2004-07-05

Periaatteesta ilman skriptejä

Ainoat tältä sivulta löytyvät ulkoiset (SCRIPT SRC=...) skriptit ovat Blogspotin pakollisia lisäyksiä. Ainoa ulkopuolelta kopioimani koodi on StatCounterin kuva, ilman tyypillistä skriptilisäkettä. Siksi en valitettavasti saa palvelusta referer-otsakkeen (sic) perusteella tehtyjä tilastoja.

Tämän periaatteen taustat voi lukea Don Parkin kirjoituksesta. Tiivistelmänä jokainen sivulle lisätty ulkopuolinen skripti avaa oven XSS-hyökkäykseen eli Cross Site Scriptingiin.

Luulisi että XSS on vahingollinen ainoastaan web-kauppojen ja pankkien sivustoilla, eikä tavallisen bloginpitäjän siitä tarvitse sen kummemmin välittää. Jos ei muu niin ainakin pari viikkoa sitten sattunut laaja XSS-aalto todistaa toista. Krakkerit murtautuivat useille IIS-palvelimille ja lisäsivät IE:n tietoturva-aukkoja käyttäen asentuvan troijalaisen.

Murretut IIS-palvelimet eivät kuitenkaan olleet ainoita palvelimia, joilla vierailemalla troijalaisen saattoi saada. Muutamat murretuista palvelimista toimivat mainospalvelimina, tarjoillen mainoksia Apachea käyttäville sivustoille. Sivustojen ylläpitäjät luottivat siihen ettei mainosten tarjoaja tarkoituksella asentele haittaohjelmia, mutta unohtivat että tarjoajan tietoturva ei välttämättä ole paras mahdollinen.

Haluan edistää hyviä web-kehityksen käytäntöjä myös yksityiselämässäni, joten elän siis ilman referer-tilastoja kunnes sellaiset Bloggeriin lisätään. Tuskin Bloggerin tietoturvakaan on täydellinen, mutta näin pienennän vahinkojen todennäköisyyttä. Toivoisin sinunkin miettivän kahteen kertaan ennen kuin kopiot SCRIPT- tai IFRAME-elementtejä sisältävää koodia blogiisi, oli niiden sisällön lähde sitten kuinka tunnettu tahansa.

Kommentit:

Anonymous Anonyymi totesi...

Kannattaa myydä tietokonekin pois niin pääsee lopuistakin peloista, että jotain harmillista tapahtuisi...

9:20 ip.  
Blogger Aapo Laitinen totesi...

Testi. Kokeilu. Sain sähköpostilla ilmoituksen joka nähtävästi tarkoittaa jonkun yrittäneen jättää kommentin tähän juttuun. En vain välimuistin tyhjentämisestä ja republishaamisesta huolimatta tunnu saavan kommenttia näkymään tänne. Kokeillaan nyt toimiiko tämä kommenttijärjestelmä lainkaan...

9:43 ip.  
Blogger Aapo Laitinen totesi...

No toimiihan se. Jostain syystä nimetön kommentti ei saanut järjestelmää päivittämään sivuja edes vaikka tein manuaalisen republishaamisen.

Mutta takaisin asiaan... Ei troijalainen minua pelota, sillä käytän Mac OS X:ää, eikä tälle ympäristölle haittaohjelmia liiemmin tehtailla. (Siitä miksi näin on voidaan kyllä tietenkin kiistellä. ;) Lisäksi kyseisen troijalaisen levittämisen mahdollistanut reikä oli IE:ssä, joten pelkkä Mozilla Firefoxin käyttäminen olisi riittänyt sen torjumiseen.

Koneella on paljon henkilökohtaista materiaalia, jonka en halua vuotavan. Vaikka en olekaan poliitikko eikä minulta kovin suuria perversioita löydy, on yksityisyys mielestäni itseisarvo. Mikäli sitä ei vaali silloin kun se tuntuu merkityksettömältä, ei siitä välttämättä osaa huolehtia tarpeeksi ajoissa silloin kun sille olisi tarvetta eikä Internetissä mitään irti päässyttä materiaalia koskaan saa myöskään takaisin.

Yksityisyyden ja tietoturvan ylläpito verkossa on nykyisin mitä suuremmissa määrin kollektiivinen tehtävä. Kuten XSS osoittaa, ei oman palvelimen turvaaminen välttämättä riitä, vaan kaikista sivuston osasista tulee huolehtia erikseen. En halua olla vitsausta levittävä osapuoli, mikäli sen voin helposti estää, ja mikäs sen helpompaa sillä estämiseen riittää tällä kertaa pidättäytyminen.

Nyt voisi tietenkin ajatella, että otan blogini aivan liian tosissani. Oikeastaan päinvastoin. Referer-loki ei lopulta ole minulle kovin tärkeä, joten potentiaalinen XSS-ongelma riittää syyksi unohtaa se ja olla huolehtimatta turhaan. Mikäli blogistani olisi tarkoitus tulla jotakin "virallisempaa", olisi alustana Nebula ja WordPress.

10:04 ip.  

Lähetä kommentti

<< Etusivulle