Dokonujesz transakcji w swoim banku siedząc w kafejce internetowej. Następna osoba, która usiądzie przy tym komputerze ma dostęp do nr. Twojego konta, salda, imienia i nazwiska... Żart? Nie, to FAKT.
Witam
tworzę dla klienta witrynę, która posiada część ogólniedostępną oraz część zastrzeżoną - przeznaczoną wyłącznie dla pojedynczych, zalogowanych
klientów.
Materiałami w części zastrzeżonej
są teksty (HTML), fotografie, filmy QuickTime i nagrania w formacie MP3. Żadne z tych materiałów pod żadnym pozorem nie powinny trafić w niepowołane ręce.
Mój problem polega na tym, że w żaden
sposób nie potrafię zmusić przeglądarki Internet Explorer (wersja 6, choć poprzednie wersje są nie lepsze),
żeby NIE zapisywała tych plików do swojego CACHE.
(Dla niewtajemniczonych — przeglÄ…darka IE posiada w systemie swój specjalny katalog, w którym zapisuje W POSTACI JAWNEJ pliki, które Å›ciÄ…ga z internetu. Te pliki zachowujÄ… swoje nagłówki, rozszerzenia i nie sÄ… w żadnen sposób modyfikowane — no, czasem jedynie zmieniana jest
nazwa pliku, i to wszystko. W każdym razie do tego katalogu można bez trudu wejść i bez trudu zobaczyć wszystko, co Ty lub ktokolwiek przed Tobą oglądał za pomocą tej przeglądarki)
Oczywiście próbowałem użyć znacznika
<meta HTTP-EQUIV="Pragma" CONTENT="no-cache">
WedÅ‚ug dyrektyw W3C to powinno zapobiec cache'owaniu. Bez skutku — wszystkie pliki widziaÅ‚em w Cache
jak na dłoni. Ale też się zbyt wiele po tej metodzie nie spodziewałem, bo MS nigdy się specjalnie nie przejmował dyrektywami W3C.
MyÅ›laÅ‚em, że gdy bÄ™dÄ™ wysyÅ‚aÅ‚ wszystkie dane w sposób dynamiczny (czyli nie pobieraÅ‚ ich bezpoÅ›rednio z plików serwera, tylko przez skrypt), to nie bÄ™dÄ… one cachowane — w koÅ„cu nie bÄ™dÄ… to fizyczne pliki, tylko "odpowiedzi" skryptu na zapytanie.
Niestety, jedyne, co w ten sposób osiągnąłem, to to, że IExplorer cachuje te pliki pod inną nazwą. Ale nawet sobie nie zadaje trudu, żeby zmienić rozszerzenie tego pliku, że o nagłówku już nawet nie wspomnę.
Czyli nadal można sobie wszystko zobaczyć.
NastÄ™pnym krokiem mojego dochodzenia byÅ‚o pytanie — "jak to robiÄ… najlepsi". Tak siÄ™ skÅ‚ada, że mam konto w mBanku, wiÄ™c pomyÅ›laÅ‚em, że sprawdzÄ™. W koÅ„cu to bank, oni tam majÄ… prawdziwych speców od bezpieczeÅ„stwa. Na pewno też jakoÅ› walczyli z cachem, sprawdzÄ™ przynajmniej, czy coÅ› osiÄ…gnÄ™li.
Wszedłem więc sobie na stronę transakcyjną mBanku, wyświetliłem dane swoich kont i się wylogowałem. Zamknąłem przeglądarkę i dla pewności zrestartowałem nawet
system.
Po ponownym uruchomieniu wszedłem do katalogu Cache IExplorera... i co zobaczyłem?
Znalazłem tam między innymi plik HTML, w którym były następujące dane (podane w sposób czytelny, z mniej więcej zachowanym pierwotnym układem, kolorystyką itp)
— moje imiÄ™ i nazwisko
— numery moich kont (!)
— salda i stan dostÄ™pnych Å›rodków na każdym z kont (!!)
— data ostatniego pomyÅ›lnego i niepomyÅ›lnego logowania
Czyli okazało się, że absolutni specjaliści od bezpieczeństwa też sobie nie dali rady (????!!!!!). Problem wydaje się banalny. Ja nie jestem żadnym hackerem, żadnym, nawet nigdy nie próbowałem niczego złamać. Po prostu wchodzę sobie do katalogu na dysku. I znajduję tam dane, które są poufne (!).
Akurat to był mój komputer i tylko ja mam do niego dostęp. Ale co z kafejkami internetowymi? Tam ludzie nagminnie korzystają z systemów transakcyjnych, takich jak mBank, sam to wielokrotnie robiłem. Czy rzeczywiście zostawiam po sobie poufne dane, które każdy może sobie odczytać?
Czy IExplorer jest aż tak dziurawy, że taka ogroooomna dziura nikogo nie razi? To nawet nie dziura, to chyba raczej błąd w założeniach.
Mam przeogromną nadzieję, że się mylę, że to nie jest tak i że wszystko jest w porządku. Ale na prostą logikę... pliki są po prostu ogólniedostępne, bez najmniejszych podchodów.
Proszę Was, którzy wielokrotnie ścieraliście się z poważniejszymi problemami, poradźcie mi, co można zrobić i uspokójcie, że nie jest tak źle.
Przecież IExplorer jest najpopularniejszą przeglądarką i ogląda się na nim wszelkie poufne dane, więc na pewno jest jakieś rozwiązanie.
ProszÄ™ o radÄ™
Reszta tej i pozostałych, kilkunastu tysięcy stron rozwiniętych dyskusji zarezerwowana jest dla Płatnych Abonentów CzasNaE-Biznes..
