Những hình thức bảo vệ nội dung lố bịch
Nhân đọc bài viết How not to secure your website trên reddit, và sau đó là Digg.
1. Bài viết So you hacked our site!? đăng trên The Daily WTF kể về trang web của một công ty sử dụng Javascript để bảo vệ khu vực “for Officers only”. Một hình thức bảo vệ lố bịch chưa từng thấy…
Chỉ view source thôi cũng đủ bò lăn ra cười:
<script language="javascript">
<!--//
/*This Script allows people to enter by using a form that asks for a
UserID and Password*/
function pasuser(form) {
if (form.id.value=="buyers") {
if (form.pass.value=="gov1996") {
location="<a href="http://officers.federalsuppliers.com/agents.html">http://officers.federalsuppliers.com/agents.html</a>"
} else {
alert("Invalid Password")
}
} else { alert("Invalid UserID")
}
}
//-->
</script>
Chủ trang web làm gì khi câu chuyện này được đăng lên reddit và Digg? Đơn giản thôi, đổi username và password! Trong source code viết bằng Javascript! Tại thời điểm tớ viết bài này, username đã được đổi thành zzzzzz và password thành cái gì đó tương tự…
Google với từ khóa <script language=”javascript”> <!–// /*This Script allows people to enter by using a form that asks for a UserID and Password*/ function pasuser(form) { cho ra không dưới 200 kết quả…
Miễn bình luận.
2. Tình cờ hôm qua tớ lạc vào trang web SQL Server Central khi đang tìm tài liệu về aggregate queries, và được chào đón bằng một thông điệp rất khó chịu:
To read the rest of this article, and access thousands of other articles, we ask you to register on the site and subscribe to our newsletters.
We ask you to register on the site and subscribe to our newsletters.
Thông điệp này ở dạng “giả popup”, đè lên phần nội dung tớ muốn xem. Lại rào chắn mang tên “Bạn cần đăng nhập” đây mà.
Có đáng để tớ phải mất thời gian đăng ký chỉ để đọc mỗi một bài viết như vậy không? Hoặc mất vài phút mò lên Bugmenot tìm xem có cái account dùng chung nào không cho rảnh nợ? Tớ nghĩ là không. Nhưng ít ra thì cũng đáng để tớ mở Firebug và thử xem cái hình thức bảo vệ “tinh tế” ở đây nó ra làm sao.
Đơn giản chỉ là CSS.
Chỉ việc dùng Firebug để xóa cái div mang class “ShadedBox” và bỏ mấy cái style overflow:hidden; height: 200px; của cái div ngay trên đó, bài viết cần đọc đã hiện ra hoàn chỉnh.
Miễn bình luận, lần thứ hai.
3. Ít ra thì SQL Server Central cũng cho phép người ta đăng ký tài khoản miễn phí để đọc nội dung, còn như Experts Exchange thì hoàn toàn khác. Đã từng free, nhưng giờ tính phí để đọc những thông tin hoàn toàn có thể xem bằng… Google cache.
Nói về trang web này cũng có nhiều điều thú vị. Đầu tiên là domain; tên miền gốc là expertsexchange.com, nhưng vì dễ bị đọc nhầm thành expertsexchange nên đành đổi lại là experts-exchange.com. Tương tự với Pen Island - penisland.com, Italian Power Generator - powergenitalia.com, hay Speed of Art - speedofart.com. Xem thêm tại Funny Shit: Bad Domain Names nếu bạn muốn một danh sách đầy đủ về những trang web như vậy.
Giờ nói đến Google cache. Theo quy định của Google, một trang web không được có hai phiên bản khác nhau về nội dung: một cho người duyệt web bình thường và một cho search engine. Một thời gian Experts Exchange dùng chiêu này: để spider của Google crawl nội dung đầy đủ, nhưng khi người dùng vào lại hiện thông báo phải đăng ký tài khoản (và tính tiền). Khỏi nói cũng biết cách thức giải quyết là thay đổi user agent của trình duyệt, hoặc xem Google cache thay vì trực tiếp truy cập vào Experts Exchange.
Về sau Experts Exchange khá hơn một chút. Bên dưới hàng loạt thông báo “đòi tiền” và danh sách các category hoành tráng là câu trả lời thực mà người dùng tìm kiếm. Chỉ cần ai đó chịu khó cuộn chuột xuống hết trang web dài dằng dặc là có thể lấy được những thông tin mình muốn. Ví dụ ở đây. Rõ lố bịch. Vừa mất thời gian, vừa làm dung lượng trang web tăng lên một cách quá đáng.
Lại nói về những thông báo kiểu All comments and solutions are available to Premium Service Members only trên Experts Exchange. Trước đây những thông báo này là nội dung câu trả lời thật, được làm mờ bằng… CSS và “mã hóa” bằng… ROT13 - phép đổi ký tự có từ thời Caesar. Tiếc là tớ không có screenshot nào của hình thức bảo vệ “tiên tiến” này.
Nếu bạn có ý định bảo vệ nội dung trang web của mình, hy vọng đừng lặp lại những hình thức này. Không biết bao lần vào các forum, tớ thấy những câu hỏi kiểu “làm sao để khóa chuột phải?”, “làm sao để chống save ảnh về máy tính”, vân vân và vân vân. Đọc mà ngán ngẩm. Năm 2008 rồi đấy. Thời đại của những “webmaster” dùng Frontpage, chèn background music vào website, để animated GIF, đặt hit counter cuối trang web,… lẽ ra phải qua từ lâu rồi mới phải. À, Yahoo! 360…
Bài viết được gửi hôm 01.03.08 · Mang các từ khóa linh tinh, wtf
Bài viết liên quan:
Egoldviet gửi hôm 03.03.08 lúc 1:40 am #
Haha, mình thì lại chẳng thấy chút gì lố bịch cả, có thể bạn là cao thủ, biết nhiều về code và thấy những biện pháp bảo vệ này nó quá thông thường,
Tuy nhiên trong cuộc sống có những thứ như cổng làng hay hàng rào bằng bụi cây thấp, người ta dựng lên để ngăn những người qua đường khỏi nhòm ngó, hoặc, dựng lên để thiết lập ranh giới khẳng định chủ quyền, chứ không phải để chống các Cao thủ xâm nhập, hehe
nhc1987 gửi hôm 03.03.08 lúc 6:36 am #
Ha ha ha, thú vị thật, thú vị thật …
QAD gửi hôm 03.03.08 lúc 6:52 pm #
@Egoldviet: Thì dĩ nhiên mọi thứ tớ viết là dựa trên góc nhìn của tớ. Còn gọi là “lố bịch” vì ngay từ đầu tớ đã có thành kiến với mấy trang web này - một bên vừa vào đã bắt người ta đăng ký tài khoản VÀ nhận newsletter, một bên cheat google để tăng hạng.
zoejoe gửi hôm 14.05.08 lúc 12:14 pm #
Đúng là bọn ngu =)) Bảo vệ trang web ngu đến thế là cùng. Chỉ còn cách là cấm viewsource thì mới có thể bảo mật chắc với bọn này được :D Bài viết hay lắm. Mình đồng quan điểm với bạn !
LCVanzZz gửi hôm 22.06.08 lúc 6:12 am #
Bài viết khá hay :D thời đại này là thời đại share cho nhau mà… ai lại đi secure website như thế >”<
Rõ lố bịch :))