Не, создатель Wikileaks явно не думал, с какой легкостью отдаются секретные документы. Всё больше людей узнают про существование операторов запросов и кидаются в поиск. Только что Рунет всхлипнул от душившего его смеха. Пришла очередь достаточно сурового и серьезного домена gov.ru. Напомню, что на данном ресурсе оделяют доменами третьего уровня госучреждения. Например - fms.gov.ru -федеральная миграционная служба. Составив нехитрый запрос для Google следующего вида: "allintitle: для служебного пользования site:gov.ru", нажать ентер и .... Вуаля!!! Перед вашим взором оказывается список документов для служебного пользования, проиндексированный Google. Таким же нехитрым способом можно получить список документов с грифом "Секретно".
Мало того, "сотрудники Следственного комитета РФ, МВД и ФСБ России полагают, что личные данные были выложены в Интернет намеренно. Предполагается, что "кто-то писал скрипты, чтобы достать эти данные из Яндекса"". Да да да!!! Пишут об хитрых хакерах все, кому не лень. Я всегда был не лучшего мнения о большинстве СМИ, но чтобы простую индексацию называть "атакой Хакеров", это чересчур!
Все просто. Скорее всего куча офисного планктона узнала про операторы запросов из статей про утечку из "Мегафон", которая скорее всего была обнаружена случайно. А далее просто "случайность" :-)
Нельзя плевать на стандарты, спецификации и основы безопасности! Например, мы можем получить дампы баз данных при использовании следующего запроса - "dump filetype:sql", который означает "ищем документ, содержащий слово dump, и имеющий расширение sql". А если мы получили дамп, то, теоретически, мы можем получить контроль над ресурсом.
Опять же, все просто. Когда на публичной странице есть ссылка на документ, лежащий в какой-либо папке на сервере, поисковый робот автоматически проверяет эту папку, и сохраняет в кэше ее содержимое. Избежать этого несложно:
1. используйте nofollow в ссылках или теле документа.
2. используйте robots.txt по назначению.
3. если есть директория с документами, то разместите в ней файл index.html с нулевым размером. Это не даст возможности просмотреть содержимое директории даже с неправильно настроенными правами доступа.
4. И счетчики. Что бы там не говорили хозяева аналитиков и счетчиков про то, что они не сохраняют URL, передаваемый счетчиком в кэше, ставьте их только там, где это действительно необходимо.
Мало того, "сотрудники Следственного комитета РФ, МВД и ФСБ России полагают, что личные данные были выложены в Интернет намеренно. Предполагается, что "кто-то писал скрипты, чтобы достать эти данные из Яндекса"". Да да да!!! Пишут об хитрых хакерах все, кому не лень. Я всегда был не лучшего мнения о большинстве СМИ, но чтобы простую индексацию называть "атакой Хакеров", это чересчур!
Все просто. Скорее всего куча офисного планктона узнала про операторы запросов из статей про утечку из "Мегафон", которая скорее всего была обнаружена случайно. А далее просто "случайность" :-)
Нельзя плевать на стандарты, спецификации и основы безопасности! Например, мы можем получить дампы баз данных при использовании следующего запроса - "dump filetype:sql", который означает "ищем документ, содержащий слово dump, и имеющий расширение sql". А если мы получили дамп, то, теоретически, мы можем получить контроль над ресурсом.
Опять же, все просто. Когда на публичной странице есть ссылка на документ, лежащий в какой-либо папке на сервере, поисковый робот автоматически проверяет эту папку, и сохраняет в кэше ее содержимое. Избежать этого несложно:
1. используйте nofollow в ссылках или теле документа.
2. используйте robots.txt по назначению.
3. если есть директория с документами, то разместите в ней файл index.html с нулевым размером. Это не даст возможности просмотреть содержимое директории даже с неправильно настроенными правами доступа.
4. И счетчики. Что бы там не говорили хозяева аналитиков и счетчиков про то, что они не сохраняют URL, передаваемый счетчиком в кэше, ставьте их только там, где это действительно необходимо.
Комментариев нет:
Отправить комментарий