Anonymita uživatelů e-mailu Centrum.cz může být ohrožena

  11:00aktualizováno  11:00
E-mailové adresy zřízené na serveru Centrum.cz nejsou dostatečně chráněny a jsou lehce získatelné třetí osobou. Redakce Technet.cz má k dispozici jednoduchý skript, který po umístění na jakékoliv webové stránky odhalí e-mail návštěvníka přicházejícího ze stránek Centrum.cz.

E-mailové adresy zřízené na serveru Centrum.cz nejsou dostatečně chráněny a  jsou lehce získatelné třetí osobou. Redakce Technet.cz má k dispozici jednoduchý skript, který po umístění na jakékoliv webové stránky odhalí e-mail návštěvníka přicházejícího ze stránek Centrum.cz.

Tímto způsobem je například možné přesně vyhodnocovat chování konkrétního uživatele, stopovat jeho pohyb na upravené webové stránce a následně mu posílat cílené reklamní e-maily.

Sen všech marketingových firem

Demonstrujme si problém e-mailové služby Centrum.cz na zcela smyšleném příkladu. Představte si, že si chcete koupit auto a na svém oblíbeném vyhledávači najdete stránku bazaru, který auta nabízí. Zkusmo zadáte značku, kterou hledáte, nabídka vás ale nezaujmete a tak po minutě stránku opouštíte. Jaké je ale vaše překvapení, když během několika okamžiků přijde do vaší soukromé emailové schránky dopis, ve kterém vás autobazar ubezpečuje, že auto, které jste hledali (je tu dokonce váš přesný dotaz), pro vás zdaleka není ani zdaleka tak výhodné, jako jiná auta, která jsou právě ve slevové akci…

Znechuceni email smažete a lámete si hlavu nad tím, jak se k vašemu soukromému emailu mohli tak rychle dostat? Bohužel, velmi jednoduše. Prodejce má na svém serveru jednoduchý skript, který z vaší pouhé návštěvy zjistil, jaká je vaše přezdívka a tedy i mailová adresa. A ta je odteď v prodejcově databázi a každý měsíc vás čeká nová nabídka. Stačila k tomu „originální metoda zabezpečení“ na stránkách vyhledávače a běžný prohlížeč internetových stránek.

Jak to celé funguje

Řekněme, že klepneme na odkaz obsažený v jakékoli stránce A, který vede na stránku B. Náš prohlížeč si pamatuje adresu poslední stránky A, a v hlavičce http požadavku tuto adresu v parametru referer předá spolu s dalšími informacemi serveru, od kterého žádá stránku B. Znamená to, že provozovatel onoho serveru získá přesné informace o tom, ze které stránky k němu vede odkaz. To je často užitečné pro statistické účely: autor zjistí, kdo na něj odkazuje. Pokud přistupujeme z libovolného vyhledávače, server může zjistit, jaký výraz uživatel hledal, což je opět velmi užitečné pro marketingové a reklamní statistiky a další optimalizaci.

Potud je všechno v pořádku. Provozovatel ví, odkud návštěvník přišel, ale neví, kdo návštěvník je. Může zjistit jeho IP adresu (případně IP adresu jeho poskytovatele připojení), zjistí zemi, ze které se připojuje, dokonce i typ prohlížeče a operační systém. To všechno jsou údaje svou povahou spíše nesoukromé.

Uživatelé služeb Centrum, především ti, kteří jsou trvale přihlášení pod svým jménem, si možná všimli, že v adresovém řádku mohou neustále vidět svoje uživatelské jméno:

Uživatelské jméno 

V tomto případě jde o experimentální přezdívku x.periment. Ukážeme si, kdo všechno se k této přezdívce bude moci dostat. Nezapomínejme přitom, že tato přezdívka je přímo svázána s emailovou adresou, v tomto případě x.periment@centrum.cz. Kdokoli zjistí přezdívku, zná tak zároveň emailovou adresu. Nemluvě o tom, že mnoho uživatelů má přezdívky ve tvaru jméno.příjmení, nebo více či méně odpovídající jejich jménu a příjmení.

Jako přihlášený uživatel využíváme můžeme využívat i obsáhlý katalog stránek nebo fulltextové vyhledávání. Zjistíme, že adresa se stala mnohem složitější, nicméně pořád zde je v nezměněném, nezakódovaném tvaru naše přezdívka:

Uživatelské jméno 

Na první pohled se pořád neděje nic nepatřičného. Problém nastane ve chvíli, kdy opustíme „bezpečné“ vody portálu centrum.cz, protože se rozhodneme klepnout na některý z odkazů. Ano, přesně tak, v parametru referer se uložila adresa, kterou vidíme v adresovém řádku přohlížeče. Pokud provozovatel stránek používá některý z programů pro sledování statistik, může bez potíží zjistit naše uživatelské jméno a tím pádem i emailovou adresu.

A nejen to. Od této chvíle nás má takříkajíc na mušce: ví, kdy a na kterou stránku se podíváme. Dokonce si nás může označkovat (tzv. cookie – obvyklá a ničím výjimečná nebo zvlášť nebezpečná praxe) a sledovat podrobně naše chování.

Reakce Centra.cz

Na problém mě upozornil blogger Pachollini ve svém článku Centrum.cz vážně narušuje soukromí svých uživatelů. Vysvětluje zde, proč se jedná o problém hodný pozornosti. Zeptal jsem se proto na technické lince portálu Centrum.cz, zda o tomto problému vědí (odkázal jsem přitom na korespondenci, kterou s nimi údajně od podzimu 2005 vedl i blogger Pachollini). Dostal jsem velmi podrobnou odpověď:

„Systém hashovaní je (s úpravami) na službě email od úplného začátku provozu Centra - tzn.od podzimu 1999. Za tuto dobu se tento systém dostal do pozornosti odborníků z internetu několikrát. Je totiž pravdou, že jeho řešení je originální a z mnohých pohledů neobvyklé. Při jeho tvorbě jsme v první řadě hleděli na bezpečnost. Proto se např.nepoužívají cookies, které jsou rizikem při použití počítače jiným uživatelem apod.“ říká jednatel společnosti NetCentrum, s.r.o. Oldřich Bajer.

To je skutečně pravda. Není zřejmě způsob, který by umožnil komukoli přihlásit se na váš účet bez znalosti hesla. O to zde ale nejde. Problém spočívá v tom, že je narušena anonymita uživatelů, servery třetích stran totiž mají k dispozici data, která obvykle k dispozici nedostanou – email svých návštěvníků. Po upřesnění otázky se mi zatím odpovědi nedostalo.

Je otázkou diskuze a nahlížení, nakolik soukromá informace uživatelův email je, ovšem je zřejmé, že některým uživatelům toto může vadit. V úvodu uvedený přiklad s automatizovanou, cílenou reklamou z autobazaru budiž odstrašujícím příkladem. Jiní mohou považovat zpřístupnění přezdívky za maličkost, která si pozornost ani nezaslouží.

Vyzkoušejte si sami

Potřeboval jsem ověřit, zda jde skutečně v praxi získat adresu návštěvníka mých stránek. Založil jsem proto na centrum.cz již zmíněnou experimentální přezdívku x.periment a přihlásil se k Emailu.

I poté, co z emailu vyskočím, řekněme do katalogu nebo do vyhledávání, stránky si pamatují moji přezdívku a přihlášení trvá. To má mnoho výhod a rozhodně to přispívá k uživatelovu pohodlí. Daň za to je ovšem částečná ztráta soukromí ve vztahu ke třetím stranám. Můžete si to sami vyzkoušet.

Na stránce http://referer.xf.cz běží jednoduchý php skript. V podstatě nedělá nic jiného, že zobrazí informace, které má k dispozici každý server, na který při svém brouzdání internetem přijdete. Takto bude stránka vypadat, pokud na ni přijdete z vyhledávače Google:

Test 

My se ale na stránku vydáme přes vyhledávání Centrum.cz. Ujistěte se, že jste přihlášení (1.), a poté hledejte „referer.xf.cz“ (2.) a potvrďte klepnutím na Hledat.

hledat 

Stránka v době tvorby článku ještě nebyla zaindexovaná, ale nevadí, stačí klepnout na vyznačený odkaz, referer funguje stejně.

Přechod na jméno

A je to tady. Na pokusné stránce se objeví nejen naše přezdívka již ve zmiňovaném parametru referer, ale i naše emailová adresa. Jednoduchý skript totiž podle adresy, ze které jsme přišli, zjistil, že přistupujeme z centrum.cz, a že má tedy šanci získat naše podrobné údaje. To se mu povedlo a zobrazil naše uživatelské jméno i adresu.

Jméno a adresa

Zároveň skript okamžitě zaslal na tuto adresu email. Tento postup si můžete sami vyzkoušet! Dokázal jsem tak na jednoduchém příkladu, že zneužití této chyby je velmi snadné a v praxi možné. A co je z pohledu uživatele pravděpodobně nejhorší, tyto informace nemusí být zobrazeny. Firma může na svých stránkách skript provozovat bez vědomí návštěvníka, a to mnohem sofistikovanějším způsobem. Může informace ukládat do databáze spolu s dalšími údaji.

Zneužití je možné i zpětně. Mnoho rozšířených programů pro statistiky totiž zapisuje informace z referer parametru do logovacích souborů. Ty může firma analyzovat i zpětně, a získat tak citlivé informace zde. Nejde přitom o žádný nový trik, webmaster toto dokáže během několika málo minut. Myslím, že je důležité, aby si uživatelé byli tohoto rizika vědomi a sami zvážili, zda pro mě může představovat hrozbu nebo nepříjemnosti.

Jak se bránit?

Některé prohlížeče umožňují předávání informací v parametru referal vypnout. Jiným řešením je odhlašovat se ze svého účtu, kdykoli není přihlášení zapotřebí. Skutečně by však situaci vyřešil pozměněný „systém hashování“, který portál centrum používá. Jak se bránit si můžete přečíst i v tomto článku.

Přečtěte si také:

Autor:

Nepřehlédněte:

Nejčtenější

Miliony uživatelů řeší problémy s Windows 10. Někomu i zrudla obrazovka

Aktualizace Windows 10

Kontrola aktualizací Windows se v poslední době Microsoftu nedaří tak, jak by měla. Nové aktualizace přinášejí řadě...

USA by mohly prohrát omezený konflikt s Čínou, soudí vědci ze Sydney

Americká ponorka USS Hawaii na manévrech RIMPAC 2018 u Havajských ostrovů

Vojenská nadřazenost Američanů v Jihočínském a Východočínském moři je věcí minulosti. Jejich ozbrojené síly jsou...

Kdy ani ochranný oblek nepomůže. Co dokáže granát nebo zákeřná motýlí puma

Podívejte se s námi k pyrotechnikům PČR

„Pokud mě uvidíte utíkat, snažte se mě předběhnout.“ Vtip, který laika pobaví, ale z pohledu pyrotechnika je otřepaný a...

Proč byli někteří dinosauři tak velcí? Měli něco, co savci ne

Jedním z evolučních důvodů gigantických rozměrů sauropodů byla pasivní obrana...

Největší suchozemští tvorové všech dob, pravěcí sauropodi, byli výrazně větší než všechna zvířata, která známe z naší...

Firma chtěla krávy bez rohů. Na zvláštní chybu přišli, než zvíře snědli

Geneticky modifikovaný organismus (v tomto případě kráva)

Americká společnost se pokusila genetickou úpravou skotu zbavit krávy bolesti a chovatele práce. Vytvořila plemeno bez...

Další z rubriky

Software zdarma: sada nástrojů pro údržbu Windows

Ilustrační foto - počítač

Komplexní softwarové čištění pro počítač s Windows včetně hledání duplicit umí HDCleaner. Nevídané tapety na pracovní...

Líný start Windows pomohou nakopnout tyto programy

Ilustrační foto - notebook

Pokud nabíhá vaše PC příliš pomalu, mohou za to některé aplikace, které se startují společně s Windows. Kompletní...

Programy a aplikace pro editaci dokumentů ve formátu PDF

Ilustrační foto - PDF

Pro někoho jsou nedobytné, ale pouze do doby, než objeví užitečné pomocníky. I vy můžete částečně upravovat, kopírovat,...

Akční letáky
Akční letáky

Prohlédněte si akční letáky všech obchodů hezky na jednom místě!

Najdete na iDNES.cz