Fotografický magazín "iZIN IDIF" každý týden ve Vašem e-mailu.
Co nového ve světě fotografie!
Zadejte Vaši e-mailovou adresu:
Kamarád fotí rád?
Přihlas ho k odběru fotomagazínu!
Zadejte e-mailovou adresu kamaráda:
Informace
Bezpečnostní chyba v iDisku
4. října 2001, 00.00 | Mac OS X 10.1 je sice na světě teprve pár dní, ale už má na krku první bezpečnostní skandálek. Připojování k iDisku může znamenat prozrazení vašeho hesla.
Jednou z novinek, kterou přináší Mac OS X 10.1, je podpora protokolu WebDAV. V krátkosti se jedná o protokol, který pracuje na protokolu HTTP, tedy stejném, jako běžné webové servery, ale poskytuje služby obdobné jako FTP – tedy vzdálený přístup k souborům na serveru, s možností uploadu a downloadu.Pomocí WebDAVu se v Mac OS X přistupuje k iDisku, což je virtuální disk o kapacitě 10 MB na serverech Applu, který si v podstatě odkudkoliv na světě můžete připojit ke svému počítači (iDisk je přístupný uživatelům služby iTools, která je zdarma – součástí je i mailová adresa mac.com). Doposud se pro připojení používal vlastní protokol Apple, AppleShare, což ovšem vytváří velké nároky na servery, proto například byla omezena délka připojení disku na 60 minut denně, kromě toho se šlo k iDisku připojovat prakticky jen z Mac OS. Nyní Apple umožňuje připojení i pomocí WebDAVu, a to bez časového omezení a také bez omezení operačním systémem – WebDAV klient je standardní součástí některých Windows a podobně. Pro připojení tímto způsobem není nutné nic speciálně nastavovat, v 10.1 je používán standardně, tedy pokud si vyberete ikonku iDisku v liště nástrojů v okně Finderu, nebo v menu Go.
Bohužel, jak objevila společnost Open Door Networks, v implementaci protokolu WebDAV v Mac OS X 10.1 je chyba, která způsobuje, že při přihlašování se k iDisku je vaše uživatelské jméno a heslo posílané nešifrované, tedy v čitelné podobě pro kohokoliv, kdo může odposlouchávat data na trase. Toto je v rozporu s RFC („normou“) pro WebDAV, protože při použití nechráněného http protokolu (lze používat i chráněný https) se má používat takový přenos hesla, který zabrání jeho získání odposlechem. Z toho vyplývá, že případný útočník se může snadno dostat k obsahu vašeho iDisku a také k obsahu vaší mailové schránky mac.com.
Z hlediska iDisku, resp. celé služby iTools, se nejedná o bezpečnostní chybu, která by snižovala stávající zabezpečení – to je totiž velmi nízké, neřkuli nulové. Při čtení pošty na serveru mac.com není možné zasílat heslo v šifrované podobě, proto, pokud někdo opravdu po vašem jménu a heslu pro iTools opravdu toužil, si ho mohl zjistit již dávno. Pokud jste si tohoto problému byli vědomi, a přesto se snažili uchránit své heslo pro iTools (například přesměrováním pošty na účet, kde je možný přístup s šifrovaným heslem, nebo používáním dvou různých účtů pro poštu a iDisk), řešení je jednoduché – používat starý princip přístupu, tedy prostřednictvím AppleSharu – v panelu připojení stačí zadat afp://idisk.mac.com.
Opravdový problém leží někde jinde – WebDAV, právě i díky možnosti bezpečného přenosu, by se mohl stát standardem, který by, minimálně pro část uživatelů, zcela nahradil službu FTP (která je také nulově zabezpečená). Pokud se tato chyba implementace WebDAVu týká nejen komunikace s iDiskem, ale všech přístupů (z informací Open Door Networks to jednoznačně nevyplývá), jedná se o závažnou bezpečností chybu, která by mohla Mac OS X v očích některých uživatelů výrazně poškodit - systém OS X 10.1 je oficiálně venku teprve několik málo dní. Ostatně, o bezpečnosti Mac OS X bychom mohli diskutovat poměrně dlouho s dost smutným výsledkem. Je potřeba si uvědomit, že Mac OS X je zcela jiný systém, na který budou kladeny v otázkách bezpečnosti jiné nároky než u starého Mac OSu. Doufejme, že se počáteční problémy brzy vychytají a budeme moci o svém systému říct, že je kvalitní po všech stránkách. Zatím to pravdou není ani zdaleka.