Пользователь
0,0
рейтинг
31 октября 2011 в 15:26

Разработка → Deface изображений или Вас могут подставить

Перепосты или копирование постов с указанием авторства стали для нас чем-то обыденным и мы редко задумываемся о том, насколько небезопасно это может быть, или просто вообще не знаем, что таким образом можем быть подвергнуты deface атаке.

Лишним подтверждением стал случай (осторожно, много политики) с блогом одной девушки. Она решила разместить копипаст сообщения пользователя живого журнала avf, в котором даются рекомендации как избежать проблем с переходом на зимнее время.


Девушка просто скопировала сообщение пользователя и спокойно ушла спать. Однако автор исходного сообщения увидел, что она оставила ссылку, которая ведет на изображение оригинал, размещенное в его блоге. Из-за личной неприязни (опустим политические разборки в стороне) автор исходного изображения решил насолить девушке и заменил исходное изображение. В итоге на блоге девушки начала красоваться совсем другая картинка, за что ей должно быть неплохо влетело.

Я решил проверить пару постов своих друзей из френд-ленты. Многие не меняют ссылки на исходные картинки, более того, функция перепоста содержит точно такую же возможность deface атаки, изображения ведут на оригиналы.

ps. Хорошо что размещение картинки на хабре ведет к хараэффекту и все картинки приходится заливать на habrastorage. Своеобразная защита от атаки.
ewgRa @ewgRa
карма
23,0
рейтинг 0,0
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама

Самое читаемое Разработка

Комментарии (28)

  • +52
    Этому «дефейсу» уже сто лет в обед. На форумах такое проходили.
    • НЛО прилетело и опубликовало эту надпись здесь
      • 0
        Была похожая задача. Фотографии были доступны только для зарегистрированных пользователей. Некоторые пользователи смотрели в свойствах прямой путь к изображению и размещали их у себя в блогах. После обновления, система определяла такие действия и на удалённых картинках вешала изображение «Для просмотра изображения, зарегистрируйтесь на сайте таком-то».
    • +2
      Я думаю и через еще сто лет тема будет актуальна.
      • 0
        Этот «дефейс» древнейшее оружие в проно войнах! благо ему родился проно-рунет.
  • +13
    Мораль сей басни такова — не копипасть.
    • +16
      Тогда уж — не хотлинкуй
  • +15
    С одной стороны использовать источники которые не можешь контролировать опасно, а с другой стороны 200 копий одной и той же картинки это тоже не очень хорошо.

    Я чаще сталкиваюсь с ситуацией, когда изображение было размещено на каком-то фотохостинге или еще где и за давностью просто было удалено. В итоге самое интересное оказывается недоступно. :(
    • +3
      Мне кажется это больше проблема ЖЖ (совсем не единственная). Картинки должны быть immutable, т.е. после того как кто-то залил картинку, получил ее идентификатор и, как следствие, ссылку — не должно быть возможности ее изменения и даже ее полного удаления (ради сохранения целостности кросс-постинга)
      • 0
        Ну не ЖЖ единым. Есть куча мест, где это может быть использовано. У меня у самого на сервере есть картинки, которые используются на других серверах. Я без проблем могу их подменить или удалить.
      • 0
        не должно быть возможности ее изменения и даже ее полного удаления

        слишком большая жертва, вам не кажется?
        • +1
          Как раз нет — очень много фото-хостингов и соц. сетей картинки физически не удаляют, ибо нечего лишний раз файловую систему на запись дергать. Удалять можно только собственную индексную запись о картинке.
  • +4
    Хочешь сделать хорошо, сделай это сам.
  • +1
    Я прям знаю о чем будет очереднойследующий хостинг-стартап.
  • 0
    Это более-менее безобидный пример. Стоит ли говорить как рискуют организации, которые исходя из общепринятых советов делают:

    • +1
      Хабрапарсер съел
      [script lang=«javascript» src=«ajax.googleapis.com/ajax/libs/jquery/1.6.4/jquery.min.js»][/script]
      • 0
        имеете ввиду возможность DNS-spoofing?
        • 0
          как один из вариантов использования уязвимости
    • +1
      Стоит ли напоминать о падении яндекса?
  • +24
    По этой же причине еще лет 5 назад пришлось на форуме реализовывать «автоскачку» картинок, при вставлении их с левых ресурсов. «Доброжелателей» подсовывающих левые картинки было навалом.
    Правда исходным посылом для «автоскачки» было совсем другое. Один «очень хитрый пользователь » разместил картинку у себя и плюхнул традиционно хотлинкингом на форум… и через пару дней когда тема стала популярна — банально ее запаролил http authorization с надписью «Вас вынесло из форума введите свой логин/пароль», очень много народу попалось — ну а чё — окно-то всплывает на рРодном" форуме.
  • НЛО прилетело и опубликовало эту надпись здесь
    • +1
      Много раз видел, когда из-за превышения лимитов на скачку картинки, сам картинка с imageshack не грузятся.
      • НЛО прилетело и опубликовало эту надпись здесь
  • +3
    Детский сад.
  • 0
    Всю жизнь такой дефейс назывался «попал на хотлинкинге».
  • +1
    Ещё в детстве учили: не бери чужого. Вот оно: наказание 21 века за кражу интеллектуальной собственности.

    P.S. «Deface изображений» — это явно новый термин. Доселе не доводилось такого слышать.
  • +24
    Вот что из этого получилось: krispotupchik.livejournal.com/279776.html — после полуночи, чудесным образом,
    безобидная картинка превратилась в плакат против ПЖиВ.

    UPD: В 7:40 Криску разбудил разъярённый пожиратель устриц «Белон», которого нежно разбудил «разоблачатор»-пиарщик от ПЖиВ Рыков — и Потупчик стала судорожно исправлять пост.

    Я считаю поделом им! :)

    Если кто вдруг не в курсе, сейчас всякими «нашистами» и прочими «молодными гвардиями», аффилированными с прокремлёвкой Росмолодёжью, капитально засраны все более-менее политически значимые площадки: они массово лепят пропагандистские посты (часто это банальная копипаста тонко написанных различными руководителями молодёжных объединений и лояльных Кремлю писак) и комментарии в LiveJournal, пропагандистские видео и комментарии на YouTube, многочисленные троллинговые комментарии в независимых СМИ, стараются дискредитировать и замять любую точку зрения, не совпадающую с государственной формулой пропаганды «Путин+ЕдРо=стабильность» и т.д.

    Так что мочить их!
  • +1
    Хабраэффекта не существует. Несколько десятков тысяч хитов выдержит любой вменяемый сервер в режиме штатной работы.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.