Nieautoryzowany odczyt zawartości stron WWW
Zarządzając zamkniętym forum trzeba pomyśleć o tym, czy jest ono skutecznie chronione przed nieautoryzowanym dostępem.
Z sytuacją opisaną w tym poście spotykam się dość często. Szukam czegoś przez wyszukiwarkę Google, a kiedy próbuję wejść na stronę, to pojawia się informacja w stylu: „tylko dla zarejestrowanych użytkowników”. Czasami chodzi tylko o rejestrację, a czasami też o opłatę za skorzystanie. Posłużę się przykładem serwisu Expert-Exchange, ale takich stron jest więcej.
Czy nie zastanawialiście się skąd wyszukiwarka wie co jest na stronie, do której dostęp jest tylko dla zarejestrowanych osób? Otóż administratorzy zadbali o to, aby ich strony pojawiały się na liście wyszukiwań. Aby tak było, musieli oni udostępnić robotom wyszukiwarek dostęp bez zalogowania. Można to łatwo wykorzystać w celu odczytania informacji, których nie powinniśmy widzieć. Wystarczy, że w wynikach wyszukiwania Google nie klikniemy na odsyłaczu do strony, lecz na odsyłaczu do kopi (Słowo „Kopia” – w wersji ang. Cached). W wielu przypadkach, które znam, ten sposób działa. Zobaczcie przykład pokazany na pokazanym poniżej zrzucie ekranu (możecie go powiekszyć klikając na nim). Są tam pokazane dwie strony. Jedna pochodzi ze strony serwisu, a druga to jej kopia strony zachowana przez Google. Czytając kopię mamy nieautoryzowany dostęp do zastrzeżonej treści.
Nie wiem jak wiele osób korzysta z tej metody na co dzień (odczyt z Cache), ale zastanawiałem się, czy jest jakiś sensowny sposób zabezpieczania się i dlaczego nie jest przez niektóre serwisy stosowany. Google opisuje to na swojej stronie. Prostym rozwiązaniem jest dodanie nastepującego META:
<META NAME=”ROBOTS” CONTENT=”NOARCHIVE”>
Jak widać na tym przykładzie znajomość mechanizmów Google może być czasami pomocna.
Temat jest bardzo stary. Oto przykłady stron, na których go poruszono:
(1) “Google cache raises copyright concerns” (publikacja z 2003 roku)
(2) “The Google Cache, Caching Google in Protest” (publikacja z 2006 roku)
