Blogbox.com.pl nieprawidłowo oznacza czas indeksowania nowych wpisów
- Dodano: 7 lutego 2010
- Wprowadził: hcsl.pl
- Komentarze: 9
Wygląda na to, że katalog blogów Blogbox.com.pl oznacza czas indeksowania nowych wpisów na podstawie informacji pobranych z docelowego blogu, a nie na podstawie własnego niezależnego źródła informacji o aktualnym czasie.
W wyniku tego błędu projektowego możliwe jest przekazanie do katalogu dowolnego czasu publikacji wpisu (np. 07.02.2020 r.), co w konsekwencji pozwala na stałe utrzymywanie się danego wpisu jako ostatnio dodanego, czyli nieustanną publikację na stronie głównej Blogbox.
Wpis dostępny pod następującym adresem stanowi Proof of Concept takiej możliwości. Pozycja ta, dzięki ustawieniu w trakcie publikacji daty na 07.02.2020 r. utrzymuje się stale na 1. pozycji na głównej stronie katalogu.
Administracja serwisu została powiadomiona o powyższej przypadłości Blogbox.com.pl.
Materiał pochodzi z serwisu HARD CORE SECURITY LAB.
Więcej informacji: http://www.hcsl.pl/2010/02/blogboxcompl-...-czas.html
Znalazłeś literówkę? Zgłoś ją używając formularza!
Jeśli uważasz, że ten nius jest nieobiektywny, przedstawia nieprawdziwe wydarzenie, jest spamem lub nie spełnia standardów serwisu, napisz raport.
Niusy na podobny temat:
Komentarze są prywatnymi opiniami dodających je osób. Prosimy o zachowanie kultury wypowiedzi. Komentarze obraźliwe oraz obniżające poziom serwisu będą usuwane. Więcej w regulaminie komentowania.
9 komentarzy
Wszystkie autorskie niusy w serwisie publikowane są na licencji Creative Commons Uznanie autorstwa 2.5 Polska.
Ciekawa obserwacja. Na Planecie Jakilinux zastanawiałem się czy brać datę podawaną w RSS czy datę ściągnięcia wpisu. Zdecydowałem się na to drugie. Pierwsza opcja wymaga pełnego zaufania do źródeł. Jak widać mając w źródłach Hardcore Security Labs nie można na to liczyć :>
Trust no one, Mr. Mulder!
Tak na poważnie, to nie można mieć zaufania do danych pochodzących z niezaufanego źródła… prędzej, czy później takie podejście może się zakończyć jakąś spektakularną katastrofą.
Nie nazwałbym tego spektakularną katastrofą. Ot po prostu ktoś, kto to projektował wykazał się trochę za małą wyobraźnią i umiejętnością przewidywania. Tyle.
Spektakularna katastrofa to coś innego
Warto zapamiętać jednak ten przypadek, bo bardzo dobrze pokazuje on, że danym wejściowym nie należy ufać nigdy.
Poza tym, lepiej się uczyć na błędach cudzych niż swoich
Nie napisałem, że ten konkretny przypadek jest jakąś katastrofą. Pokazuje jednak właśnie to o czym piszesz, że bezpieczne projektowanie czegokolwiek powinno zakładać przede wszystkim totalny brak zaufania do wszystkiego:).
Postarałem sobie wyobrazić największą katastrofę, jaką można spowodować takiemu ufaniu danym w rss'ach i przyszedł mi do głowy scenariusz w którymś ktoś pokłada tak duże zaufanie do rss'a, że identyfikuje blog na podstawie na przykład title czy url
Wyobraź sobie, jak wtedy można by było podszywać się swoimi publikacjami pod inne osoby. Jestem pewien na 99%, że ktoś tak kiedyś gdzieś zrobił – wszechświat i ludzki brak wyobraźni są podobno nieskończone
BTW. Ostatnio miała miejsce ciekawa dyskusja na symfony-dev "[symfony-devs] Huge security issue in the "uploads" directory". Problem jest poważny i może dotyczyć bardzo wielu stron.
W takim razie wpis tego kolesia powinien pojawić się dopiero w 2020
Jakby system był tak dobrze zaprojektowany…
Jak widać ma już 2 błędy:
1. pojawił się news z przyszłości
2. źle pobiera datę.
Ktoś jeszcze jakieś błedy widzi?
Czy osnews.pl to Biuro Obsługi Klientów serwisu blogbox.com.pl?