Kako narediti povezavo do zunanje spletne strani, da bo čimbolj prepoznavna?

Nepravilno:
http://www.replika.si - Računovodski servis replika d.o.o.
http://www.replika.si/storitve.php - Računovodstvo Replika

Pravilno:
Računovodski servis Replika d.o.o.
Računovodstvo Replika

V prvem primeru sem ločil URL povezave in ime strani. Zaradi tega sem izgubil pomembne ključne besede, ki jih iskalniki indeksirajo med povezavami. Poleg tega v prvem primeru nisem določil TITLE značke, ki pripomore k razpoznavnosti vsebine povezane strani.

Sam pogosto uporabljam tudi prvo varianto, sploh kadar je bolj pomemben sam URL povezave, kot dejansko optimiziranje. Lep primer takega seznama je v mojih referencah, kjer so navedeni samo URL-ji.

Moram pohvalit državni portal E-uprava, ker me je danes prijetno presenetil.

Kak teden nazaj sem homologiral predelave na avtomobilu in rečeno je bilo, da bom urejeno homologacijo prejel po priporočeni pošti na dom (kar se bo verjetno zgodilo danes ali jutri).

Kar tako, iz radovednosti sem danes pogledal na E-upravo, pod možnost izpisa podatkov o vozilu (https://e-uprava.gov.si/e-uprava/emrvl.euprava). Kaj sem ugotovil? Predelave so že vpisane!

Prav fino se mi zdi, da je portal tako ažuren, da so spremembe vpisane še preden sem “fizično” prejel izpolnjen kartonček po pošti domov. Bravo, E-uprava!

Ime? Priimek? Morda znamka monitorja, avtomobila, mobitela? Je vaše geslo izjemno enostavno in se verjetno nahaja nekje v slovarju?

Zakaj je uporaba kompleksnih gesel tako pomembna? V slučaju, da izkoristi varnostno luknjo v sistemu, lahko napadalec pridobi dostop do datoteke ali baze kjer so shranjena uporabniška imena in gesla. Ta gesla so sicer kriptirana, a obstajajo metode za razbijanje zaščite.

Gesla v spletnih aplikacijah so velikokrat kriptirana z MD5 algoritmom. Ta algoritem ustvari šifrirano geslo, ki ga je ob upoštevanju varnostnih priporočil skoraj nemogoče razbiti. V praksi se žal izkaže, da v primeru uporabe “slabih” gesel lahko šifrirano geslo razbijemo že v nekaj urah, ali še prej. Gesla, ki so zelo pogosta, pa lahko prosto dobimo na spletu. Za kriptiranje mojih primerov bom uporabil spletno stran http://www.md5encryption.com/.

Vzemimo uporabnika “markol” z geslom “marko”. Predpostavimo, da je geslo v taki obliki dovoljeno za uporabo v sistemu. Napadalec, ki bi dobil dostop do datoteke z gesli, bi v tej datoteki videl sledeč zapis, ki predstavlja uporabniško ime in kriptirano geslo:

markol:c28aa76990994587b0e907683792297c

Na spletu je moč dobiti baze kriptiranih gesel, kjer so shranjena najpogosteje uporabljena gesla, tako da napadalcu ni treba razbijati gesla. Primer take strani je http://gdataonline.com/seekhash.php. Če v okence za iskanje vpišem hash c28aa76990994587b0e907683792297c, se na zaslonu pojavi rezultat:

Podobno se zgodi, če geslu pripišem letnico rojstva. Geslo je v tem primeru sicer dovolj dolgo, a je žal tako pogosto uporabljano, da se ga brez težav dobi v bazah na spletu. Te baze predstavljajo prvi korak napadalca k razbijanju pridobljenega gesla. Rezultati so vidni takoj, napadalcu ni treba niti poseči po programu za razbijanje gesel.

Zgoraj omenjeni primer predstavlja le del možnosti, ki jih imajo napadalci. Največja pomanjkljivost gesla je predvsem dolžina (oz. kratkost). Napadalec lahko nad geslom izvede “brute force” metodo za razbijanje gesel. To je v bistvu ugibanje gesla s poizkušanjem naključnih kombinacij nizov znakov, katerih MD5 bi lahko ustrezal geslu. Poglejmo, koliko časa potrebuje napadalec z zelo hitrim računalnikom za razbitje gesla z ugibanjem kombinacij:

dolžina: 4 znaki, nabor znakov: a-z -> manj kot 1 sekunda
dolžina: 4 znaki, nabor znakov: a-z A-Z 0-9 + simboli -> 4.8 sekunde
dolžina: 5 znakov, nabor znakov: a-z A-Z -> 25 sekund
dolžina: 6 znakov, nabor znakov: a-z A-Z 0-9 -> 1 ura
dolžina: 6 znakov, nabor znakov: a-z A-Z 0-9 + simboli -> 11 ur
dolžina: 7 znakov, nabor znakov: a-z A-Z 0-9 + simboli -> 6 tednov
dolžina: 8 znakov, nabor znakov: a-z A-Z 0-9 -> 5 mesecev
dolžina: 8 znakov, nabor znakov: a-z A-Z 0-9 + simboli -> 10 let
dolžina: 9 znakov, nabor znakov: a-z A-Z 0-9 + simboli -> 1000 let
dolžina: 10 znakov, nabor znakov: a-z A-Z 0-9 -> 1700 let
dolžina: 10 znakov, nabor znakov: a-z A-Z 0-9 + simboli -> 91800 let

Podobne tabele so tudi na naslovu: http://www.lockdown.co.uk/?pg=combi&s=articles

Poleg ugibanja kombinacij “na slepo” se lahko napadalec posluži tudi slovarjev in s tem pohitri čas ugibanja.

Geslo naj zadosti naslednjim kriterijem:
- dolžina vsaj 8 znakov
- uporaba velikih in malih črk ter številk
- geslo ne vsebuje besed, ki se jih dobi v slovarjih, niti imen znamk

Še en dober namig za izbiro varnega gesla, ki si ga ni težko zapomniti:

vir: http://www.redhat.com/docs/manuals/linux/RHL-8.0-Manual/security-guide/s1-wstation-pass.html

1. izberite si verz iz pesmi, ki vam je všeč, npr: The sun is sleeping quietly, Once upon a century

2. prepišite prve znake v besedi (lahko tudi ločila) in upoštevajte velike-male črke: Tsisq,Ouac

3. zamenjajte črke s številkami (o=0, i=1, a=4, s=5, b=8, …), in dobili smo odlično geslo, ki si ga lahko zapomnimo s pomočjo verza: T515q,0u4c.

Malo sem se igral z iskalniki in poiskušal priti do raznih pomembnih osebnih podatkov, da vidim kdo v naši državi najbolj jezi informacijsko pooblaščenko. Iskal sem na razne načine s pomočjo Googla in Najdi.si, da bi dobil kar čimveč podatkov o naključnih posameznikih. Spreten prevarant bi te podatke lahko uporabil za krajo identitete.

Kar sem ugotovil, me je precej šokiralo.

Zanimivo je, kako na spletu ležijo nezaščiteni in javnosti na voljo nekateri sicer zaupni in pomembni dokumenti. Lep primer so pogodbe, ki sem jih prikazal spodaj. Nekaj spretnih prijemov pri iskanju je bilo takoj uspešnih in prišel sem do podatkov posameznikov, ki so sodelovali pri prodaji nepremičnin. Na vseh spodaj prikazanih pogodbah so napisani sledeči podatki: ime, priimek, naslov, davčna št. občana in matična številka občana.

Namenoma sem vse podatke skril, da nebi prišlo do zlorab.

Kaj bi lahko v zgornjih primerih odgovorni naredili, da iskalniki sploh 
nebi prišli do osebnih podatkov?

1. Najlažja različica: administrativna delavka bi že pred objavo dokumentov na spletni strani iz njih izbrisala  osebne podatke.

2. S pomočjo datoteke robots.txt bi skrbnik spletne strani lahko iskalnikom prepovedal dostop do map, kjer se nahajajo dokumenti z osebnimi podatki:

# Začetek robots.txt datoteke
User-agent: *
Disallow: /mapa_z_dokumenti
# Konec datoteke

3. Datoteke, ki vsebujejo osebne podatke, bi objavili le na intranetnih straneh, zaščitenih z gesli.

Najslabša možna oblika neprimerne objave osebnih podatkov:

Brez večjih naporov sem preko iskalnika prišel do nekaj pogodb, kjer je poleg zgoraj navedenih osebnih podatkov tudi podatek o transakcijskem računu pogodbenih strank - navedeni sta številka in poslovalnica banke, kjer je račun odprt.

Se spomnite filma The Net? “To se nikakor ne more zgoditi” je bilo takrat moje mišljenje. V preteklih letih sem ga spremenil. Kraja identitete in varovanje podatkov sta postali pomembni temi, ki se jih mora zavedati vsak uporabnik spletnih storitev.

Se spomnite Clarksona? S pomočjo njegovega imena, rojstnega datuma in številke transakcijskega računa mu je neznanec z bančnega računa prenesel 500 funtov na račun dobrodelne organizacije.

Samo vprašanje časa je, kdaj se bo podoben primer pojavil pri nas. Dvomim pa, da bo denar pristal v rokah tistih, ki ga potrebujejo (kot v primeru Clarksona).