Можно ли через поисковики найти закрытую информацию на сайте под управлением NetCat?
Действительно, если ввести в поисковую строку Google определенный запрос, можно получить список файлов государственных учреждений, которые на первый взгляд имеют гриф «Секретно». Первым же результатом будет показан файл с заголовком «Сводный план контрольной деятельности территориальных органов и структурных подразделений центрального аппарата Федеральной антимонопольной службы на 2010 год». Однако этот файл явно предназначен для открытой публикации. В этом можно убедиться, введя этот заголовок в тот же Google или Яндекс: первый же результат поиска ведет на страницу, где опубликована ссылка на этот файл.
Причина попадания файла в запрос «для служебного пользования» в том, что файл, очевидно, создавался по типовому шаблону, и в тексте файла эта фраза присутствует, однако, при чтении она не видна. Кроме того, служебные файлы не публикуются на сайте ФАС даже в закрытых разделах.
Что касается возможности попадания в поисковые индексы конфиденциальной информации с сайтов под управлением NetCat, то гипотетически такое возможно, но только при активных действиях разработчика сайта или его администратора. Рассмотрим несколько примеров.
Страница истории заказов в модуле «Интернет-магазин» по умолчанию защищена паролем. Зайдя на нее и введя свой логин и пароль, пользователь видит только свои заказы, а администратор — заказы всех пользователей. Если же администратор сайта ВРУЧНУЮ снимет авторизацию с этой страницы или внесет изменения в программный код компонента, пользователи смогут увидеть и заказы других пользователей. Если не рассматривать злой умысел администратора, то такие действия лишены логики, и их нельзя произвести случайно.
NetCat поддерживает несколько способов авторизации пользователей на сайте. По умолчанию это традиционный способ по логину и паролю, однако доступна также авторизация через социальные сети и по хэш-ссылке. Последний способ подразумевает, что при регистрации пользователя ему на почту присылается ссылка вида http://site.ru/feedback/?auth_hash=53228d4d1ce43f72252f9b7717bd83c910 (ссылка может быть одноразовой, а также можно ограничить время ее жизни), зайдя по которой он попадает в личный кабинет или на какую-то другую защищенную страницу. Подразумевается, что подобрать такую ссылку методом перебора невозможно. Однако если пользователь случайно или специально опубликует эту ссылку, она может попасть в индекс поисковой машины, и содержимое закрытой страницы будет проиндексировано. По умолчанию такой способ авторизации в NetCat выключен, и мы рекомендуем разработчикам использовать такой метод авторизации только в тех случаях, когда закрытая информация не представляет серьезной коммерческой или личной тайны, и несанкционированный доступ к ней не повредит проекту и пользователям.
Для задач, связанных с публикацией на сайте файлов с ограниченным доступом, в NetCat существует специальный тип файловой системы, которая подразумевает, что для загрузки или просмотра файла пользователь должен будет ввести логин и пароль; файл будет показан только в том случае, если пользователю с этим логином и паролем делегированы соответствующие права. Но если разработчик при создании компонента выбрал другой тип файловой системы, то для несанкционированного скачивания этого файла потребуется знать только его адрес, без запроса логина и пароля. Гипотетически этот адрес может попасть в индекс поисковой машины, если кто-то случайно или специально поставит на него ссылку.
Мы призываем разработчиков сайтов на NetCat внимательно относиться к встроенным в систему средствам ограничения доступа и оценивать уровень риска несанкционированного доступа к закрытой информации при выборе способов ограничения доступа.
Комментарии 6
Не выводите коды всяких счетчиков, виджетов, контекстной рекламы, баннеров и т.п., что загружается со сторонних ресурсов в режиме администрирования ($admin_mode==1), ибо вся доступная информация, включая УРЛ адрес с возможным хешем (как Дима указал в примере 2) становится доступной 3м лицам со всеми вытекающими.
Я даже больше чем уверен, что тот же самый мегафон на страницах с отслеживанием статуса отправленной смс выводил код яндекса (яндекс.метрика и т.п.), УРЛ попал в список неизвестных поисковику и успешно был проиндексирован.
зы. А что касается ФАС, то им не помешал бы аудит движка и понаписанного там разработчиками кода на факт наличия уязвимостей...
ИМХО разработчикам NetCat стоит провести сертификацию, это будет понятный публике ответ на вопрос об утечках. Раз есть сертификат - то утечек не может быть.
В особенности если речь идет о государственных сайтах - там понятия не имеют о том, как работают поисковые системы. Зато у чиновников много денег, и за сертифицированный сайт с проведенным аудитом могут заплатить в тысячи раз больше, чем это принято в отрасли.
Теперь о попадании гугл скрытой от чтения информации. Я думаю - что если Google видит то, что скрыто от глаз читателя документа - то это и есть техническая утечка! И неважно, что утекшие данные (в нашем случае гриф ДСП) оказались дезинформацией. Известная особенность формата DOC - в том, что такой файл наполовину состоит из разного рода "утечек". Какие-то из них реально не содержат информации. А какие-то могут содержать - например, решили что-то не публиковать, нажали Del - а удаленное-то ведь в файле осталось! И Google об этом узнает. Нельзя выкладывать в сеть файлы DOC без предварительной очистки.
Кто виноват в технической утечке? CMS NetCat здесь совершенно не при чем, потому что DOC файлы создаются не в ней. Некоторые вопросы могут быть к Microsoft, придумавшей формат DOC и пакет Microsoft Office, в котором эти файлы создаются. С другой стороны, Microsoft Office сертифицирован ФСТЭК, поэтому Microsoft имеет индульгенцию. Стало быть, виновата ФАС, которая неправильно применяет Office.