Меню
Поиск

Без оглядки на безопасность

14 январь, 2013 - 16:47Алексей Дрозд

Когда система проектируется и реализуется без оглядки на вопросы информационной безопасности, то в процессе эксплуатации рано или поздно появляется ситуация, когда нужно срочно делать патчи и латать дырки. И хотя огромное количество отрицательных примеров отлично показывает, что не стоит экономить на привлечении безопасников к проектированию систем, тем не менее, всё новые компании наступают на те же грабли. Не стала исключением и Mail.ru Group.

Давным давно, когда один пользователь аськи пересылал другому какой-то файл, их клиенты соединялись друг с другом напрямую через Интернет и осуществляли передачу. Сейчас при пересылке файла сам файл закачивается на сервера, принадлежащие Mail.ru, а получателю отправляется только ссылка на такой файл. Ссылка выглядит как «http://files.icq.net/files/get?fileId=XXXXXX», где XXXXXX – это набор букв и цифр, указывающих на файл. Скачать конкретный файл можно, только в точности зная эту последовательность. Безопасно? Нет. Файлы по аське пересылают миллионы людей, и даже указывая произвольные комбинации, можно легко получить доступ к файлам случайных пользователей.

(Источник, грузится долго - много чужих фотографий)

Про пересылку фотографий документов через Сеть по любому незащищенному каналу можно говорить долго и со вкусом, но всё-таки даже в таких случаях те службы, где пользователь может сам контролировать судьбу своих данных (например, FTP'шник на своём персональном сайте) выглядят явно более предпочтительно, чем такие, как «аська» или файлообменники. Но речь сейчас, в общем-то, совсем не о том, что пользователи любят пересылать документы через ICQ, а о том, компания Mail.ru лажанулась. Точнее ЛАЖАНУЛАСЬ.

Какие уроки можно извлечь из этого? Пересылать файлы нужно ТОЛЬКО по защищенным каналам (VPN – самое то), а если вдруг, не дай Бог, что-то важное необходимо передать по той же аське или, хуже того, по электронной почте, причем в адресе отправителя или получателя есть mail.ru, hotmail.com, gmail.com и прочие yandex.ru, то пересылать всё нужно только в запароленном архиве, причем пароль должен иметь длину не меньше десятка знаков, и не 1234567890, а что-то посерьезнее. Хотя и парольная защита – та еще гадость, но это уже совсем другой разговор.

В общем, как обычно, не стоит доверять ни владельцам сервиса, которым вы пользуетесь, ни тому, кому вы что-то пересылаете. Нужно три раза подумать, прежде чем что-то пересылать, потому что предосторожности лишними никогда не бывают.

Без оглядки на безопасность