Łamanie zabezpieczeń komputerowych a HTML - co o tym sądzicie?
Niedawno na wykopie pojawił się wpis odnośnie gościa, który chciał wykiwać bank "Finał (?) sprawy dopisków klienta do umowy kredytowej, których nie zauważył bank"
W jednym z komentarzy użytkownik @rbk17 poruszył temat oszustwa przy zamówieniach online. Chodziło dokładnie o możliwość wpisania ilości artykułu jako ułamka, co odpowiednio obniżało cenę - w tym wypadku po wpisaniu ilości 0.01 zamiast 2000zł za komputer, można było (teoretycznie) zapłacić 20zł. Wątek można prześledzić tu: //www.wykop.pl/link/2417220/final-sprawy-dopiskow-klienta-do-umowy-kredytowej-ktorych-nie-zauwazyl-bank/#comment-26593634
W dalszej dyskusji @wbielak użył sformułowania "celowo złamał zabezpieczenia sklepu", na co odpowiedziałem zapytaniem: Czy walidację po stronie klienta i brak walidacji tych samych danych po stronie serwera możemy nazwać "złamaniem zabezpieczenia"? Dostałem odpowiedź, że "Jeśli masz drzwi z kawałka tektury zaklejone tamą izolacyjną i ktoś je potraktuje z buta to jest to włamanie. "
Te właśnie słowa zmusiły mnie do utworzenia tego artykułu, ponieważ zacząłem zastanawiać się i analizować gdzie właściwie zaczyna i kończy się kwestia "łamania zabezpieczeń systemów komputerowych"? Wg. mnie wszelkie strony i skrypty wykonywane po stronie klienta nie mogą być traktowane jako zabezpieczenia. Nie chodzi mi o kwestie informatyczne, bo to powinien wiedzieć nawet słabo ogarnięty front-end coder, ale o kwestie formalno-prawne. Jeżeli podejmuję udaną próbę nieautoryzowanego dostępu do plików na serwerze, dostępu i/lub modyfikacji kodu PHP, Pythona czy Ruby albo dostępu do bazy danych, to można nazwać łamaniem zabezpieczeń, ale modyfikacja kodu przesyłanego od serwera na mój lokalny komputer i wysłanie odpowiedzi inna niż oczekiwana?
Zabawną rzeczą jest fakt, że poruszona przeze mnie kwestia jest identyczna do tej z powyższego tematu o banku: bank przesyła dokument i czeka na podpis, klient modyfikuje dokument i odsyła podpisany, bank łyka to bez sprawdzenia. Uderzająca analogia.
W tym miejscu ujawnia się cel tego artykułu, a mianowicie drogie Wykopki, chodzi mi o Waszą opinię w tej sprawie: Czy wg. Was modyfikacja kodu HTML, JavaScript i wysyłanie spreparowanych odpowiedzi może być traktowana jako łamanie zabezpieczeń?
Oczywiście temat skierowany do tej części wykopu, której nie są obce tematy IT :)
W jednym z komentarzy użytkownik @rbk17 poruszył temat oszustwa przy zamówieniach online. Chodziło dokładnie o możliwość wpisania ilości artykułu jako ułamka, co odpowiednio obniżało cenę - w tym wypadku po wpisaniu ilości 0.01 zamiast 2000zł za komputer, można było (teoretycznie) zapłacić 20zł. Wątek można prześledzić tu: //www.wykop.pl/link/2417220/final-sprawy-dopiskow-klienta-do-umowy-kredytowej-ktorych-nie-zauwazyl-bank/#comment-26593634
W dalszej dyskusji @wbielak użył sformułowania "celowo złamał zabezpieczenia sklepu", na co odpowiedziałem zapytaniem: Czy walidację po stronie klienta i brak walidacji tych samych danych po stronie serwera możemy nazwać "złamaniem zabezpieczenia"? Dostałem odpowiedź, że "Jeśli masz drzwi z kawałka tektury zaklejone tamą izolacyjną i ktoś je potraktuje z buta to jest to włamanie. "
Te właśnie słowa zmusiły mnie do utworzenia tego artykułu, ponieważ zacząłem zastanawiać się i analizować gdzie właściwie zaczyna i kończy się kwestia "łamania zabezpieczeń systemów komputerowych"? Wg. mnie wszelkie strony i skrypty wykonywane po stronie klienta nie mogą być traktowane jako zabezpieczenia. Nie chodzi mi o kwestie informatyczne, bo to powinien wiedzieć nawet słabo ogarnięty front-end coder, ale o kwestie formalno-prawne. Jeżeli podejmuję udaną próbę nieautoryzowanego dostępu do plików na serwerze, dostępu i/lub modyfikacji kodu PHP, Pythona czy Ruby albo dostępu do bazy danych, to można nazwać łamaniem zabezpieczeń, ale modyfikacja kodu przesyłanego od serwera na mój lokalny komputer i wysłanie odpowiedzi inna niż oczekiwana?
Zabawną rzeczą jest fakt, że poruszona przeze mnie kwestia jest identyczna do tej z powyższego tematu o banku: bank przesyła dokument i czeka na podpis, klient modyfikuje dokument i odsyła podpisany, bank łyka to bez sprawdzenia. Uderzająca analogia.
W tym miejscu ujawnia się cel tego artykułu, a mianowicie drogie Wykopki, chodzi mi o Waszą opinię w tej sprawie: Czy wg. Was modyfikacja kodu HTML, JavaScript i wysyłanie spreparowanych odpowiedzi może być traktowana jako łamanie zabezpieczeń?
Oczywiście temat skierowany do tej części wykopu, której nie są obce tematy IT :)