Регистрация
Вход через соцсети
Восстановление пароля

Можно ли через поисковики найти закрытую информацию на сайте под управлением NetCat?

Сегодня Лента.ру опубликовала статью о том, что поисковая система Google проиндексировал документы на сайте Федеральной Антимонопольной Службы (ФАС России) под грифом "Для служебного использования". Сам сайт работает под управлением системы NetCat. На данный момент информация уже опровергнута сотрудниками ФАС, но мы хотели бы более подробно рассказать пользователям, почему эти документы попали в индекс именно с этой пометкой и как избежать подобных ситуаций, если ваш сайт работает на NetCat.

Действительно, если ввести в поисковую строку Google определенный запрос, можно получить список файлов государственных учреждений, которые на первый взгляд имеют гриф «Секретно». Первым же результатом будет показан файл с заголовком «Сводный план контрольной деятельности территориальных органов и структурных подразделений центрального аппарата Федеральной антимонопольной службы на 2010 год». Однако этот файл явно предназначен для открытой публикации. В этом можно убедиться, введя этот заголовок в тот же Google или Яндекс: первый же результат поиска ведет на страницу, где опубликована ссылка на этот файл.

Причина попадания файла в запрос «для служебного пользования» в том, что файл, очевидно, создавался по типовому шаблону, и в тексте файла эта фраза присутствует, однако, при чтении она не видна. Кроме того, служебные файлы не публикуются на сайте ФАС даже в закрытых разделах.

Что касается возможности попадания в поисковые индексы конфиденциальной информации с сайтов под управлением NetCat, то гипотетически такое возможно, но только при активных действиях разработчика сайта или его администратора. Рассмотрим несколько примеров.

Пример 1.

Страница истории заказов в модуле «Интернет-магазин» по умолчанию защищена паролем. Зайдя на нее и введя свой логин и пароль, пользователь видит только свои заказы, а администратор — заказы всех пользователей. Если же администратор сайта ВРУЧНУЮ снимет авторизацию с этой страницы или внесет изменения в программный код компонента, пользователи смогут увидеть и заказы других пользователей. Если не рассматривать злой умысел администратора, то такие действия лишены логики, и их нельзя произвести случайно.

Пример 2.

NetCat поддерживает несколько способов авторизации пользователей на сайте. По умолчанию это традиционный способ по логину и паролю, однако доступна также авторизация через социальные сети и по хэш-ссылке. Последний способ подразумевает, что при регистрации пользователя ему на почту присылается ссылка вида http://site.ru/feedback/?auth_hash=53228d4d1ce43f72252f9b7717bd83c910 (ссылка может быть одноразовой, а также можно ограничить время ее жизни), зайдя по которой он попадает в личный кабинет или на какую-то другую защищенную страницу. Подразумевается, что подобрать такую ссылку методом перебора невозможно. Однако если пользователь случайно или специально опубликует эту ссылку, она может попасть в индекс поисковой машины, и содержимое закрытой страницы будет проиндексировано. По умолчанию такой способ авторизации в NetCat выключен, и мы рекомендуем разработчикам использовать такой метод авторизации только в тех случаях, когда закрытая информация не представляет серьезной коммерческой или личной тайны, и несанкционированный доступ к ней не повредит проекту и пользователям.

Пример 3.

Для задач, связанных с публикацией на сайте файлов с ограниченным доступом, в NetCat существует специальный тип файловой системы, которая подразумевает, что для загрузки или просмотра файла пользователь должен будет ввести логин и пароль; файл будет показан только в том случае, если пользователю с этим логином и паролем делегированы соответствующие права. Но если разработчик при создании компонента выбрал другой тип файловой системы, то для несанкционированного скачивания этого файла потребуется знать только его адрес, без запроса логина и пароля. Гипотетически этот адрес может попасть в индекс поисковой машины, если кто-то случайно или специально поставит на него ссылку.



Мы призываем разработчиков сайтов на NetCat внимательно относиться к встроенным в систему средствам ограничения доступа и оценивать уровень риска несанкционированного доступа к закрытой информации при выборе способов ограничения доступа.
Поделиться

Комментарии 6

DiGGy  DiGGy 27 июля 2011, 21:18:32
Добавлю свои 5 копеек.

Не выводите коды всяких счетчиков, виджетов, контекстной рекламы, баннеров и т.п., что загружается со сторонних ресурсов в режиме администрирования ($admin_mode==1), ибо вся доступная информация, включая УРЛ адрес с возможным хешем (как Дима указал в примере 2) становится доступной 3м лицам со всеми вытекающими.

Я даже больше чем уверен, что тот же самый мегафон на страницах с отслеживанием статуса отправленной смс выводил код яндекса (яндекс.метрика и т.п.), УРЛ попал в список неизвестных поисковику и успешно был проиндексирован.

зы. А что касается ФАС, то им не помешал бы аудит движка и понаписанного там разработчиками кода на факт наличия уязвимостей...
   
dimatwork NetCat 27 июля 2011, 23:18:13
Гена, аудит движка (под названием NetCat) уже проводился в этом году.
   
DiGGy  DiGGy 28 июля 2011, 10:35:56
:cool:
   
Raul  N-Studio 29 июля 2011, 11:07:00
А как так получилось, что ФАС создала сайт на движке, который не сертифицирован ФСТЭК для работы с защищенной информацией? Или там вообще нет никакой защищенной информации? А если есть, то они по бюрократическому определению сами виноваты. Надо было на "шарике" писать сайт. Хоть и противно, но, по-моему, только у него есть сертификат.

ИМХО разработчикам NetCat стоит провести сертификацию, это будет понятный публике ответ на вопрос об утечках. Раз есть сертификат - то утечек не может быть.
   
dimatwork NetCat 29 июля 2011, 12:11:10
У нас есть сертификат OnSec, и мы получали его не ради самой бумаги, а ради именно независимого профессионального аудита. Насчет ФСТЭК - мы еще не приняли решение. Почему кстати они виноваты? Утечек-то не было.
   
Raul  N-Studio 29 июля 2011, 18:08:00
В данном случае речь идет не о взломе сайта хакерами (с чем мы постоянно сталкиваемся - но, слава Богу, не на NetCat). А о том, что для надлежащей защиты информации следует использовать сертифицированные ФСТЭК решения + необходимо провести профессиональный аудит сайта именно не предмет возможных утечек информации через поисковые системы.

В особенности если речь идет о государственных сайтах - там понятия не имеют о том, как работают поисковые системы. Зато у чиновников много денег, и за сертифицированный сайт с проведенным аудитом могут заплатить в тысячи раз больше, чем это принято в отрасли.

Теперь о попадании гугл скрытой от чтения информации. Я думаю - что если Google видит то, что скрыто от глаз читателя документа - то это и есть техническая утечка! И неважно, что утекшие данные (в нашем случае гриф ДСП) оказались дезинформацией. Известная особенность формата DOC - в том, что такой файл наполовину состоит из разного рода "утечек". Какие-то из них реально не содержат информации. А какие-то могут содержать - например, решили что-то не публиковать, нажали Del - а удаленное-то ведь в файле осталось! И Google об этом узнает. Нельзя выкладывать в сеть файлы DOC без предварительной очистки.

Кто виноват в технической утечке? CMS NetCat здесь совершенно не при чем, потому что DOC файлы создаются не в ней. Некоторые вопросы могут быть к Microsoft, придумавшей формат DOC и пакет Microsoft Office, в котором эти файлы создаются. С другой стороны, Microsoft Office сертифицирован ФСТЭК, поэтому Microsoft имеет индульгенцию. Стало быть, виновата ФАС, которая неправильно применяет Office.
   
Описание проекта