iWiW - Üzenetek

Március 25-én egy blogbejegyzésben hívták fel a figyelmet arra a biztonsági problémára, melyet kihasználva néhány órán keresztül bárki számára könnyen hozzáférhetővé váltak a rendszerben tárolt levelek (értsd: gyakorlatilag bárki elolvashatta bárkinek a leveleit a rendszerben a leveleket azonosító messageID megadásával). Azóta kiderüt, hogy ez egy fejlesztési hiba miatt következett be, a hibás szolgáltatást pedig az iWiW szakemberei néhány órával később leállították.

A levelezés viszont a mai napon ismét nem működött rendesen délelőtt. A probléma Szabó Márton szerint nem függ össze a március végi eseményekkel, a mostani szolgáltatás-kiesést az egyik adatbázisszerver meghibásodása okozta (forrás: IT café).

Ma utána jártam egy másik iWiW-es hibának és nem akartam elhinni, hogy még mindig nem javították ki egy olyan rendszerben, ahol több, mint négymillió felhasználó van regisztrálva és több, mint 1,2 millió egyedi látogatója van naponta.

A hiba a következő (nem újdonság), melyet bárki tesztelhet, fél perc alatt: lépjünk be az iWiW-re, menjünk az Üzenetek oldalra és ott nyissunk meg egy olyan levelet, amit később törölni fogunk. Ha megnyitottuk a levelet, akkor a böngészőnk címsorából másoljuk ki az adott oldal URL-jét, majd töröljük a levelet. Törlés után illesszük be az előbb lemásolt URL-t a böngészőnk címsorába, majd Entert nyomva el tudjuk olvasni a már (elvileg) törölt levél tartalmát.

A fenti probléma korábban előjött a törölt képeknél is, csak ugye ott mindenki láthatta mindenki törölt képét, ha tudta az azonosítóját. A képekre a magyarázat egyébként az iWiW üzemeltetői szerint az volt, hogy a rendszer a képeket nem egyből törölte, hanem csak megjelölte törlésre és valójában csak később törölte azt, egy olyan időszakban, amikor kisebb a szervereken terhelés (pl. éjszakai vagy hajnali időszakokban). Ezt pl. én így teljesen elfogadhatónak találnám a mai napig is abban az esetben, ha ez a későbbi törlési időszak mondjuk nem 3 héttel később követlezik be.

Nem a rendszert akarom leszólni ezzel a bejegyzéssel, annak ellenére, hogy tényleg van még bőven mit fejleszteni rajta biztonsági szempontból is. Ezt is csak emberek fejlesztik, akik bármikor hibázhatnak és ezzel számolnunk kell, ennek is tudatában kell lennünk, amikor feltöltünk valamit. Hibái ellenére szeretem és használom is az iWiW-et és nekem pl. sokkal szimpatikusabb, mint a Facebook, MyVIP, Milgram és a többiek.

Ezzel az egész bejegyzéssel csak arra szeretném felhívni a figyelmet, hogy mennyi veszélynek vannak kitéve azok az adataink, amiket online tárolunk a felhőben és arra, hogy ne bízzunk vakon meg egyik rendszerben sem. Csak olyan adatokat tároljunk online (képek, levelezés, fájlok, stb.), melyekhez ha egy ehhez hasonló biztonsági incidens után mások is hozzáférnének, akkor nem okozna különösebb fejfájást.

Csak egy rövid felsorolás, hogy online tárolt adatainkra mennyi veszély leselkedik:

• a rendszer tervezésekor/fejlesztésekor figyelmen kívül hagyott tényezők
• a rendszer későbbi továbbfejlesztésekor/frissítésekor belekerülő hibák
• a rendszer üzemeltetői által kezelt adatok (pl. biztonsági mentések) illetéktelen kezekbe jutása
• az általunk hanyagul kezelt bejelentkezési azonosítók (pl. jelszavak)
• a rendszer ellen irányuló külső támadások
• egyebek

Sőt, néha nem is kell biztonság incidens sem, lásd a nem rég kirobbant Google Buzz eseményt, amikor tulajdonképpen tudtunk és beleegyezésünk nélkül, azonban a rendszer üzemeltetőinek jóváhagyásával (köszi Google) fértek hozzá illetéktelenek személyek a rendszerben tárolt adatainkhoz.

A tervek szerint a következő bejegyzés is biztonsággal kapcsolatos lesz, csak kicsit más szemszögből járom körbe a témát és más rendszerek hibáinak felsorolása helyett szeretnék többek számára használható dolgokat is írni… 🙂

Valamennyi hozzászólás követhető az RSS 2.0 hírcsatornán keresztül. Hozzá lehet szólni, vagy küldhető visszajelzés a saját oldalról.