?

Log in

No account? Create an account
   Journal    Friends    Archive    Profile    Memories
  Рейтинг блогов

Неисповедимы пути... интернета - Сисадмин с некоторым опытом общественной деятельности


Чт, Сентябрь 3, 2009 03:08 Неисповедимы пути... интернета

Ищещь одно, а находишь - совсем другое.

Посмотрите на три скриншота с разных сайтов, сделанных вчера ночью.

Сайт банка -



Сайт гостиницы -



И сайт про всяческие автомобильные карты и атласы -



Что они делают тут вместе, возможно спросите вы? У них один владелец? Может быть, их делала одна дизайн-студия? Этого не знаю, да и знать не хочу.
Но есть один общий объединяющий их момент. Простительный для гостиницы или сайта с атласами дорог, но абсолютно непростительный для сайта банка. .

А именно - одинаковая для них всех и ничем не защищённая система статистики просмотра их страниц
Которая на всех трёх сайтах выглядит следующим образом:

Общая, так сказать табличка -



И - куда более подробная, открывающаяся по месяцам -



Да, адреса посещаемых страниц здесь всё же не присутствуют. Да и прямых ссылок на страницы со статистикой на сайтах нет.
Думаете, для доступа к ним мне пришлось пароль подбирать или чего-то взламывать? Нет, я не хакер. Это вообще ничем и никак не защищённые от постороннего доступа страницы. Я на все эти страницы из поисковиков попал из результатов одного и того же запроса. А вот дальше - перемещался по страницам статистики абсолютно беспрепятственно.

Но что-то я ой как не уверен, что подобная статистика для банка в открытом доступе - нормальное явление и обрадует своим наличием хотя бы слегка образованных технически клиентов банка(-ов?), которые хотя бы смутно себе представляют, какую информацию можно при желании вытянуть из одного только IP-адреса.
У банка, что бабла не хватило, заплатить за свою собственную систему сбора статистики или хотя бы на доработку (защиту) свободно распространяемой, а? Или нанять спеца для проверки уязвимостей? Просто разворовали или ещё чего?

Ну не понимаю я такого. И не пойму, наверное, тупой я.

10 комментариев - Оставить комментарийPrevious Entry Поделиться Next Entry

Comments:

От:gagarking
Дата:Чт, Сентябрь 3, 2009 00:57

а что такое

(Ссылка)
Может быть, пацаны просто не в курсе, какую информацию можно вытянуть из одного только IP? (кстати, какую, и что можно сделать в принципе? может, ничего особенного и нельзя?)
И еще - может быть так, что у них как-бы и ломать нечего - я в том смысле, что в штатовских боевиках показывают, как террористы светофорами управляют из интернета, а у нас поди, попробуй поуправлять, - не выйдет ни шиша:)

От:reanimator78
Дата:Чт, Сентябрь 3, 2009 01:19

Re: а что такое

(Ссылка)
Допустим, сходу такую информацию, как вот здесь - см. пункт "мне всё равно кого убивать" про накладную на диван из айпишника не вытащить. Но если он у человека постоянный (он же фиксированный) публичный (внешний) - он его "засветил" далеко не на одном ресурсе. А в некоторых ситуациях такой айпишник из-за соображений безопасности админов ряда ресурсов просто положено иметь, иначе те или иные системы либо не будут работать, либо к ним тупо не будет доступа. Какие-то из интрнет-провайдеров его предоставляют за отдельную плату, какие-то - просто дают и об этом можно и не подозревать, если специально не обращать внимания.

А ломать и не нужно - можно просто собрать информацию, самого разного рода об интересующем кого-либо человеке.
Капля - здесь, капля - там, можно уже портрет составлять. Или найти. Вместе с адресом и мало ли чем ещё. Далеко не все в интернете готовы указать все свои данные. Есть и те, которые имеют ряд серьёзных или не очень причин скрывать своё настощее "Я", назовём его так от разного рода непрошенных или "прошенных" любопытствующих.

Edited at 2009-09-03 01:21 (UTC)
От:discoverdmyself
Дата:Чт, Сентябрь 3, 2009 08:07
(Ссылка)
Ерунда это всё. Из этой статистики можно "вытащить" только то, что этот банк вместе с его интернетами - никому нафик не нужен. 300-350 посещений в день, из которых половина - это поисковые роботы - это полное фиаско. С такими показателями даже в яндекс.директ не принимают. А из ip ты ничего практического не вытащишь.
Кстати, https трафик в этой статистике не показывается. Это который через защищённое соединение идёт.
А скрипт статистики этот называется Webalizer и используется почти на любом хостинге.
От:reanimator78
Дата:Чт, Сентябрь 3, 2009 14:03
(Ссылка)
Ну, сам банк меня не волнует, как и его посещаемость, я там денег не держу.
Динамический ip ничего по большому счёту не скажет, по фиксированному - можно уже пробовать искать.
https там не светится, но регулярность появления интересующего меня айпишника в обычной статистике с большой долей уверенности говорит и том, что человек ходит туда уже и по https. Как этап не взлома, а сбора первой инфорамции - капля здесь да капля там - уже может дать себе неплохую картинку.

Название скрипта встречал частенько, но что мешает хотя бы запаролить директорию и/или положить туда robots.txt, которые хотя бы обычные поисковики отсечёт?
От:discoverdmyself
Дата:Чт, Сентябрь 3, 2009 14:48
(Ссылка)
> что мешает хотя бы запаролить директорию

раздолбайство обыкновенное. Впрочем, как обычно.
От:discoverdmyself
Дата:Чт, Сентябрь 3, 2009 14:55
(Ссылка)
> регулярность появления интересующего меня айпишника в обычной статистике с большой долей уверенности говорит и том, что человек ходит туда уже и по https. Как этап не взлома, а сбора первой инфорамции - капля здесь да капля там - уже может дать себе неплохую картинку.

не эффективно. В мире полно банков, в которых есть дырки, через которые можно сразу скопом кучу инфы получить. А ловить каждого Васю Пупкина, который держит в ентом банке аж целых 500 рублей и периодически их снимает - это не эффективно. Больше на инет просрёшь, пока что-то толковое вытащишь. К тому же те, кто что-то делает через веб-интерфейс, как правило лазят по закладкам. То есть - сразу попадают на закрытую страницу, которой в этой статистике нет.
И уровень людей, которые могут отследить ip статический, высоковат, чтобы заниматься такой ерундой.
Короче, я бы эту "дырку" классифицировал как "неопасно, можно и закрыть, когда руки дойдут".
От:reanimator78
Дата:Чт, Сентябрь 3, 2009 15:43
(Ссылка)
Я имел в виду не не столько банковские дыры, сколько сбор информации о ком-то. То, что для банка описанная мной "дырка" угрозы не представляет - скорее всего так и есть.
А про то, что уровень тот-не тот... По ссылке в моём комментарии выше - народ по большому счёту "развлекался". Однако до конкретного адреса не дошли лишь потому, как незачем. В случае, если же вдруг кому-то будет зачем, могут и купить спеца - и чем больше он соберёт интересной информации, тем лучше будет опласен, предположу. Такие случаи крайне редки, предполагаю, но упомянутое раздолбайство может наделать неприятностей какому-либо человеку.
Ага, я идеалист, понимаю ;)
От:iskatel
Дата:Чт, Сентябрь 3, 2009 20:45
(Ссылка)
ну вот такие вот у нас бандки.
Зато там манагеры на Бентли ездят и вклады они не отдают.
От:reanimator78
Дата:Пт, Сентябрь 4, 2009 05:41
(Ссылка)
А что, этот банк успел уже чем-то отличиться?
От:iskatel
Дата:Пт, Сентябрь 4, 2009 22:19
(Ссылка)
про этот не знаю. Но они все такие..