Niedawno portal Onet.pl opublikował ciekawą informację dotyczącą bezpieczeństwa Elektronicznej Rejestracji Kandydatów Uniwersytetu Jagiellońskiego. Jak się okazało, możliwe było przeglądanie wniosków tysięcy zainteresowanych nauką na tej uczelni w bardzo prosty sposób.

Wystarczyło po założeniu konta podmieniać ostatnie cyfry adresu URL, aby przeglądać inne wnioski. Dzięki temu można było w banalny sposób uzyskać dostęp do danych takich jak: nr konta, imię i nazwisko, data urodzenia, NIP, dokładny adres, a także informacje o świadectwie dojrzałości. Jak widać jest to dość pokaźna ilość danych. O całym problemie poinformował jeden z rejestrujących się. Jak donosi Onet.pl, błąd został naprawiony, studenci przeproszeni, ale ... jak doszło do tego uchybienia? Do dzisiaj w Sieci jest wiele stron, w których przeglądanie kolejnych dokumentów, nawet tych potencjalnie chronionych, można zrealizować podmieniając część adresu.

Czasami kiedy w bazie danych dodawana jest nowa wartość (np. id_użytkownika czy id_artykułu) przypisuje się jej wartość jedynie liczbową. O ile w przypadku artykułu nie ma to znaczenia (o czym za chwilę) to raczej nie powinno się nadawać id złożonego tylko z cyfr dla użytkownika, gdyż w łatwy sposób można przewidzieć i uzyskać dostęp do informacji o innym użytkowniku. Na przykład, jeżeli nasze id=12345, to przy powyższych założeniach, id poprzedniego użytkownika będzie wynosiło id=12344 i kolejno id=12343, id=12342 i tak dalej...

W pewnych sytuacjach ma to jednak sens. Jeżeli dane na jakiejś stronie nie mają posiadać ograniczeń i mogą być udostępniane dla wszystkich użytkowników, to nie ma nic nagannego w stosowaniu tego typu identyfikatorów. Weźmy np. kolejne wpisy z Dziennika Analityków VirusList.pl:

• http://viruslist.pl/weblog.html?weblogid=551
• http://viruslist.pl/weblog.html?weblogid=552
• http://viruslist.pl/weblog.html?weblogid=553

Jak widać podmienianie ostatniej wartości (cyfry) pozwala poruszać się między kolejnymi wpisami Dziennika Analityków. Użyto tutaj metody get (HTTP), która prezentuje się jako "parametr=wartość". Są to jednak informacje, do których każda osoba w Sieci ma dostęp, więc ukrywanie ich nie ma żadnego sensu.

Sam fakt wykorzystania takich identyfikatorów (liczbowych) nie byłby problemem, gdyby odpowiednio kontrolowano dostęp do danych jakie może posiadać konkretny użytkownik. I mam tutaj na myśli nie tylko "wgląd" w czyjeś dane, ale także ich modyfikacje czy w ekstremalnych przypadkach skasowanie całego konta.