre fopen() i readfile() funkcija, a ime datoteke HTTP GET parametar, iskljucen registar_globals, a prijava ne podesava kontrolnu varijablu na NULL ili FALSE pre toga, problemi sa magic_quotes itd.
Bilo je tu i neobičnih, prosto smešnih stvari:
3) NEOBICNI PROBLEM PRI PRIJAVI KORISNIKA Kratkim uvidom, primetio sam drugacije ponasanje prijave ako se prijava pokusava pre 17h. Naime, za sada izgleda da prijava pre 17h uvek prolazi, svejedno od rezultata poziva login() metode klase admin, ako postoji vise od 3 neuspela pokusaja. Cudnim kodom u metodi kojim se umesto prebrojavaja neuspelih pokusaja u toku dana proverava broj neuspelih pokusaja sa IP adrese sa koje se sada pokusava prijava na dan 26. aprila 2004. godine ovu gresku nije moguce iskoristiti, ali svakako brojanje pogresnih pokusaja treba ispraviti (izbaciti ili komentarisati red "$date='2004-04-26';" u classes/admin.php), a iskljuciti mogucnost prijave bez lozinke pre 17h.
Ne znam ja, živim u zemlji koja je uglavnom izolovana od sveta, možda se tamo po Italiji gde dotična aktivna agencija voli da radi ovakve stvari ne gledaju. Ono, korisnici su pošteni svet neće oni da menjaju adresu i da skinu ceo PHP izvorni kod kroz tamo neki sigurnosni “šta ti ja znam” propust… Ne znam, sve je moguće. Možda…
A možda sam ja sve ovo sanjao, ličilo bi. Ipak ovaj par stranica dugačak mail sa odgovorom je u mom Drafts folderu, nešto neće da nestane ma koliko se ja ubadao viljuškom.
2 komentara
4 nov 2004 Tomica Jovanovic
da ime te aktivne agencije nije ActiveSomething?
:-P
4 nov 2004 Goran Rakić
mislite o tome.