Forum  Strona Główna



 

Dlaczego jest źle - przeczytaj koniecznie

 
Napisz nowy temat   Ten temat jest zablokowany bez możliwości zmiany postów lub pisania odpowiedzi    Forum Strona Główna -> Jak prawidłowo wyświetlić zawartość forum
Zobacz poprzedni temat :: Zobacz następny temat  
Autor Wiadomość
amit0
Moderator


Dołączył: 20 Lip 2008
Posty: 2251
Przeczytał: 0 tematów

Ostrzeżeń: 0/3
Skąd: Warszawa

PostWysłany: Pon 22:55, 04 Lis 2013    Temat postu: Dlaczego jest źle - przeczytaj koniecznie

Tworzę ten temat, gdyż próba "obejścia" problemu na poziomie dostępnym w panelu administracyjnym skończyła się "wywaleniem w kosmos" całego forum. Będzie to trochę przydługi wywód, alę radzę zapoznać się z nim uważnie, gdyż opisane problemy mogą wystąpić podczas serfowania po innych stronach.
Najpierw musimy zrozumieć, co się właściwie dzieje, że strony forum "rozlatują się" przy wyświetlaniu. I tu będzie niestety trochę teorii. Wszystkiemu winna jest tzw. aktywna zawartość mieszana. A cóż to za dziwadło?
W uproszczeniu można powiedzieć, że wyświetlając stronę w przeglądarce kontaktujemy się z serwerem, na której jest ona umieszczona, w dwojaki sposób:
1. W połączeniu zwykłym /http::/ wszystkie dane przesyłane są jawnie, zatem można je podsłuchać, podmienić.
2. Połączenie szyfrowane /https::/, jak sama nazwa wskazuje, powoduje, że wszystkie dane są szyfrowane.

Wydawałoby się, że połaczenie szyfrowane jest bezpieczne. Niestety tak nie jest. Sad Serwer przesyła do nas informację, jak ma wyglądać wyświetlana przez nasz komputer strona. Można to porównać z sytuacją, gdy ktoś przesyła do nas informację o tym jak upiec ciasto i gdzie kupić do niego poszczególne składniki. Ta informacja jest zaszyfrowana. Jeśli wszystkie "sklepy" wyślą do nas zamówiony towar pod eskortą /połączenie szyfrowane/, to z przepisu wyjdzie to, co zaplanował autor przepisu. Nie oznacza to, że potrawa będzie smaczna i bezpieczna. Szyfrowanie połaczenia nie uchroni nas przed tym, że zamiast przepisu na ciasto dostaniemy przepis na trutkę na szczury /ktoś może się włamać na stronę którą odwiedzamy i podmienić przepisy lub składniki/.
Gdy w otrzymanej przez nas zaszyfrowanej informacji znajdzie się polecenie ściągnięcia czegoś ze strony, która jest nieszyfrowana, to całe zabezpieczenie trafia szlag. Aby uzupełnić zawartość wyświetlanej strony nasz komputer pobierze brakujące elementy w połączeniu nieszyfrowanym... To tak, jak byśmy kupowali poszczególne składniki w supermarkecie. Ktoś może podmienić nam towar w wózku na zakupy lub na półce w supermarkecie /włamanie na stronę ze składnikami lub podmiana treści podczas transmisji/. Jeszcze gorzej, gdy przepis zawiera odsyłacz do innego przepisu, który nie jest szyfrowany. To jest właśnie aktywna zawartość mieszana. Przykład: "przepis na lukier do ciasta znajdziesz w ...". Jeśli przepis na lukier znajduje się na nieszyfrowanej stronie, to podmieniając go np. podczas przesyłania danych pomiędzy serwerem a naszym komputerem można zmusić nasz komputer do wyprodukowania czegokolwiek, co chce zrobić haker. Szyfrowanie praktycznie uniemożliwia takie działanie. Aby podmienić treść trzeba najpierw wiadomość rozszyfrować...

Pół biedy, jeśli przez połaczenie nieszyfrowane przesyłana jest zawartość pasywna /np. zdjęcie/. Gdy ktoś podmieni zdjęcie podczas przesyłania niezaszyfrowanej treści, najwyżej spowoduje u nas drobny szok, ale większej szkody nie wyrządzi. Gdy przesyłana jest zawartość aktywna /linki do innych stron, skrypty Jawy, arkusze stylu/, to ich podmiana może być dla nas groźna. Na przykład skrypt przechwyci wpisywane przez nas hasła i wyśle nie wiadomo gdzie. Mogą to być hasła do naszego konta bankowego, o konsekwencjach mogę nie pisać...

Twórcy przeglądarek dostrzegli to niebezpieczeństwo. Oczywiście użytkownik może ustawić poziom bezpieczeństwa w ustawieniach systemowych. Dotychczas przy ustawieniach na średnim poziomie, przegładarka informowała użytkownika o próbie wyświetlenia informacji mieszanej i pytała, czy taką zawartość wyświetlić. Niestety wobec licznich błedów przy tworzeniu szyfrowanych stron użytkownicy przyzwyczaili się do ignorowania takich ostrzeźeń i machinalnie klikali zgodę na wyświetlanie... Dlatego nowe wersje przeglądarek IE9, FireFox od ver. 23, Chrome ignorują systemowe zasady bezpieczeństwa i automatycznie blokują potencjalnie niebezpieczne treści. Odwrócono kolejność działania. Uzytkownik musi świadomie zmusić przeglądarkę do wyświetlenia zablokowanej zawartości.
Niestety, skrypt forum, do którego nie mamy dostępu, zawiera błędy. Strona logowania, słusznie wyświetlana w połączeniu szyfrowanym, zawiera odwołanie do skryptu css, określającego, jak strona ma wyglądać. I ten skrypt jest blokowany. Przy przeglądaniu tematów link do strony głównej forum powoduje błędnie wyświetlanie jej w trybie szyfrowanym. Nie wczytują się więc zablokowane: SB, styl strony /dlatego jest zupełnie rozformatowana/ oraz m.in. reklamy /skrypt Javy/.

W pozostałych tematach tej części forum opisane będą sposoby zmuszenia przeglądarek do wyświetlenia zablokowanych treści. Nie jestem w stanie opisać wszystkich przypadków. Opisane przykłady dotyczą systemu XPP z poziomem bezpieczeństwa ustawionym na monitorowanie zawartości mieszanej.
_____


Ostatnio zmieniony przez amit0 dnia Wto 13:19, 05 Lis 2013, w całości zmieniany 1 raz
Powrót do góry
Zobacz profil autora
Wyświetl posty z ostatnich:   
Napisz nowy temat   Ten temat jest zablokowany bez możliwości zmiany postów lub pisania odpowiedzi    Forum Strona Główna -> Jak prawidłowo wyświetlić zawartość forum Wszystkie czasy w strefie EET (Europa)
Strona 1 z 1

 
Skocz do:  
Nie możesz pisać nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz głosować w ankietach


fora.pl - załóż własne forum dyskusyjne za darmo
Powered by phpBB © 2001, 2005 phpBB Group
deoxGreen v1.2 // Theme created by Sopel stylerbb.net & programosy.pl

Regulamin