problemy bezpieczeństwa serwisów społecznościowych Opcje

[AxZx]

witam

jakie według was mogą występować problemy związane z bezpieczeństwem w serwisach społecznościowych?

[vokiel]

Zależy o jakie bezpieczeństwo pytasz.
Ogólnie takie same jak w każdych serwisach + dodatkowo b duże ryzyko wypłynięcia danych osobowych.
Do tego trzeba doliczyć ryzyko zamieszczania zdjęć bez zgody autorów, niepochlebnych opinii nt innych użytkowników, jakieś podszywanie się pod inne osoby etc...

[Speedy]

Brak weryfikacji, czy użytkownik nie jest botem po wykonaniu serii kilku lub kilkunastu operacji przeglądania profili użytkowników (potencjalna agregacja danych) oraz częstego pisania na forum (potencjalny spam).

[AxZx]

interesuje mnie bezpieczenstwo pod kazda postacia:)
cokolwiek wam sie nasunie na mysl.
dziekuje bardzo za powyzsze odpowiedz, juz mnie natchnely:)

[chlebik]

No jak szukasz pomyslow na atak na te seriwsy to chyba zle trafiles (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) ))

Ale do rzeczy - spolecznosciowki sa aplikacjami jak kazde inne. Jedyna kwestia jak jest istotna w ich przypadku to skala - zarowno jesli chodzi o ilosc userow, jak i zawartosci. Dlatego tez sa one rowniez najczesciej obiektem najrozniejszych atakow majacych na celu narozniejsze mozliwe cele. O bezpieczenstwie zas w PHP mozesz sobie poczytac w tej ksiazeczce Klik jak i na blogu jej autora.

[AxZx]

Brak weryfikacji, czy użytkownik nie jest botem

wystarczy ze mozliwosc wprowadzania tresci jest udostepniona tylko po zalogowaniu? chyba wystarczy. bo procesu rejestracji bot nie przejdzie - tak trzeba zrobic zeby nie przeszedl:)

No jak szukasz pomyslow na atak na te seriwsy to chyba zle trafiles (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) ))

żartowniś(IMG:http://forum.php.pl/style_emoticons/default/tongue.gif)

Ale do rzeczy - spolecznosciowki sa aplikacjami jak kazde inne. Jedyna kwestia jak jest istotna w ich przypadku to skala - zarowno jesli chodzi o ilosc userow, jak i zawartosci. Dlatego tez sa one rowniez najczesciej obiektem najrozniejszych atakow majacych na celu narozniejsze mozliwe cele. O bezpieczenstwie zas w PHP mozesz sobie poczytac w tej ksiazeczce Klik jak i na blogu jej autora.

nie sa aplikacjami jak kazde inne bo takie serwisy tworzy spolecznosc, a spolecznosc to duzo roznych ludzi. zwykly serwis prowadza redaktorzy, czasami wykfalifikowani, znajacy sie na rzeczy.

[mike]

wystarczy ze mozliwosc wprowadzania tresci jest udostepniona tylko po zalogowaniu? chyba wystarczy. bo procesu rejestracji bot nie przejdzie - tak trzeba zrobic zeby nie przeszedl:)

Zakładasz konto. Wpisujesz dane w konfigurację bota i jazzzda. (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif)

nie sa aplikacjami jak kazde inne bo takie serwisy tworzy spolecznosc, a spolecznosc to duzo roznych ludzi. zwykly serwis prowadza redaktorzy, czasami wykfalifikowani, znajacy sie na rzeczy.

Właśnie nie. Społecznościówki to jak hodowla mrówek. To Ty jesteś projektantem akwarium. Mrówki idą tam gdzie mogą a nie tam gdzie chcą.

[AxZx]

ja mrowkom na cos pozwole i beda z tego korzystac ale musze to obserwowac. bo tak jak juz bylo powiedziane zaczna sie kradzieze cudzych zdjec, cudzych tozsamosci itd.
w zwyklym serwisie prowadzonym przez kilka osob wszystko jest pod kontrola.

no ale wrocmy do tych kwestii bezpieczenstwa. moze jeszcze ktos ma jakis pomysl?

[Speedy]

Zakładasz konto. Wpisujesz dane w konfigurację bota i jazzzda. (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif)

Wyrwaliście moje poprzednie zdanie z kontekstu (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg) . Napisałem weryfikacja, czy użytkownik jest botem po kilku lub kilkunastu operacjach, a nie po rejestracji użytkownika. Tak, jak napisał Mike, jeżeli zabezpieczysz tylko rejestrację, to wtedy boty będą mogły być rejestrowane przez normalnych ludzi, a potem śmigać po serwisie do woli. Jeżeli natomiast zrobisz jakąkolwiek weryfikację (która jest kolejnym tematem do dyskusji) po kilkunastu kliknięciach lub oglądnięciach profili z danego konta, to wtedy np. bot gromadzący dane lub wysyłający spam zatrzyma się nie wyrządzając "szkód" na większą skalę.
Np. w serwisie studentix.pl taka weryfikacja jest prowadzona za pomocą captcha (ale można się zastanowić nad czymś lepszym) (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg) .

Ten post edytował Speedy 21.08.2008, 19:29:57

[AxZx]

to moze porozmawiamy o tym jak zabezpieczyc aplikacje przed atakami botow skierowanych przez ludzi?
czlowiek moze zalozyc kilka kont i kilka botow naraz skierowac z roznych kont.

jak blokowac? jak bot jest zalogowany jako uzytkownik serwisu to jakie nalozyc restrykcje?
uzytkownik po to sie loguje zeby miec jakies przywileje - a tu przez glupie boty zakladac jakies pulapki znowu.

[Speedy]

Można ewentualnie próbować kombinować z jakimiś metodami niewidocznymi dla użytkownika, żeby go nie męczyć jakimiś captchami i innymi bzdurami. Np. puszczać tylko tych użytkowników, u których wykona się w tle jakaś operacja via JavaScript, a ponieważ większość botów nie potrafi obsługiwać JavaScriptu, to boty zostaną zablokowane. Kiedyś czytałem o czymś podobnym na jakimś blogu, ale tego wpisu już nie ma, a sam sposób był nie do końca dopracowany.

[legorek]

A jak ja nie mam JavaScriptu bo korzystam np. z telefony komórkowego? Po co komplikować sobie życie? Nie prościej założyć, że jeśli gość odwiedza w ciągu np. minuty 50 podstron to na pewno bot?

Albo ewentualnie możesz spróbować utrudnić życie botom często zmieniając strukturę strony (kod HTML, nie sam wygląd), tak aby autorzy botów musieli przerabiać swoje dzieła.

Zasadniczo serwisu społecznościowe nie różnią się od innych, zabezpiecz najlepiej jak potrafisz, nie utrudniając życia userom.

Inne zagrożenia to listy od prawników, policji, prokuratury etc.

[AxZx]

a moglbys o tych policjach i prokuraturach napisac wiecej? chodzi tylko o te prawa autorskie? ze ktos wrzucil nie swoje zdjecia?

[mike]

a moglbys o tych policjach i prokuraturach napisac wiecej?

Chodzi o to że wystarczy że głupi fakt pierdnie a głupia tłuszcza zaczyna krzyczeć, że tragedia się dzieje z danymi osobowymi.
Duże serwisy są bardziej pod lupą więc musisz dbać o spójną i dobrą politykę prywatności i dbać o dane, które przechowujesz.
Żeby na przykład nie okazało się, że ktoś Ci napisze komentarz w serwisie: "Prezydent to (słowo użyte przez Palikota)" a Ty za to bekniesz.

[AxZx]

a co można zrobić jeżeli chodzi o ryzyko wypłynięcia danych osobowych i ochrona danych osobowych?
moglibyście mnie jakoś naprowadzić?

[Moli]

Po co komplikować sobie życie?

często zmieniając strukturę strony (kod HTML, nie sam wygląd)

WTF ?

[Speedy]

Każdy serwis będzie miał nieco inny charakter, ale abstrahując od serwisu społecznościowego podam nieco inny, prosty przykład:
Prowadzisz sklep internetowy ludzie rejestrują się tam i podają swoje dane i emaile w celu zrealizowania zamówienia, wystawienia rachunku etc. Jeżeli chciałbyś wysyłać tym ludziom reklamy (pocztą tradycyjną lub emailem), to wtedy musiałbyś ten zbiór danych zarejestrować u GIODO.
Na stronie http://www.memex.pl/test,5.html możesz sprawdzić, czy konkretny zbiór danych podlega rejestracji.
Mam książeczkę dot. ochrony danych osobowych w systemach informatycznych, ale niestety w formie papierowej, więc ciężko będzie mi ją tutaj na poczekaniu udostępnić (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif) . W każdym razie możesz pogrzebać na stronie http://www.memex.pl, a może coś tam znajdziesz (bo od nich mam tę książeczkę).

A jak ja nie mam JavaScriptu bo korzystam np. z telefony komórkowego?

Wprawdzie mój telefon nie jest specjalnie wypasiony, ale wiem o tym, że te najnowsze telefony obsługują JS (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg) (nie piszę o przeglądarkach WAP, tylko XHTML).

Ten post edytował Speedy 27.08.2008, 11:38:23

[pyro]

Można ewentualnie próbować kombinować z jakimiś metodami niewidocznymi dla użytkownika, żeby go nie męczyć jakimiś captchami i innymi bzdurami. Np. puszczać tylko tych użytkowników, u których wykona się w tle jakaś operacja via JavaScript, a ponieważ większość botów nie potrafi obsługiwać JavaScriptu, to boty zostaną zablokowane. Kiedyś czytałem o czymś podobnym na jakimś blogu, ale tego wpisu już nie ma, a sam sposób był nie do końca dopracowany.

eee no troche niedopracowany, skoro bot nie obsługuje javascriptu to nie bedzie musiał tych akcji wykonywać

[Speedy]

Chyba Ciebie nie rozumiem (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif) .
Większość botów nie obsługuje JS, więc nie "nie będzie musiał tych akcji wykonywać", tylko nie będzie mógł tych akcji wykonywać (a one będą potrzebne do uruchomienia konkretnych operacji) i o to w tym właśnie chodzi.

Ten post edytował Speedy 27.08.2008, 12:38:58

[f1xer]

Jeżeli chodzi o zabezpieczenie przed botami to oprócz captcha to wpadłem na taki jeden pomysł generalnie jestem w fazie projektowania tego rozwiązania ale nie mam zbytnio na to czasu, przy okazji może ktoś się wypowie na ten temat. Chodzi mianowicie o taki kod strony która sama się modyfikuje nie zmieniając przy tym wyglądu czyli modyfikuje np. pola id w kontrolkach formularza. Wydaje mi się że boty po prostu wstawiają tekst w jakieś zaprogramowane w nich pole o konkretnym id więc jeżeli z każdą sesją takie id będzie różne to bot nie powinien dać sobie z tym rady. Ale to tylko teoria, i tak naprawdę to nie wiem dokładnie jak działają takie boty (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

[pyro]

Chyba Ciebie nie rozumiem (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif) .
Większość botów nie obsługuje JS, więc nie "nie będzie musiał tych akcji wykonywać", tylko nie będzie mógł tych akcji wykonywać (a one będą potrzebne do uruchomienia konkretnych operacji) i o to w tym właśnie chodzi.

a nie sorry, troche zle zrozumialem o co ci chodzi, a jakby ktoś chciał przykłado co chodzi:

[HTML] pobierz, plaintext 
<!-- kodzik jakis -->
<script>
window.document.bla.hid.value="sledz";
</script>
 
<!-- kodzik jakis -->
 
<form name="bla" action="" method="post">
<!-- jakies pola -->
<input name="hid" type="hidden" value="makrela" />
</form>
<!-- jakis kodzik -->
[HTML] pobierz, plaintext 

od strony php:

[PHP] pobierz, plaintext 
<?php
if(!isset($_POST['hid']) or $_POST['hid'] != 'sledz')
{
die('ty bocie!');
}
?>
[PHP] pobierz, plaintext 

częściowo odstrasza to początkujących i lamerów jednak nie jest to dobry sposób na zabezpieczenie, bo jeśli ktoś ma nieco pojęcia co i jak to z pewnością bez problemu będzie potrafił tego typu zabezpieczenia obejść. Poza tym ktoś może miec wyłączone javascript i co wtedy?

Jeżeli chodzi o zabezpieczenie przed botami to oprócz captcha to wpadłem na taki jeden pomysł generalnie jestem w fazie projektowania tego rozwiązania ale nie mam zbytnio na to czasu, przy okazji może ktoś się wypowie na ten temat. Chodzi mianowicie o taki kod strony która sama się modyfikuje nie zmieniając przy tym wyglądu czyli modyfikuje np. pola id w kontrolkach formularza. Wydaje mi się że boty po prostu wstawiają tekst w jakieś zaprogramowane w nich pole o konkretnym id więc jeżeli z każdą sesją takie id będzie różne to bot nie powinien dać sobie z tym rady. Ale to tylko teoria, i tak naprawdę to nie wiem dokładnie jak działają takie boty (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

to strasznie duzo kombinowania, a takie rzeczy typu dobre captcha wystarczą jako zabezpiecznie przed botami.

[Speedy]

a nie sorry, troche zle zrozumialem o co ci chodzi, a jakby ktoś chciał przykłado co chodzi:

[HTML] pobierz, plaintext 
<!-- kodzik jakis -->
<script>
window.document.bla.hid.value="sledz";
</script>
 
<!-- kodzik jakis -->
 
<form name="bla" action="" method="post">
<!-- jakies pola -->
<input name="hid" type="hidden" value="makrela" />
</form>
<!-- jakis kodzik -->
[HTML] pobierz, plaintext 

od strony php:

[PHP] pobierz, plaintext 
<?php
if(!isset($_POST['hid']) or $_POST['hid'] != 'sledz')
{
die('ty bocie!');
}
?>
[PHP] pobierz, plaintext 

częściowo odstrasza to początkujących i lamerów jednak nie jest to dobry sposób na zabezpieczenie, bo jeśli ktoś ma nieco pojęcia co i jak to z pewnością bez problemu będzie potrafił tego typu zabezpieczenia obejść. Poza tym ktoś może miec wyłączone javascript i co wtedy?
to strasznie duzo kombinowania, a takie rzeczy typu dobre captcha wystarczą jako zabezpiecznie przed botami.

W zasadzie miałem na myśli coś podobnego. "Standardowe" boty, które chodzą po stronach złapią się na coś takiego, ponieważ nie uzupełniają one domyślnie wypełnionych pól. Takie coś da się łatwo obejść, ale trzeba napisać dedykowanego bota dla konkretnej strony. Miałem problem z botami w jednym z moich serwisów i zrobiłem na szybko zabezpieczenie w postaci pytania (i nie jest to żadna captcha), przy którym jedno pole było domyślnie wypełnione błędnie i użytkownik musiał je poprawić. Od ponad 3 miesięcy żaden bot mi tam nic nie napisał. Dodatkowo, proces weryfikacji można uczynić niewidocznym dla użytkownika chociażby w podany przez Ciebie sposób.
To prawda, że można mieć wyłączony JS, ale nie czarujmy się - 98% użytkowników internetu ma JS włączony (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg) .
Napisałeś, że to jest dobre zabezpieczenie, jak ktoś nie pojęcia co i jak. To prawda, ale zauważ, że jeżeli ktoś ma dobre pojęcie "co i jak", to będzie w stanie obejść nawet wymyślne zabezpieczenia. Krótko mówiąc: Jak ktoś będzie chciał mieć konkretne dane i zna się na rzeczy, to i tak je zdobędzie. Chodzi o to, żeby zabezpieczyć się przed standardowymi metodami skanowania serwisów internetowych (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg) .

Ten post edytował Speedy 27.08.2008, 13:24:43

[pyro]

W zasadzie miałem na myśli coś podobnego. "Standardowe" boty, które chodzą po stronach złapią się na coś takiego, ponieważ nie uzupełniają one domyślnie wypełnionych pól. Takie coś da się łatwo obejść, ale trzeba napisać dedykowanego bota dla konkretnej strony. Miałem problem z botami w jednym z moich serwisów i zrobiłem na szybko zabezpieczenie w postaci pytania (i nie jest to żadna captcha), przy którym jedno pole było domyślnie wypełnione błędnie i użytkownik musiał je poprawić. Od ponad 3 miesięcy żaden bot mi tam nic nie napisał. Dodatkowo, proces weryfikacji można uczynić niewidocznym dla użytkownika chociażby w podany przez Ciebie sposób.
To prawda, że można mieć wyłączony JS, ale nie czarujmy się - 98% użytkowników internetu ma JS włączony (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg) .
Napisałeś, że to jest dobre zabezpieczenie, jak ktoś nie pojęcia co i jak. To prawda, ale zauważ, że jeżeli ktoś ma dobre pojęcie "co i jak", to będzie w stanie obejść nawet wymyślne zabezpieczenia. Krótko mówiąc: Jak ktoś będzie chciał mieć konkretne dane i zna się na rzeczy, to i tak je zdobędzie. Chodzi o to, żeby zabezpieczyć się przed standardowymi metodami skanowania serwisów internetowych (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg) .

Twierdzisz, że są tacy co potrafią obejść dobre captcha (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) ?

// EDIT

tzn. pewnie są, a takich może jest kilku, z kolei takich co potrafią obejść zabezpieczenia javascriptowe są tysiące.

Ten post edytował pyro 27.08.2008, 15:06:45

[AxZx]

poleccie mi jakis kod ktory tworzy dobre captcha:)
najlepiej w czystym php.

[Speedy]

Ja uważam, że nie ma sensu męczyć użytkownika (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) . Np. po ostatnich aktualizacjach rapidshare prawidłowe przeczytanie tego captcha graniczyło z cudem. Podobna sytuacja jest też na kilku innych serwisach. Można oczywiście stosować różne wymyślne metody zabezpieczeń, ale wtedy zabezpieczamy serwis przed normalnymi użytkownikami (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg) .
Moim zdaniem najlepiej zrobić najzwyklejsze generowanie tekstu za pomocą funkcji imagettftext" title="Zobacz w manualu PHP" target="_manual. Wtedy każdy użytkownik będzie mógł to po ludzku przeczytać, a napisanie aplikacji, która przetworzy ten obrazek na tekst przysparza mimo wszystko nieco zachodu.

[pyro]

nieco zachodu? wystarczy kazdy napotkany OCR

[Speedy]

No dobra, ale trzeba umieć znaleźć środek pomiędzy jednym, a drugim. Nie można przesadzać z wymyślnymi systemami captcha.