[imgl]https://notepad.lv/userpix/1778_jeeznot_agaian_1.png[/imgl] Īsumā šai ziņai pietiktu ar melnajā rāmītī ievietotu internetu troļļiem labi pazīstamo kapteiņa Pikarda “facepalm”. Vai ko līdzvērtīgu, jo ironija ir kliedzoša. Rumāņu grey-hat “urķiem” TinKode un Ne0h of Slacker.Ro, veicot SQL koda injekciju, izdevies iegūt pieeju labai tiesai MySQL vietnes datubāzēs glabātajai informācijai. Iegūti gan lietotāju, gan darbinieku kontu lietotājvārdi, gan ē-pasta adreses, gan paroļu hash vērtības, kā arī klientu un partneru informācija un dati par iekšējo tīklu. Savukārt, “urķis” Jackh4x0r daļu šīs informācijas publicējis PasteBin vietnē, par lielu prieku visiem vairāk vai mazāk ļaunprātīgi noskaņotajiem interesentiem.
[align=justify]No MySQL vietnes veidotāju puses tā ir augstākā mērā noziedzīga nolaidība, jo paroļu gatavošanas procesā aizmirsts pievienot arī sāli, kas, attiecīgi, ļauj izmantot rainbow tables (jeb iepriekš sastādītas paroļu-hash tabulas) vai rupja spēka metodi, lai salīdzinoši ātri atrastu hash vērtībām atbilstošās paroles. Protams, šādu izdarību rezultāts nav gluži bez kurioziem – daudziem lietotāju kontiem ir paroles, kas sastāv vien no dažiem simboliem, acīmredzot, tā izvēlētas, lai pēc iespējas ātrāk atšūtos no reģistrācijas. Bet Produktu pārvaldības direktora WordPress konta parole sastāvējusi vien no četriem cipariem. Varam tikai minēt, vai tas gadījumā nav arī viņa bankas kartes PIN kods. Tieši tā – šajā gadījumā un līdzīgos lielāko problēmu sastāda lietotāju niķis vairākās dažādās interneta vietnēs, kā arī, ļoti iespējams, citos ar paroli aizsargātos resursos izmantot vienas un tās pašas paroles.
[align=justify]Bet ar to stāsts vēl nebeidzas. Līdzīgi uzlauzta ir arī otras Oracle nokamptās kompānijas Sun interneta vietne, no kuras gan izdevies iegūt tikai lietotājvārdus un ē-pasta adreses. Bet nekas – spameriem pietiks arī ar tām. Š ķiet, ka īpaši MySQL interneta vietnes drošība līdz šim nav baudījusi pienācīgu uzmanību. Kā zināms no resursa XSSed.com, tajā ir arī vairākas bīstamas XSS (cross-site scripting) ievainojamības, par kurām publiski darīts zināms jau šā gada janvārī, bet tie joprojām nav aizlāpīti. MySQL pārstāvji, ļoti iespējams, vismaz, cerams, ka sarkst un rausta valodu, jo līdz šim nav snieguši oficiālu komentāru šī uzbrukuma sakarā.
[align=justify]Internetu lapu izstrādātājiem gan, šķiet, jāuztraucas par caurumu pašā MySQL programmnodrošinājumā. Toties noteikti derētu vēlreiz padomāt, vai visi iespējamie ievades lauki izstrādātajās interneta vietnēs ir pienācīgi nodrošināti pret SQL un citu skriptu injekcijām. Bet internetu sērfotājiem, bradātājiem un arājiem vai vienkārši lietotājiem jāatgādina nodrošināties pret līdzīgiem uzbrukuma vektoriem, vairākās interneta vietnēs nelietojot vienādas paroles, bet, piemēram, kaut vienas paroles dažādas variācijas.
Avoti:
.
