Legalne czy nie legalne łamanie zabezpieczeń

Parę dni temu znalazłem ciekawy błąd na jednym z największych ( ponoć ) w polsce serwisów na pewien temat. Błąd pozwala na includowanie zdalnych plików z kodem PHP. Tak więc mogę w prosty sposób napisać na zdalnym hoscie dowolny kod np zmieniajacy strone główną. Błąd jest prosty, chodzi o zmienną w adresie URL. Tak więc gdybym to zrobił wpisując do przeglądarki i wskazując mój podstępny kod to popełniłbym przestępstwo ale przed chwilą wpadłem na genialny pomysł. Otóż chyba nikt nie ma prawa zabronić mi zrobienia sobie tego jako link gdzieś tam na jakiejś stronce na który potem wejdzie sobie spiderek np google a co za tym idzie podmieni za mnie stronke [diabel]

To tylko tak teoretycznie. Nie myslcie czasem ze mnie takie rzeczy bawia. Serwisow z owymi bledami jest w necie masa, az glowa boli. po prostu chce wiedziec co wy o tym myslicie i czy w razie czego byloby to legalne ?? :d

"Każdy kto niszczy cudze mienie podlega karze grzywny lub pozbawienia wolności" - oczywiście jak dasz link, ale nie ty go uruchomisz, to nie ty ponosisz winę :d

Skoro już się śmiejemy, to na stronie klubu parlamentarnego jednej partii jest dział "Dla posłów i senatorów" i, jak można się domyśleć, potrzeba hasła. Nic bym w tym nie było dziwnego, gdyby nie to, że sam mechanizm zabezpieczający jest... zapisany w JavaScripcie. Wystarczy minuta przeglądania źródła strony, żeby wejść do tego ściśle tajnego działu :) A autorzy nie zrobili wiele, żeby utrudnić znalezienie tego hasła. Tylko dużo enterów między linijkami kodu powstawiali :)

oczywiście jak dasz link, ale nie ty go uruchomisz, to nie ty ponosisz winę

no ale chyba google tez nie poniesie winy co ?? A stronka podmieniona, wiec jak to jest ?? :d

gdyby nie to, że sam mechanizm zabezpieczający jest... zapisany w JavaScripcie

no tak, ale to nie znaczy, ze nie mozna zrobic dobrego zabezpieczenia na haslo w js i umiescic go na strone, tak by kod byl widoczny dla wszystkich. Przyklad http://clwe.ie.tu.koszalin.pl/~marooned/special.htm -> Strona prywatna

//hihi [diabel] - M

Wg mnie popelnilbys przestepstwo, a to dlatego, ze Google i link moznaby uznac za narzedzia dokonania przestepstwa. Google jest nieswiadom swoich czynow, wiec zostalby uniewinniony, a Ty zostalbys skazany jako "mozg" calej operacji. ;) Hitler tez wlasnorecznie kilkunastu milionow ludzi nie zabil, tylko wydawal odpowiednie rozkazy...

A swoja droga, PHP rzeczywiscie ma "cos w sobie", ze strasznie duzo matolow sie za nie bierze i pozniej sa takie kwiatki. I firmy sie na to nabieraja, patrza w portfolio i wzdychaja "O! Jaka wyrabista grafa!". Paru takich mi nawet oferowalo, ze mi sklep zrobia (po moich pytaniach na 4p dotyczacych cen sklepow). Popatrzylem w portfolio i wlasnie:

O, jaki fajny layout. ..... klik, klik.....Wywala jakies warningi...... klik, klik.... Wypisalo, gdzie sa kody zrodlowe........ O, nawet sie wyswietlily....... Mogliby poprawic wciecia.... klik, klik...... No to mamy haselka.......

Wszystko trwalo z 5 minut. :)

no tak, ale to nie znaczy, ze nie mozna zrobic dobrego zabezpieczenia na haslo w js i umiescic go na strone, tak by kod byl widoczny dla wszystkich. Przyklad http://clwe.ie.tu.koszalin.pl/~marooned/special.htm -> Strona prywatna

Ja nie mówię, że się nie da. Ale każde zabezpieczenie jest do złamania. A tamto się nawet prosiło o złamanie :) Chociaż nie wiem, czy można to nazwać łamaniem :) Po prostu troszkę wydłużyli wchodzenie na stronę Nie-Dla-Wszystkich (no i zabezpieczyli - przed początkującymi). W sumie ja też nie stosuję genialnych zabezpieczeń :)

oczywiście jak dasz link, ale nie ty go uruchomisz, to nie ty ponosisz winę :d

A jak napisze wirusa, nazwie jak jakis czesto uzywany program i umiesci na komputerze, gdzie siedzi laik, to to nie jest przestepstwo?
Jak da dziecku potluczone szklo to nie jest przestepstwo?
Tutaj dzialanie jest takie same.

oczywiście jak dasz link, ale nie ty go uruchomisz, to nie ty ponosisz winę :d

A jak napisze wirusa, nazwie jak jakis czesto uzywany program i umiesci na komputerze, gdzie siedzi laik, to to nie jest przestepstwo?
Jak da dziecku potluczone szklo to nie jest przestepstwo?
Tutaj dzialanie jest takie same.

No właśnie, czysto filozoficzne podejście jak ja to lubie. Ale przecież ja nie daje dziecku potłuczonego szkła tylko je tłukę, a to nie moja wina że ktoś dodałę właśnie tę stronkę do google lub ktoś dał do niej linka ;P Sam także uwazam ze owe działanie byłoby uznawane za przestępstwo, jednak nikt nie podał do sądu gośći którzy na swoich stronkach robili link ze słowem kretyn odnoszący się do strony z wiadomo kim.

Co do PHP to jest to język wręcz banalny bo składni i funkcji jest masa, tak więc jeden problem można rozwiąząć masą różnych kombinacji, więc czemu tyle banalnych błędów posiadają te serwisy?? Wg. mnie to jest jedna odpowiedz. Tworcy mysla ze to jest szybsze, optymalniejsze, lepsze, bo fajnie wyglada etc. Sam pamietam ze jak zrobilem swoj pierwszy serwis w PHP to tez mial owe bledy. Potem je poprawilem, a nawet z kumplami zlapalismy fuche aby 2 serwisiki zrobic i jak na razie nikt nie narzeka, chociaz owszem sa male niedopatrzenia ale co do zabezpieczen to raczej jest ok ;P ;P ;P

Hmm... Coś takiego jest nielegalne, taksamo jak wysyłanie wirusów czy trojanów. Bo wtedy teoretycznie to jest wina użytkownika, że uruchomił jakiś program, odczytał jakiś plik, albo coś takiego, ale jak Cię dorwą, to cię zamkną. Natomiast jak chodzi o błędy w serwisach, to fakt, że jest ich wiele. Ale na mojej stronce na przykład, mimo, że wydaje się że taka dziura jest (podajesz sobie www.pilotmp3.devtown.net/index.php?page=news.php), ale do zewnętrznego pliku się nie odwołasz, tak samo jak do jakiegoś pliku, do którego nie chcę, aby ktoś miał dostęp. Wprowadziłem wystarczające, mam nadzieję, zabezpieczenia, które takie próby uniemożliwiają, albo przynajmniej poważnie utrudniają. To by było na tyle :].