amit0
Moderator
Dołączył: 20 Lip 2008
Posty: 2251
Przeczytał: 0 tematów
Ostrzeżeń: 0/3 Skąd: Warszawa
|
Wysłany: Pon 22:55, 04 Lis 2013 Temat postu: Dlaczego jest źle - przeczytaj koniecznie |
|
|
Tworzę ten temat, gdyż próba "obejścia" problemu na poziomie dostępnym w panelu administracyjnym skończyła się "wywaleniem w kosmos" całego forum. Będzie to trochę przydługi wywód, alę radzę zapoznać się z nim uważnie, gdyż opisane problemy mogą wystąpić podczas serfowania po innych stronach.
Najpierw musimy zrozumieć, co się właściwie dzieje, że strony forum "rozlatują się" przy wyświetlaniu. I tu będzie niestety trochę teorii. Wszystkiemu winna jest tzw. aktywna zawartość mieszana. A cóż to za dziwadło?
W uproszczeniu można powiedzieć, że wyświetlając stronę w przeglądarce kontaktujemy się z serwerem, na której jest ona umieszczona, w dwojaki sposób:
1. W połączeniu zwykłym /http::/ wszystkie dane przesyłane są jawnie, zatem można je podsłuchać, podmienić.
2. Połączenie szyfrowane /https::/, jak sama nazwa wskazuje, powoduje, że wszystkie dane są szyfrowane.
Wydawałoby się, że połaczenie szyfrowane jest bezpieczne. Niestety tak nie jest. Serwer przesyła do nas informację, jak ma wyglądać wyświetlana przez nasz komputer strona. Można to porównać z sytuacją, gdy ktoś przesyła do nas informację o tym jak upiec ciasto i gdzie kupić do niego poszczególne składniki. Ta informacja jest zaszyfrowana. Jeśli wszystkie "sklepy" wyślą do nas zamówiony towar pod eskortą /połączenie szyfrowane/, to z przepisu wyjdzie to, co zaplanował autor przepisu. Nie oznacza to, że potrawa będzie smaczna i bezpieczna. Szyfrowanie połaczenia nie uchroni nas przed tym, że zamiast przepisu na ciasto dostaniemy przepis na trutkę na szczury /ktoś może się włamać na stronę którą odwiedzamy i podmienić przepisy lub składniki/.
Gdy w otrzymanej przez nas zaszyfrowanej informacji znajdzie się polecenie ściągnięcia czegoś ze strony, która jest nieszyfrowana, to całe zabezpieczenie trafia szlag. Aby uzupełnić zawartość wyświetlanej strony nasz komputer pobierze brakujące elementy w połączeniu nieszyfrowanym... To tak, jak byśmy kupowali poszczególne składniki w supermarkecie. Ktoś może podmienić nam towar w wózku na zakupy lub na półce w supermarkecie /włamanie na stronę ze składnikami lub podmiana treści podczas transmisji/. Jeszcze gorzej, gdy przepis zawiera odsyłacz do innego przepisu, który nie jest szyfrowany. To jest właśnie aktywna zawartość mieszana. Przykład: "przepis na lukier do ciasta znajdziesz w ...". Jeśli przepis na lukier znajduje się na nieszyfrowanej stronie, to podmieniając go np. podczas przesyłania danych pomiędzy serwerem a naszym komputerem można zmusić nasz komputer do wyprodukowania czegokolwiek, co chce zrobić haker. Szyfrowanie praktycznie uniemożliwia takie działanie. Aby podmienić treść trzeba najpierw wiadomość rozszyfrować...
Pół biedy, jeśli przez połaczenie nieszyfrowane przesyłana jest zawartość pasywna /np. zdjęcie/. Gdy ktoś podmieni zdjęcie podczas przesyłania niezaszyfrowanej treści, najwyżej spowoduje u nas drobny szok, ale większej szkody nie wyrządzi. Gdy przesyłana jest zawartość aktywna /linki do innych stron, skrypty Jawy, arkusze stylu/, to ich podmiana może być dla nas groźna. Na przykład skrypt przechwyci wpisywane przez nas hasła i wyśle nie wiadomo gdzie. Mogą to być hasła do naszego konta bankowego, o konsekwencjach mogę nie pisać...
Twórcy przeglądarek dostrzegli to niebezpieczeństwo. Oczywiście użytkownik może ustawić poziom bezpieczeństwa w ustawieniach systemowych. Dotychczas przy ustawieniach na średnim poziomie, przegładarka informowała użytkownika o próbie wyświetlenia informacji mieszanej i pytała, czy taką zawartość wyświetlić. Niestety wobec licznich błedów przy tworzeniu szyfrowanych stron użytkownicy przyzwyczaili się do ignorowania takich ostrzeźeń i machinalnie klikali zgodę na wyświetlanie... Dlatego nowe wersje przeglądarek IE9, FireFox od ver. 23, Chrome ignorują systemowe zasady bezpieczeństwa i automatycznie blokują potencjalnie niebezpieczne treści. Odwrócono kolejność działania. Uzytkownik musi świadomie zmusić przeglądarkę do wyświetlenia zablokowanej zawartości.
Niestety, skrypt forum, do którego nie mamy dostępu, zawiera błędy. Strona logowania, słusznie wyświetlana w połączeniu szyfrowanym, zawiera odwołanie do skryptu css, określającego, jak strona ma wyglądać. I ten skrypt jest blokowany. Przy przeglądaniu tematów link do strony głównej forum powoduje błędnie wyświetlanie jej w trybie szyfrowanym. Nie wczytują się więc zablokowane: SB, styl strony /dlatego jest zupełnie rozformatowana/ oraz m.in. reklamy /skrypt Javy/.
W pozostałych tematach tej części forum opisane będą sposoby zmuszenia przeglądarek do wyświetlenia zablokowanych treści. Nie jestem w stanie opisać wszystkich przypadków. Opisane przykłady dotyczą systemu XPP z poziomem bezpieczeństwa ustawionym na monitorowanie zawartości mieszanej.
_____
Ostatnio zmieniony przez amit0 dnia Wto 13:19, 05 Lis 2013, w całości zmieniany 1 raz
|
|