Братья простоватые Четверг, Дек 6 2007 

…А нашему брату сколько ни тверди про кровавую гэбню, всё в одно ухо влетает, в другое вылетает. Сколько уже мусолили, что ФКонтакт построен на деньги силовиков, чтобы собирать досье и компромат на сограждан, а им хоть кол на голове теши. Вот, опять: зазывают поделиться, кто за кого голосовал (ссылка требует логина, наверно). Больше двух тыщ уже высказалось.

И ещё, многие, наверно, не понимают, что в Сети тайного голосования не бывает. Если ты участвуешь в опросе, то вполне возможно, что информация о твоём выборе сохранится не только как плюс-один в общем результате, но и останется конкретно привязана лично к тебе. Тем более, если ты голосуешь на сервисе, где логин очень качественно ассоциируется с живым человеком.

Во время и после выборов на множестве форумов и сервисов проводятся такие опросы. Мне кажется, это не очень хорошая идея — призывать всех подряд в них участвовать. Выборы у нас всё-таки тайные. Одно дело — если человек активно общается на политические темы, высказывает своё мнение здесь и там: ему стесняться нечего — в любом случае не скроется. И другое — всех подряд зазывать: «заходи, проголосуй». Люди вообще бывают легкомысленны в Сети, и дополнительно провоцировать их на ненужные политические риски — дурное дело.

Аргументация «а чего нам бояться, имею право голосовать, за кого хочу», к сожалению, силы не имеет. Как известно, многих уже принуждали на прошедших выборах голосовать «за кого надо», шантажируя работой, зарплатой, стипендией и т.д. Поиск нелояльных по Сети тоже может начаться в любой момент. Будьте бдительны!

Дополнительное чтение, не совсем по теме, но тоже про выборы: Т.О. делится впечатлениями и соображениями.

Бди! Понедельник, Дек 3 2007 

Только что моей маме позвонил «я» и со слезами рассказал, что попал на машине в аварию в Сертолово, и надо срочно ехать меня выкупать из неприятностей. К счастью, было очевидно, что на самом деле со мной такого случиться не могло — далековато от Москвы до Сертолова. Тем не менее, следует помнить: жулики кругом, и встретиться с ними может каждый. Будьте бдительны!

А тем временем милиция избивает мирных граждан на демонстрациях да обирает гастарбайтеров из братских городов и республик. Слава Путину!

Чтобы всех отыскать, воедино созвать… Пятница, Ноя 2 2007 

Блогосферные новости недели: в России — Яндекс запускает поиск по комментариям, в мире — Google анонсирует OpenSocial, открытое API для социальных сервисов.
(далее…)

О криведках и протоколах Среда, Сен 19 2007 

Недавно пробегала по рунету «шуточка» для тех, кто «в контакте»: прислать товарищу ссылку, которая меняет его имя на «я креведко». Я и сам попался на эту дурацкую подколку, да и не заметил, пока братец не подсказал. Было запаниковал, думал — какое-то серьёзное хакерство, но потом разобрался и успокоился: просто кто-то подсунул ссылку типа vkontakte.ru?что-то-там.php?name=ya+krevedko. Действительно, кажется, ерунда — надо смотреть, на что давишь. Однако не так просто.

Не везде ожидаешь подвоха. В аське или в почте, увидев что-нибудь неожиданное якобы от знакомого человека, призадумаешься. С другой стороны, если тот же знакомый оставит тебе ссылку в комментарии к твоему блогу, обычно ничего не опасаешься и смело по ней переходишь. Я, как любой разумный человек, пользуюсь таким браузером, в котором можно ходить по любым ссылкам без опасения словить трояна, и потому не очень внимательно смотрю, на что нажимаю. Так что, на мой взгляд, к попавшимся на этот подкол не стоит предъявлять больших претензий в неосторожности. Это явно вина сервиса, на котором возможны такие косяки.

Ладно, пошутили. Но ведь так можно и сильнее подгадить. Написать что-нибудь совсем нехорошее, например. Как-нибудь скомпрометировать человека. А если запостить что-то в его дневник таким макаром? Взлом! А если так почту можно рассылать? Спамерская дыра! Разговоры о том, что надо каждый раз вылогиниваться, попользовавшись сервисом — в пользу бедных. Не для того делают галочку «запомнить меня на этом компьютере».

Но что же, спрашивается, должен делать сервис, чтоб защититься? На каждое действие подтверждения спрашивать? Не обязательно, есть и другие варианты. Некоторые, например, говорят о проверке referer-а (ссылающейся страницы) — чтобы сервер следил, что человек действительно пришёл со страницы редактирования профиля, а не фиг знает откуда. Но это, разумеется, дурной вариант. Неудобно, требует дополнительного программирования для каждого действия. Существует правильное решение, которое куда проще и изящнее. И, что важно, предписано свыше.

Как известно, HTTP-запросы бывают GET и POST (не говоря о прочих). Говоря простым языком, GET — это запрос, при котором параметры (данные формы ввода), если они есть, появляются в адресной строке, например: http://www.google.com/search?hl=en&client=opera&q=http+GET+length. Всё, что идёт после search?, — это параметры. А при POST-запросе параметры передаются в теле запроса (что бы это ни значило). Если вы где-то встретили ссылку и нажали на неё, запрос будет отправлен методом GET. Невозможно сделать ссылку, которая отправляла бы POST-запрос (хотя бы уже потому, что негде указать параметры для запроса). Поведение формы ввода можно задать в HTML-коде страницы — это на усмотрение вебмастера.

Почему для отправки форм иногда используют GET, а иногда POST? Обратимся к первоисточнику, сиречь спецификации протокола HTTP.

RFC 2616, sect. 9.3 GET:

The GET method means retrieve whatever information (in the form of an entity) is identified by the Request-URI. If the Request-URI refers to a data-producing process, it is the produced data which shall be returned as the entity in the response and not the source text of the process, unless that text happens to be the output of the process.

RFC 2616, sect. 9.5 POST:

POST is designed to allow a uniform method to cover the following functions:

  • Annotation of existing resources;
  • Posting a message to a bulletin board, newsgroup, mailing list, or similar group of articles;
  • Providing a block of data, such as the result of submitting a form, to a data-handling process;
  • Extending a database through an append operation.

Что тут существенно? Сама спецификация велит нам использовать GET для получения данных, и POST — для их изменения. Действительно, известны страшные истории о том, как робот гугла стёр целый сайт, пройдясь по ссылкам вида «удалить страницу». Никакая модификация данных не должна производиться GET-запросом.

Дальше остаётся только заметить, что хотя авторы сайта могли указать метод POST для формы, они не исключили возможности прислать те же данные через GET. Ублюдочный язык PHP (на котором написано ВКонтакте.Ру) — по крайней мере, в некоторой конфигурации — собирает все параметры запроса в одну большую кучу, чтобы ленивому программисту не надо было задумываться, через какой метод приходят данные. Хотя проверка заняла бы одну строчку (а при правильном написании кода вообще произошла бы сама собой), на сайте её сделать поленились, или забыли. В результате получается как всегда: чем удобнее, тем менее безопасно. В данном случае удобно программистам фконтакта, а опасно для нас, пользователей.

Прочти и передай товарищу Среда, Авг 8 2007 

Как разводят на бабло: будьте бдительны.

Город греха Пятница, Июн 8 2007 

За прошедшие сутки Москва показала своё прогнившее нутро. Добрые, безвинные люди попали в её жернова. Да и меня не миновало…
(далее…)

Аццкие вирусы Четверг, Апр 5 2007 

Сегодня чуть не попался на асечный вирус; он меня так поразил, что спешу поделиться.

Появляется в аське одна знакомая:

18:00:37: Привет!
18:00:40: Тебе ещё не присылали...
эээ 
погоди найду...

18:00:45: Вот http://ifolder.ru/1581856
Если нет - очень советую посмотреть

Меня сразу насторожило то, что барышня эта, в общем-то, не из числа друзей, и кроме вирусов я от неё нечасто получаю сообщения. Ссылку всё-таки открыл, благо пользуюсь Оперой, и риск словить что-нибудь, просто перейдя по ссылке, невелик. По ссылке лежит файл, неизобретательно названный flash.exe, что тоже вызвало подозрения. Скачивать его я, разумеется, не стал, а спросил, что же там:

Я:   18:01:45: привет
Я:   18:02:08: что это?
Она: 18:02:08: Это флешка интересная. Жизненно очень :)
Я:   18:02:46: Точно не вирус??
Она: 18:02:46: Да нету там вирусов. Проверено ;)

Но тут у проклятого вируса сразу два прокола: во-первых, слишком быстро отвечает (буквально мгновенно!), а во-вторых, едва ли «интересная флешка» может находиться в файле с таким именем и расширением. Вредитель изобличён, общественность предупреждена, администратор сайта принформирован.

Однако, будь автор заразы чуть хитрее, и я мог бы купиться. Не говоря о более широких массах. Никогда не открывайте ссылок, не зная наверняка, что там безопасный контент. А уж скачивать исполняемые файлы можно, только если вы сами специально их искали или о них просили.

Когда я был маленьким, ходили слухи про вредителей, которые раздают детям на улице ядовитые конфеты. Но встретить такого отравителя мне пока не доводилось; в Сети же — совсем другое дело, опасность повсюду. Будьте бдительны!