Na początek dwa materiały poglądowe:
- Niebezpiecznik: Mogło być gorzej, czyli zastanów się do których skryptów się odwołujesz,
- pi3 blog: Niebezpiecznik.pl hacked,
Ja tylko chciałem przypomnieć, że już dawno, dawno temu zwracałem uwagę, że wpuszczanie zewnętrznego kodu do swojego serwisu to potencjalny problem. W tym kontekście "zewnętrzny kod" to kod serwowany z zewnętrznych serwisów.
Czasami można doszukać się rozwiązań technicznych, które odseparują "naszą" treść od tej "obcej" i ograniczą skutki zdarzenia, w którym ten "obcy" kod nagle zacznie robić dziwne rzeczy. Tu warto wspominać o iframe z atrybutem sandbox, może w końcu ta możliwość zacznie być szerzej wykorzystywana. Oczywiście nie w każdym przypadku iframe nadaje się do wykorzystania.
Mam nadzieję, że to zdarzenie (wcale nie wyjątkowe, ale z uwagi na pozycję Niebezpiecznika - dość medialne) zaowocuje podniesieniem świadomości odnośnie tego, że bezpieczeństwo serwisu to nie tylko "jego" kod, ale również kod wszystkich przyległości, z których ten serwis korzysta. Wszelkie reklamy, gadżety społecznościowe, biblioteki programistyczne serwowane z CDN mają/mogą mieć taki sam wpływ na bezpieczeństwo, a atak na nie może okazać się łatwiejszy.
Prawda jest taka że zawsze szuka się najsłabszego punku, który można zaatakować. Nie złamano zabezpieczeń serwisu niebezpiecznik.pl, ale udało się je obejść poprzez lukę na innym serwerze i efekt chyba został osiągniety? Myślę, że autorom chodziło o ośmieszenie i pokazanie, że nawet jeśli serwis jest zabezpieczony bardzo dobrze(?) to można zaatakować w inny sposób i cel swój osiągnąć.
Wydaje mi się, że niebezpiecznik dużo bardziej wyszedłby z twarzą gdyby nie próbował tego tak bagatelizować.
Widać trochę nerwowości w szeregach, zmiana tytułu posta, pewnie pod presją, bo był on naprawdę komiczny i próbujący całkowicie lekceważyć zaistniałą sytuację, co dalej ma w sumie miejsce, np. milczenie na fb, co można rozumieć w taki sposób, że pewnie szybko chcą o tym zapomnieć . Nie ma co się spinać, każdemu się zdarza.