diamonds55
24th November 2008, 03:48 PM
http://www.systemgroup.net/image/journal/article?img_id=81688&t=1227417252656
ظاهراً باراک اوباما بايد تغييرات را از سايت خود شروع کند!
سايت The Register بيست نوامبر (30 آبان) خبري با عنوان «باراک! تبريک ميگوييم. حالا سايت خودت را اصلاح کن» منتشر کرد و در آن از نقص امنيتي و ضعفهاي ساختاري دو سايت متعلق به باراک اوباما رئيسجمهور منتخب آمريکا به آدرس MyBarackObama.com و Change.gov خبر داد.
قبل از ورود به بحث يادآور ميشود «همکاران سيستم» قبلاً خبري در خصوص همين موضوع منتشر کرده است که براي خواندن متن آن ميتوانيد اينجا (http://www.systemgroup.net/web/guest/itnewsfeed/journal_content/56/10099/78851) را کليک کنيد.
The Register در خبر ديروز خود (22 نوامبر - 2 آذر) از دلايل اين ضعفهاي امنيتي پرده برداشت.
اين گزارش ميافزايد: بر خلاف باور عموم، widgetهايي که در نرمافزار آناليز گوگل (Google Analytics) و ديگر سرويسهاي مشابه به کار رفته، يک تهديد امنيتي بهشمار ميرود و اين امر خصوصاً در مواقعي که کاربر از وزنه و اعتبار سنگيني برخوردار باشد، نمود بيشتري مييابد.
در هر دو سايت Change.gov و BarackObama.com صفحاتي پيدا شده که از يکسو رمزنگاري نشده و از سوي ديگر کارکنان اوباما از آن براي ارسال بيانيههاي رسمي و انجام ديگر اقدامات دولتي بهره ميبرند.
فقدان يا ضعف بسيار IP filtering باعث شگفتي است اما اين موضوع يک طرف، و اينکه دستاندرکاران سايت تصميم گرفتهاند صفحات admin را به Google Analytics لينک بدهند، يک طرف ديگر!
نتيجه اين کار چيست؟ پاسخ: کارمندان بدجنس گوگل ميتوانند به صفحات مديريتي و دولتي دسترسي يابند.
البته بر اساس ادعاي گوگليها تنها کاري که آنها کردهاند اين بوده که آماري در خصوص بازديدکنندگان سايت فراهم آوردهاند، نه بيشتر. از سوي ديگر مشخص است که به جز تيم اوباما، ديگران راهي براي دستيابي به يکي از محبوبترين سايتهايي که با دامنه .gov ثبت شده نخواهند يافت؛ ولي اين فقط يک فرضيه است. واقعيت اين است که ديگران هم «ميتوانند».
Webmasterها با استفاده از Google Analytics، از يک فايل جاوااسکريپت به نام urchin.js که در گوگل ميزباني ميشود، استفاده مينمايند. اين برنامه توسط مهندسان گوگل نوشته شده است و خود آنها نيز کنترل آن را برعهده دارند. اين امر دقيقاً همان حق خواندن و نوشتن (read and write privileges) در صفحات Change.gov است. باقي ماجرا هم که تقريباً معلوم است.
Dinis Cruz يکي از مديران OWASP با اشاره به اين موضوع گفته است: اگر من بخواهم در سايتها به دنبال درپشتي (backdoor) بگردم، Google Analytics يکي از بهترين روشهاي انجام اين کار است!
متن کامل اين گزارش مبسوط را در اينجا (http://www.theregister.co.uk/2008/11/22/google_analytics_as_security_risk/) بخوانيد.
ظاهراً باراک اوباما بايد تغييرات را از سايت خود شروع کند!
سايت The Register بيست نوامبر (30 آبان) خبري با عنوان «باراک! تبريک ميگوييم. حالا سايت خودت را اصلاح کن» منتشر کرد و در آن از نقص امنيتي و ضعفهاي ساختاري دو سايت متعلق به باراک اوباما رئيسجمهور منتخب آمريکا به آدرس MyBarackObama.com و Change.gov خبر داد.
قبل از ورود به بحث يادآور ميشود «همکاران سيستم» قبلاً خبري در خصوص همين موضوع منتشر کرده است که براي خواندن متن آن ميتوانيد اينجا (http://www.systemgroup.net/web/guest/itnewsfeed/journal_content/56/10099/78851) را کليک کنيد.
The Register در خبر ديروز خود (22 نوامبر - 2 آذر) از دلايل اين ضعفهاي امنيتي پرده برداشت.
اين گزارش ميافزايد: بر خلاف باور عموم، widgetهايي که در نرمافزار آناليز گوگل (Google Analytics) و ديگر سرويسهاي مشابه به کار رفته، يک تهديد امنيتي بهشمار ميرود و اين امر خصوصاً در مواقعي که کاربر از وزنه و اعتبار سنگيني برخوردار باشد، نمود بيشتري مييابد.
در هر دو سايت Change.gov و BarackObama.com صفحاتي پيدا شده که از يکسو رمزنگاري نشده و از سوي ديگر کارکنان اوباما از آن براي ارسال بيانيههاي رسمي و انجام ديگر اقدامات دولتي بهره ميبرند.
فقدان يا ضعف بسيار IP filtering باعث شگفتي است اما اين موضوع يک طرف، و اينکه دستاندرکاران سايت تصميم گرفتهاند صفحات admin را به Google Analytics لينک بدهند، يک طرف ديگر!
نتيجه اين کار چيست؟ پاسخ: کارمندان بدجنس گوگل ميتوانند به صفحات مديريتي و دولتي دسترسي يابند.
البته بر اساس ادعاي گوگليها تنها کاري که آنها کردهاند اين بوده که آماري در خصوص بازديدکنندگان سايت فراهم آوردهاند، نه بيشتر. از سوي ديگر مشخص است که به جز تيم اوباما، ديگران راهي براي دستيابي به يکي از محبوبترين سايتهايي که با دامنه .gov ثبت شده نخواهند يافت؛ ولي اين فقط يک فرضيه است. واقعيت اين است که ديگران هم «ميتوانند».
Webmasterها با استفاده از Google Analytics، از يک فايل جاوااسکريپت به نام urchin.js که در گوگل ميزباني ميشود، استفاده مينمايند. اين برنامه توسط مهندسان گوگل نوشته شده است و خود آنها نيز کنترل آن را برعهده دارند. اين امر دقيقاً همان حق خواندن و نوشتن (read and write privileges) در صفحات Change.gov است. باقي ماجرا هم که تقريباً معلوم است.
Dinis Cruz يکي از مديران OWASP با اشاره به اين موضوع گفته است: اگر من بخواهم در سايتها به دنبال درپشتي (backdoor) بگردم، Google Analytics يکي از بهترين روشهاي انجام اين کار است!
متن کامل اين گزارش مبسوط را در اينجا (http://www.theregister.co.uk/2008/11/22/google_analytics_as_security_risk/) بخوانيد.