|
O dinamički kreiranim Web stranicama se mnogo govori danas, toliko da bi neko pomislio da je to nešto revolucionarno novo. Ali nije, dinamički kreirane stranice ste već viđali puno puta: diskusije, knjige gostiju,... Međutim, novo je što je većina današnjih najuspješnjih sajtova skoro u potunosti dinamička, tj. sve stranice se kreiraju u letu.
Onoliko koliko su atraktivni ovako kreirani sadržaji i koliko doprinose svežini nekog sajta, toliko mogu da budu i opasni ukoliko nisu korektno instalirani. I ne samo to! Buduci da je Internet pun besplatnih skriptova sumnjivog kvaliteta, pravilna instalacija skripta koji nije pravilno napisan i koji ostavlja sigurnosne rupe u sistemu neće mnogo pomoći.
O čemu se zapravo radi? Većina Web brauzera ima mogućnost izvršavanja skriptova koji su ugrađeni u stranice koje se preuzimaju sa servera. Takvi skriptovi mogu biti napisani u raznim jezicima i pokreće ih klijentov brauzer. Kreator prezentacije će u stranice ugraditi razne korisne skriptove koji će pomoći posetiocima da se lepše osećaju na sajtu, da imaju lakšu navigaciju i slično. Međutim, ukoliko postoji mogućnost da sami posetioci unose podatke na osnovu kojih će biti kreirane stranice, kreator sajt više nema kontrolu da li je uz poruku u forumu ili knjizi gostiju ostavljen i skript!
Na primer, ukoliko imate diskusije, posetilac može ostaviti poruku ovoga oblika:
Pozdrav svima! Ovo je moja poruka
<SCRIPT>opasni kod</SCRIPT>
Ovo je kraj moje poruke
Kada ostali posetioci diskusionih strana otvore stranu sa tom porukom, ukoliko je podrška za skriptove uključena (a uključena je standardno!) opasni kod će biti izvršen bez znanja posetioca. Opasni kod može biti uključen u već pomenuti <SCRIPT> tag, ali i u <OBJECT>, <APPLET> ili <EMBED> tagove.
Svi profesionalni softveri koji pokreću diskusije imaju ugrađenu podršku za prepoznavanje i eliminisanje ovakvih napada. Međutim, veliki broj CGI skriptova koji su trenutno aktivni na Webu nema nikakvu zaštitu od napada ovoga tipa ili je kreatori sajta nisu uključili iz neznanja.
Postoje i drugi načini napada, češće korišćeni u e-mail ili newsgroup porukama. Ukoliko neki korisnik ostavi poruku tipa
[url=http://www.naprimer.com/komentar.cgi? komentar=<SCRIPT]opasni kod</SCRIPT>">Kliknite ovde![/url]
ostali korisnici mogu kliknuti na gornji link. Ako Web server vrati stranu korisniku uključujući i vrednost poslatog parametra komentar korisnikov brauzer će izvršiti opasni kod.
Treći primer se odnosi na klasične formulare koje sadrži skoro svaki sajt. <FORM> tag je potencijalna alatka napadača. Na primer, ubacivanjem opasnog <FORM> taga na pravo mesto, napadač može dobiti osetljive podatke od korisnika menjajući ponašanje postojećeg formulara.
I ostali HTML tagovi mogu biti u manjoj meri zloupotrebljeni menjajući izgled strane, ubacivanjem neželjenih slika ili zvukova i slično.
Dakle, obični korisnici Interneta mogu neželjeno pokrenuti izvršavanje skriptova koje je napisao neki zlobni korisnik na mnogo načina: klikom na sumnjivi link na We stranici, e-mail ili newsgroup poruci ili prostim gledanjem dinamički kreirane stranice.
Rešenja
Glavna odgovornost za sigurnost posetilaca leži na webmasterima. Njihov zadatak je da provere sigurnost svojih formulara i skriptova koji generišu dinamičke stranice na osnovu korisničkog ulaza. Eliminisanje neželjenih tagova je jednostavno i obavezno. Dobar korak u sužavanju prostora za delovanje eventualnih napadača je i definisanje seta karaktera za sve dinamički generisane strane.
Ne postoji nijedno 100% sigurno rešenje za korisnike. Ono što običan korisnik može da uradi je da isključi izvršavanje skriptova u svom brauzeru. Time će se zaštititi od izvršavanja neželjenih skriptova, ali će surfovanje po nekim sajtovima biti teže, ako ne i nemoguće. Takođe, nećete se zaštititi od zloupotrebe <FORM> taga. Na Vama je da odlučite. Ukoliko želite maksimalnu sigurnost, isključite skriptove, u suprotnom ih ostavite uključene za puni doživljaj surfovanja.
Najveća opasnost vreba od sajtova na koje dolazite prvi put, klikom na link sa nekog drugog sajta, e-mail, ICQ ili Odigo poruke.
Sledeći način da smanjite rizik prve posete sumnjivom sajtu je da ne kliknete na link, već da adresu sajta (samo adresu) ukucaju ručno u Web brauzer. Pri tome treba biti pažljiv jer se link može JavaScript-om maskirati i pravu adresu u Status baru brauzera sakriti prikazujući poruku ili čak potpuno drugu adresu!
Na kraju...
Nemojte da Vas ovaj tekst obeshrabi u korišćenju Interneta. Cilj je da kreatore prezentacija napomenemo na stvari koje su im možda promakle pažnji, a ostale korisnike da upoznamo sa načinom prevencije ovakvih pojava.
----------------
Napomena: Tekst je preuzet iz casopisa Internet Ogledalo i napisao ga je Vladan Zirojevic za rubriku "Zastita"!
----------------
|
