Главная
> Uncategorized > В тему последних событий с поисковиками — загадка!
В тему последних событий с поисковиками — загадка!
Дано:
- Есть сайт А, на котором есть уязвимость SQLi, позволяющая удалить все данные из БД.
- Есть форум B, на который мальчик Петя постит ссылку, при переходе по которой отправляется запрос, реализующий SQLi на сайте А и, как следствие, удаляющий там данные.
- Есть поисковик С, который радостно индексирует форум B и, переходя по ссылке, наносит ущерб сайту А.
Вопросы:
- Виноват ли поисковик в том, что на сайте А пропали данные?
- Если не виноват поисковик, то кто же виноват?
Credits: навеяно знаменитым постом Миши Залевского в журнал Фрак.
Update: загадка не имеет ничего общего с раскрытием перданных. Мы говорим про прямой ущерб от уничтожения данных.
Безопасность веб-приложений: просто о сложном 
На заводе собрали автомобиль, который взрывается и сгорает, как только в него кто-то садится. Машину привезли и поставили у леса. В машин залез медведь, машины взорвалась, сгорела, сгорел медведь, сгорел лес, сгорело всё. Вопрос:
Кто виноват?
1)Медведь
2)Тот кто поставил машину у леса
3)мать его, завод?
Учитывая, что комментарий пришел из сети Яндекса и орфографию, которая может намекнуть, что текст писался не в спокойном состоянии духа, можно сделать вывод, что моя загадка чем-то задела комментатора :)
+100500
В сфере разработки ПО реалии другие же: много ли за последние годы привлекалось разработчиков ПО за некачественный продукт, через который поимели организацию-владельца? То-то же. Т.е., если с кармической точки зрения виноваты разработчики (в широком смысле), то с точки зрения суда — вряд ли.
Одно дело — утечка данных на которые есть ссылки с ресурсов в сети, другое дело индексация страниц на которые _нет ссылок_. Думаю в этом самый звездец.
http://ru.wikipedia.org/wiki/%D0%A1%D1%82%D0%B0%D0%BD%D0%B4%D0%B0%D1%80%D1%82_%D0%B8%D1%81%D0%BA%D0%BB%D1%8E%D1%87%D0%B5%D0%BD%D0%B8%D0%B9_%D0%B4%D0%BB%D1%8F_%D1%80%D0%BE%D0%B1%D0%BE%D1%82%D0%BE%D0%B2
> Стандарт был принят консорциумом W3C 30 января 1994 года в списке рассылки robots-request@nexor.co.uk и с тех пор используется большинством известных поисковых машин.
внезапно, интернет, где могут и в индексы занести.
Я понимаю, что комментарий относится к Квазару, а не к загадке, просто добавлю еще исторический факт.
Оригинальная статья Миши, где он поднимал всякие интересные вопросы, была написана аж в 2001 году.
Вот ссылка на нее http://artofhacking.com/files/phrack/phrack57/P57-0X0A.TXT
Спрошу и тут.
Дано:
1. Есть сайт А, на котором есть уязвимость SQLi, позволяющая удалить все данные из БД.
2. Есть форум B, на который мальчик Петя постит ссылку с подписью «самый вкусный борщ», при переходе по которой отправляется запрос, реализующий SQLi на сайте А и, как следствие, удаляющий там данные.
3. Есть Ваша бабушка, которая радостно обнаруживает на форуме B ссылку на рецпт борща, и, переходя по этой ссылке, наносит ущерб сайту А.
Вопросы:
1. Виновата ли Ваша бабушка в том, что на сайте А пропали данные?
2. Если бабушка не виновата, то кто же виноват?
Откуда появилась вторая загадка — вы уже первую решили? Или вы пытаетесь провести аналогию? Если второе — то аналогия не работает, у робота нет умысла, у человека есть. Если первое — прошу вас, поделитесь ответом.
Так-то я могу еще загадок накидать.
— Что если Петя в тексте ссылки написал: «NEVER EVER EVER FOLLOW THIS LINK», и никто из пользователей форума не ходил по ссылке, пока не пришел робот, который не понимает семантики?
— Что если Петя в тексте ссылки написал: «FOLLOW THIS LINK TO EXPLOIT …» и по ссылке перешел местный хулиган на форуме?
Вы правда считаете, что все эти ситуации судом будут расцениваться одинаково?
ну так что в итоге с первоначальным заданием? андрей, вы сами знаете ответ?
К сожалению, нет. Могу только пуститься в длинные рассуждения на тему «Что значит виноват?» Мол, с какой точки зрения — с кармической, с нашего законодательства, с точки зрения международной судебной практики и т.п.
Так что загадка предлагалась на подумать, чем на ответить :)