Valasztas.hu: csúnya, drága és törékeny
2010. február 23. írta: TuRuL_2k2

Valasztas.hu: csúnya, drága és törékeny

  Jobbikos érzelmű hackerek kurucinfósították a valasztas.hu néhány aloldalát, a szélsőjobbos hírportál terminológiájának megfelelően írták át a Fidesz, a Jobbik és az MSZP jelöltjeit listázó oldalakat: „Maszop maffiózói”, „Zsidesz - Magyar Politikusbűnöző Szövetséget”, „Az egyetlen tiszta párt, a Jobbik által állított nyilvántartásba vett jelöltek és listák”.

  A valasztas.hu feltörhetősége nagyon kínos az oldalt működtető Országos Választási Iroda számára, akik minden választáson sok-sok pénzt (a tavalyi, egyszerűbb lebonyolítású EP-választáson például 1,1 millárd Ft-ot) költenek informatikára. Nem tudni, hogy ennek mekkora része megy a publikus, a nagyközönség számára elérhető honlap fejlesztésére, de ha csak egy százaléka, az eredmény akkor is botrányos. A kereső egyszerűen nem működik, és az egyes választások adatai nem érhetők el egységes felületről, hanem minden választásra új, változatlanul gagyi és csúnya oldalt hoznak létre:

Országgyűlési 1998
Országgyűlési 2002
Országgyűlési 2006

  Ehhez jön még, hogy a jelek szerint biztonsági problémák is akadnak a honlappal - általában egy-egy deface nem túl nagy dráma, de a választási informatika esetében azért ad okot némi aggodalomra, hogy ha a publikus webfelület sebezhető, akkor a kritikus (a választás eredményét adminisztráló) részeknél vajon minden rendben van-e. 

  Pedig az oldal mögött lévő bőséges választási adatbázis ezernyi érdekes, a politikatudomány művelői és az egyszerű politikabuzik számára egyaránt izgalmi állapotot okozó alkalmazást tenne lehetővé: a választókerületenkénti idősoros elemzésektől kezdve, a jelöltek migrációjának követésén át, egészen a mindenféle látványos térképekig. Mindehhez csak egy normális webes felületet kéne kifejleszteni, vasból valószínűleg amúgy sincs hiány, a választásokra megépített erőművek reménytelenül unatkoznak az év fennmaradó részében.

Frissítés: Nem törték fel az oldalt, csak egy url-es trükk segítségével produkálták a módosított kimenetet. A valasztas.hu üzemeltetői viszont úgy oldották meg a problémát, hogy egyszerűen elérhetetlenné tették a regisztrált jelöltekre vonatkozó információkat.

A bejegyzés trackback címe:

https://mandiner.blog.hu/api/trackback/id/tr881783391

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Francois Pignon 2010.02.23. 13:19:29

Ezekben a napokban gyakran látogatom az oldalt, osztom a fenti írás minden sorát.
Az apeh.hu-n, és egyéb kormányzati honlapokon járva is hasonló érzéseim vannak.
Valószínűleg közbeszerzési feltétel lehet, hogy egyszerre legyenek csúnyák, áttekinthetetlenek és használhatatlanok.

TuRuL_2k2 · http://maglyatuz.hu 2010.02.23. 13:21:10

@Francois Pignon:
Az apeh.hu is hasonlóan drámai, százmilliókért-milliárdokért.

sorokinV 2010.02.23. 13:23:33

@Francois Pignon:

Dettó ez a véleményem. Volt párszor szerencsém olyan megbízásokhoz, melyeknél elvileg nyilvános adatbázisokat kellett volna szekunder elemzés alá vetni - szinte lehetetlen feladat. A KSH adatbázisa közröhej. Sokszor az oszlopszázalékok sem stimmelnek. A módszertant rejtegetik, ha valami speckó kérésed van (értsd: alap lekérdezések), akkor általában az adatgazda nyaral és baszhatod a határidőket.
Fel kell szántani az összeset a picsába!

Machiavelli 2010.02.23. 13:25:39

Most tényleg... Mégis miből gondolják a jobbik szavazói, hogy egy ilyen párt, amely ennyire látványosan nem tartja be a törvényeket, gengszter módjára kampányol, hogy egy ilyen párt hatalomra kerülve komoly államférfiakbó/nőkből fog állni és a köztársaság törvényeit fogja betartani és betartatni. Vagy hajrá, gengsztereket a Parlamentbe?

TuRuL_2k2 · http://maglyatuz.hu 2010.02.23. 13:26:47

@sorokinV:
Naná, a KSH még ma is küldözgeti a vaskos borítékait az 5-6 példányban kitöltendő adatlapjaival.

Machiavelli 2010.02.23. 13:27:32

Egyébként azért kapunk ilyen gagyi rendszereket, mert a beruházásnál az egyedüli szempont, hogy a max pénzt hogyan költsük a multik által gyártott hardverekre és szoftverekre és nem az, hogy milyen minőségű szoftvereket írnak rájuk a hazai programozók!

Google 2010.02.23. 13:28:29

@TuRuL_2k2:

Mind szép és jó, valamint nagyon sokba van.
De vajon normális dolog-e, hogy egy ilyen honlapot, kampányban, meghekkeljenek? A választások idején is ez lesz?
Nem az állam tökéletes szétesésének a jele ez?

Pallos Levente · http://www.pallos.tk 2010.02.23. 13:30:30

@Machiavelli: Miért, a Jobbik párt mint olyan tört be a szerverre?

sorokinV 2010.02.23. 13:34:17

@TuRuL_2k2: @Google:

Azt is érdemes volna megvizsgálni, hogy ezek az állami adatkezelő és adatgazda szervek mennyi és milyen minőségű munkaerőt foglalkoztatnak hót' feleslegesen!

Google 2010.02.23. 13:36:41

@Pallos Levente:

Nincs másik (érv)?
Ez már annyira unalmas, hogyaszondja: nincs köze a kurucnak a Jobbikhoz.
Kihez, mihez van akkor köze? Talán a jogállamhoz?

o̝͚̣͔̙̜̜̞͉̺̞̬̖̱͉̼͛̑ͧ́̀̓̈́̓̾̇ͭͣ̆͊͌̑m͕̘̻̬̙̟͔̼̳̬̜̪͕͍̫ 2010.02.23. 13:40:08

kurvanagy törés volt, az URL-ben lehetett megadni azon változó értékét, amelyet utána az oldalba behelyettesített.

a "törés" volumene ahhoz hasonlít, mintha a www.index.hu helyett a www.origo.hu címet írnád a böngésződbe és aztán beszarnál a meglepetéstől, hogy az origo jön be.

eN 2010.02.23. 13:43:16

@TuRuL_2k2: majd az ugyfelkapu2 lemossa a gyalazatot :DDDDDD

movhu 2010.02.23. 13:45:31

@bazmegbazmeg: De ez azt jelenti, hogy egy jól ismert és már publikált hibát tudtak kihasználni...ugyan egy kormányzati oldal webszervere legyen már uptudate, és az oldal kódja is. Lehet azt mondani, hogy bárkivel megesik, hogy megtörik a szerverét, vagy ismert hiba van benne. De egy ilyan oldalban ne legyen. Leginkább annyiért ne, amennyiért csinálják.

TuRuL_2k2 · http://maglyatuz.hu 2010.02.23. 13:46:29

@bazmegbazmeg:
Akkor biztos a dolog jelentéktelensége miatt választották azt az elegáns megoldást, hogy jelenleg a nyilvántartásba vett jelöltek listája egyszerűen elérhetetlen az oldalról. :]

Pallos Levente · http://www.pallos.tk 2010.02.23. 13:47:32

@Google: Miért, a kuruc.info üzemeltetői törtek be?

br · http://www.szalaiannamaria.net 2010.02.23. 13:57:20

1. Az oldal elavult és drága, de legalább egyszerű mint a faék. Nekem is jobban esne egy Atom feedes, AJAX alapú frontend, különböző APIkkal amikkel nyomon lehet követni a választásokat és a friss információkat.

2. Nem nevezném törésnek. A hiba pontos definíciója: en.wikipedia.org/wiki/Cross-site_scripting

A valasztas.hu nem feltörve lett, hanem egy olyan rendszer ami az utóbbi 8 év alatt elavult, látszik hogy érdemi változtatás nem történt és ennek következtében a viszonylag újabb keletű problémakörök, mint az XSS nem kaptak hangsúlyt. Ez egy olyan biztonsági probléma ami nem az adott oldalra veszélyes, hanem valakire, akinek a böngészője megbízik a valasztas.hu oldalban.

3. A választási rendszernek ehhez semmi köze. Ráadásul nem az szavatolja a választás eredményét, hogy mi van az informatikai rendszerben, hanem a választókerületekben dolgozó delegáltak. Ugyanis ők helyileg tudják az eredményeket és azt össze is hasonlítják azzal, ami a központban nyilván van tartva. A választás egy elosztott rendszerű népi játék, ezért is tilos szavazógépekre átállni, mert azokat már lehet a központból manipulálni.

dömper 2010.02.23. 13:58:53

@movhu: a webserverhez ennek semmi köze. Osztom az előttem szóló vélményét, miszerint ez nem a klasszikus weblapfeltörés esete. Tény hogy szarul volt megírva a kód.

kamasuka 2010.02.23. 13:59:22

2002ben azért durva volt, hogy a MIÉP elérte a 4.37%ot este hét előtt, aztán este tízig ott is maradt ...

sertésmájkrém 2010.02.23. 13:59:50

@Francois Pignon: Szar is lenne az erre szánt pénz tizedéből vmi használhatót csináltatni, egyszerűbb megbízni egy baráti céget (vagyis ellopni) 10x annyiért.

Kinyílott a pitypang. Megírom. 2010.02.23. 14:02:49

Fejlődik, fejlődik... és még van 47 nap. Elképesztő távlatok.

Egyebekben a kormányzati informatika nyilván baljaferenci minőségű, milyen is lehetne?

A Jobbik jogállamfölfogásáról meg IQ70 fölött senkinek sem volt kétsége eddig sem. Ahol munkásőrség, meg pártalapítású számonkérőszék, vagy mi a faszom van, ott a kedves tagság és a szurkerek is ezen a nívón izegnek-mozognak.

o̝͚̣͔̙̜̜̞͉̺̞̬̖̱͉̼͛̑ͧ́̀̓̈́̓̾̇ͭͣ̆͊͌̑m͕̘̻̬̙̟͔̼̳̬̜̪͕͍̫ 2010.02.23. 14:02:56

semmit nem törtek fel, nem "hiba", mindössze figyelmetlenség, semmilyen tartalmat nem módosítottak, csupán ha valaki úgy hívta be az oldalt hogy "pina.hu/?csirkefasz" akkor kiírta az oldal hogy "csirkefasz". ha oda mást írt volna bárki, mást írt volna ki. ez a "törés" egyenértékű azzal, mintha regisztrálnál egy vicces freemail.hu-s email címet, majd felkeresnéda hírügynökségeket, hogy te megtörted a freemailt, mert olyan címed van hogy pina@freemail.hu.

sorokinV 2010.02.23. 14:04:16

@sertésmájkrém:

Sose értettem, hogy a felülszámlázás miért vonja maga után a teljesítés elszabotálását. Ötlet?

TuRuL_2k2 · http://maglyatuz.hu 2010.02.23. 14:04:36

@bazmegbazmeg:
Akkor miért vették le a regisztrált jelöltekről szóló infókat, ha minden rendben?

o̝͚̣͔̙̜̜̞͉̺̞̬̖̱͉̼͛̑ͧ́̀̓̈́̓̾̇ͭͣ̆͊͌̑m͕̘̻̬̙̟͔̼̳̬̜̪͕͍̫ 2010.02.23. 14:04:48

@TuRuL_2k2: azért választották ezt a megoldást, mert az egységsugarú újságíróknak picit nehezebb ezt elmagyarázni, mint levenni az oldalt az eredeti helyéről, módosítani két linket is kirakni egy másik helyre

sertésmájkrém 2010.02.23. 14:04:59

@Machiavelli: Ez nem a párt te szerencsétlen, csak egy szimpatizáns.

sertésmájkrém 2010.02.23. 14:06:31

@sorokinV: Mert a lopás a lényeg, eköré szerveznek vmilyen, akár látszattevékenységet. Aki így megkapja a megrendelést és visszaosztja a pénzt, az megbízható elvtárs, viszont jó esetben csak ugatja a témát.

sertésmájkrém 2010.02.23. 14:07:41

@Google: Ha ennyire értesz a jogállamisághoz, próbáld felfogni, amit a srác írt.

sertésmájkrém 2010.02.23. 14:09:32

@TuRuL_2k2: Azért választották ezt, mert gyanúm szerint inkompetens barmok. :)

Nagy összeggel mernék erre fogadni.

br · http://www.szalaiannamaria.net 2010.02.23. 14:10:53

@TuRuL_2k2: Mert ez egy önmagát gerjesztő sztori. Ha nem vették volna le, akkor meg arról szólna a híradás hogy még mindig fel van törve az oldal, JUJUJUJ.

Johnny336 2010.02.23. 14:14:10

Gondolom eljárás indul, visszanyomozzák az IP-t, és kiderül, hogy ki törte fel.
Azért mert azt írom fel a ház falára, hogy Mocskos Újpest!, aláírásnak pedig FTC B-közép nem jelenti azt, hogy én tényleg odatartozom.
Jó dolog az internet, arc nélkül lehet sok mindent elkövetni. Mint pl. ezt a kommentet is. :)

Egyébként csak van már annyi esze a Jobbiknak, hogy nem próbálkozik ilyenekkel.

Mint is mondtak a szocialisták? Fideszes lejáratókampány indult ellenük? :)

Picsasereghajtó 2010.02.23. 14:15:05

Úristen, ezek a tableborderek. Örökre szóló, az internettől történő eltiltással jutalmaznám azt, aki ma ilyeneket használ PÉNZÉRT készült weboldalon. Ha ennyi pénzért, akkor pláne.

Johnny336 2010.02.23. 14:16:32

Bocsánat, kuruc.info magára vállalta a "terrorcselekményt". Akkor ők voltak. Vagy őket is meghekkelte valaki?! :D

Én már nem hiszek el senkinek, semmit.

Google 2010.02.23. 14:18:16

@sertésmájkrém:

Nem tudom. Lendvai Ildikó reakcióját várom. Azt, melyben elmondja, ha találtok egy lakáskulcsot, betörtök vele?
Rettegni akarok.

eax_ 2010.02.23. 14:22:16

@br: Kiprobaltad? Mert ennyibol a reflected xss sem biztos, csak ha szures nelkul pakoljak ki az inputot.

Picsasereghajtó 2010.02.23. 14:24:33

@Francois Pignon: Apeh.hu, na ez meg a másik.

DOC-ban közzétenni 2010-ben bármit? Hol élnek ezek?

Gandalf Garaboncias 2010.02.23. 14:25:10

"Feljelentést tesz az Országos Választási Iroda (OVI) a honlapjával történt keddi visszaélés miatt - közölte az Önkormányzati Minisztérium. A választási ügyekért felelős szaktárca arról tájékoztatta az MTI-t, hogy az OVI szerverére semmilyen behatolás nem történt, a támadó csak olyan "áloldalakat" hozott létre, amelyek azt a látszatot keltették, mintha a www.valasztas.hu oldal részei lennének. Az OVI annak érdekében, hogy kiküszöbölje a honlap adatainak esetleges későbbi, hasonló, az érdeklődők megtévesztésére alkalmas átvételét, átmenetileg leállította az oldal egy részét." (MTI)

br · http://www.szalaiannamaria.net 2010.02.23. 14:25:56

@eax_: Már levették mire a hírt láttam, de szerintem semmit sem szűrtek, nem hiszem hogy lett volna akár egy html entities konvertálás...

heima (törölt) 2010.02.23. 14:27:58

@Francois Pignon: a Pénzügyminisztérium weboldal, na az valami csoda. Mióta eszemet tudom ugyanúgy néz ki, simán 10 év fölött járhat a kora.

Az üvegzseb adatok hozzáférhetősége káosz, ha van adat, akkor is lejárt, eldugva, XLSben gányolt, kereshetetlen vackok, rég egységes portálon kéne gyűjteni minden infot, a magyarorszag.hu használhatatlan, az egész közigazgatási informatika egy romhalmaz.

De szerencsére egy egész MEH államtitkárság van a témára, Baja Ferivel.

helota (törölt) · http://www.bibliotecapleyades.net/biggestsecret/biggestsecretbook/images/biggestsecretbook42.jpg 2010.02.23. 14:30:30

Én azt szerettem volna megnézni, hogy melyik párt hol tudta összegyüjteni a kopogtatókat de teljesen süket az oldal. Nem is értem, hogy hogyan lehetséges ez 2010-ben, hogy egy halott oldallal mennek neki a választásoknak.

Énszóltam 2010.02.23. 14:32:22

@Machiavelli: Te barom vagy. Ez egy átlagos programozó műve, nem a Jobbik kampánya... Ha egy Führer Orbán aktivista leköp egy szocialistát, akkor majd azt mondom, hogy ez a fidesz kampánya és milyen rohadékok. Félsz a Jobbiktól? Van pár kiló vaj a füled mögött?

Énszóltam 2010.02.23. 14:35:08

A hivatalos szervek honlapjait MINDIG lelkes amatőrök csinálják (maximum gábor dénest egy éve végzett emberek, akik X és Y ismerősei), vagy kiadják milliókért mutyi cégeknek a szokásos backward jutalékos rendszerben. Lásd gyakran működésképtelen ügyfélkapu.

fővöcsök 2010.02.23. 14:37:14

"OVI szerverére semmilyen behatolás nem történt, a támadó csak olyan "áloldalakat" hozott létre, amelyek azt a látszatot keltették, mintha a www.valasztas.hu oldal részei lennének. Közölték, a mostani "támadói megoldás" hasonlatos a más rendszerekkel szemben alkalmazott, úgynevezett "ál-elérési" út terjesztésével."

Énszóltam 2010.02.23. 14:38:10

@Johnny336: Ha volt esze a fickónak, akkor az ip egy kínai vagy minnesotai open proxy ip-je lesz.

2010.02.23. 14:55:28

Ez se törésnek, se deface-nek nem minősül, mert server oldali tartalom nem változott. Az illető mindössze egy módosított URL-t ajánlott fel kattintásra.

teknős 2010.02.23. 14:56:57

@Pallos Levente: @Énszóltam: Igen, tudjuk. a kuruc.infonak nincs köze Jobbikhoz. A kuruc.info programozójának sincs köze a Jobbikhoz.

Hiszen Vona kiállt és megmondta, hogy semmi közük hozzá.

teknős 2010.02.23. 14:58:01

@Énszóltam: Nem. Ismeri a Jobbikot. Jobban, mint én.

teknős 2010.02.23. 15:00:42

@Énszóltam: Rossz válasz. Kiadják milliókért mutyi vagy megvesztegetés által bekerülő cégeknek, aztán az al-al-alvállalkozó netto 50e Ft-ért dolgozó programozókkal megcsináltatja.

Pallos Levente · http://www.pallos.tk 2010.02.23. 15:02:14

@teknős: Akkor már csak azt kell tisztázni, hogy a kuruc.info programozójának van-e köze az ügyhöz, és vezetői utasításra tette-e.

dömper 2010.02.23. 15:08:37

@Pisti, az aragorn: ez a legjobb... feljelentést ? muhahahaha, hát ezen be kell szarni... aztán milyen ügyben ? hát ezek vagy totál hülyék, vagy csak így akarják megnyugtatni a totál hülyéket :)

snq 2010.02.23. 15:10:38

>> A visszaélés miatt az üzemeltetővel közösen feljelentést teszünk

úgyhogy mindenki meg lesz baszva, aki obszcén querystringgel gettezte a ottlapot!!4!

Robinzon Kurzor 2010.02.23. 15:15:23

Ami itt fel lett törve, az nagytudású médiamunkás okos kis fejecskéje.

Ez egy médiahack és a Mandíner is beszopta.

Turul_2k2: szerintem ha kollégák megviccelnének egy MSZP-s matricával a monitorod sarkában, akkor azt hinnéd, hogy az egész internetet feltörte az MSZP.

ddance 2010.02.23. 15:16:01

Ügyes húzás volt a Kuruc.info részéről, jól beégették a kormányt...

Itt olvasható a válaszuk:

kuruc.info/r/6/55658/
"Miért "hekkeltük meg" az egymilliárd forintból készült valasztas.hu-t?"

Pallos Levente · http://www.pallos.tk 2010.02.23. 15:26:14

@ddance: Azt hiszem, életemben először jártam a kuruc.info oldalon. Szegény lelkek, mellékesen hogy leleplezték az Indexet azzal, hogy zsindex.hu címen is elérhetőek! Kibújt a szög a zsákból, a zsidók biztos csak azon a domainen keresztül olvassák! :-((

ddance 2010.02.23. 15:31:45

@Pallos Levente: Ezt ki mondta? Korábban olvastam vmelyik blogban arról, hogy az index regisztrálta be és irányította magára a zsindex.hu domaint, vicces alakítás a részükről, az biztos :-)

Az meg elképesztő, hogy milliárdokból egy ilyen szar oldalt csináltak, jól látszik, hogy ellopták a pénzt...

latte · http://midterms.blog.hu 2010.02.23. 15:34:13

Remélni sem merem, hogy a választások hivatalos honlapja valaha sokra lesz képes, kéne valaki, aki az ott megtalálható adatok alapján csinál egy király oldalt.

Pallos Levente · http://www.pallos.tk 2010.02.23. 15:38:29

@ddance: És ezt az óriási titkot most sikerült jól lelepleznie az éber kurucoknak.

Bozdurgán 2010.02.23. 15:50:01

Elég nehéz deface-elni a valasztas.hu-t (legalabbis a dinamikus tartalmait választáskor)ha jól emlékszem valahogy úgy van megoldva, hogy több belső szerverre-re publikálják az adatokat a "szerzők" amik asszem percenként szinkronizálódnak a web felé elhelyezett webszerverekre.

tehát: A web felöl elérhető felületet ha sikerül deface-elni akkor az max 1 percig lesz látható mert jön az újabb frissítés és 100%ban felülíródnak a látható adatok.

Vagy valami ilyesmi, a szendvicsekre koncentráltam amikor előadás volt erről:)Lehet jobban kellett volna figyelni:)

ddance 2010.02.23. 15:53:38

@Pallos Levente: Hát sikerült, áll is a bál, hogy százmilliókat fordítottak a honlapra, miközben hihetetlen primitív és gagyi az egész programozói szemmel... Most hozzá nem értők számára is kiderült. Jól beégtek a szocik, hálistennek.

Laciii 2010.02.23. 16:00:55

@Bozdurgán: ezek szerint legalább a szendvicseken nem spóroltak, a többi gáz.

Bozdurgán 2010.02.23. 16:06:06

@Laciii:

nem állami rendezvény volt, csak meghívott előadókként meséltek a teljes rendszer működéséről.
Nem voltak amatőrök, és a rendszer, is alaposan védett volt.Nem csak a portáért kell egy ilyen érzkény dolognál fizetni, hanem a védett vonalakért,amiből jó sok van ahol beérkeznek az adatok, a döbbenetes terhelésért, a többszörös redundanciáért, és annak a védelméért.
A primitiv portál mögött elég komoly rendszer van.
De nem tudom hogy ki fizetett kinek, ls mannyit,és hogy megérte e.

2010.02.23. 16:08:23

Nem annak a fejével csapkodnék szét egy sziklát, aki 1 milliárdárt szart csinál, hanem annak, aki aláírta a teljesítés igazolást, és a számlát utalásra.
Az b*szta el, de borzalmasan. Nem az a cég aki egy 7-900ezres munkát 1.000.000ezerért csinált meg.

Laciii 2010.02.23. 16:12:31

@Bozdurgán: megnézted te a buherás linket? Lehet előadást tartani bármiről ha a gyakorlatban szörnyen amatőr hibák vannak.
Láttam én már védett vonalat, csak a végén a gyári default jelszóval be lehetett lépni a szerverre :)

Epokit Drive 2010.02.23. 16:15:53

tatabinfo.eu/
Ez egy 83 millás weboldal, a címlapon olvashatók tanúsága szerint.
Az, hogy ebbe az összegbe egy tisztességes dizájn sem fért bele, nem megfeledkezve az amúgy általánosan jellemző összecsapottságról sem, egyszerűen vérlázító.

TheElf · https://www.kalandmester.com/ 2010.02.23. 16:22:25

@movhu: Teljesen normális, hogy letiltották az elérést.

Ugyanis: korábban az lehetett a cél, hogy magán az oldalon, adatbázison ne tudj végrehajtani változásokat. Pl. a front end script ne rendelkezzen írási jogosultsgokkal fontos (pl. a tartalmat tartalmazó, stb) adatbázisokhoz, a nyilvánosan elérhető webserver pedig ne tudjon írni sehova.

Ha nincs regisztráció semmilyen adatbázishoz sem kell írási jog. Megfelelő tűzfal és azt hinné az ember, hogy megvan a biztonság. Az oldalt ugyanis nem lesz könnyű módosítani.

Ideális esetben a publikus weblap egyáltalán nem fér hozzá az adatbázishoz, egy másik servereken futó alkalmazás által generált XML fileokat kap csak meg (HTTPn keresztül). Külön gépen vannak azok a funkciók megvalósítva amik írhatnak is az adatbázisba és külön azok amik csak olvashatnak.

Az olyan paramétereket amik kapcsán lehet SQL injectiontól tartani, stb. ellenőrizni kell a publikus webserveren a script elején, kell ellenőrizni (lehetőleg kicsit máshogy) mielőtt továbbítanád a kérést (hogy XML filet kapj) majd a háttérben dolgozó webservereken (amik az XML fileokat állítják elő) is kétszer. Ugye az XML fileokhoz, az APIhoz kívülről nem férsz hozzá.

A gondot az jelentette, hogy egy dolgot nem gondoltak végig: Hogy az átvett változót kiírni nem szerencsés, s nem csak a deface miatt.

Ha szűröd is az olyan dolgokat amik SQL injection szempontból veszélyesek, kérdés, hogy a HTML tageket is kiszűröd-e? Ez már az usereket fenyegető biztonsági kockázat.

A deface mellett lehet hamis adatokat is kreálni esetleg. Pl. ha valós pártneveket írsz az egyes oldalak fölé, de mondjuk a FIDESZ oldalára a komcsik (nem az MSZPre gondolok, hanem a Munkáspárt féle társaságra)

br · http://www.szalaiannamaria.net 2010.02.23. 17:02:02

@TheElf: Ne haragudj, de az sql injection nem lehet probléma már 2010-ben.

Az összes valamirevaló adatbázis kliens/könyvtár tud prepared statementekkel működni.

XML fájlok? Nem kell ide valami nagy turpisság, a mostani szerverkörnyezet egy statikus oldalakból álló valami, oda elég a rsync oszt jóvan.

Ha meg interaktivitás kell, akkor külön adatbázis, replikált környezettel még az adatok aktualitása is jó.

Arp1 2010.02.23. 17:13:44

Az az alapvető gond, hogy a megrendelők, akik az állam nevében adnak ki megbízásokat, és felügyelik, átveszik a munkákat, ezeknek nagyon gyér informatikai ismerete van. Bármi szemetet hajlandóak megvenni, mert fogalmuk sincs, hogy a kivitelező informatikusa mit csinált. Sőt, még a kivitelező menedzser/projektvezető se ért hozzá, ő csak dumálni tud, meg tartja a (haveri) kapcsolatot a megrendelővel (azon kívül, hogy leveszi a sápot).

A minőségbiztosítás általában faszság, olyan dolgokba kötnek bele, hogy a programokban ki hogy nevezi a változókat, meg százféleképpen le lett-e adminisztrálva minden munka, de olyasmit ami potenciálisan megölheti a rendszert nem vesznek észre, mert ahhoz nem értenek. Eddig egy helyen láttam korrekt minőségbiztosítást, olyat ahol legalább annyit értettek a dologhoz mint a kivitelező, és számon kértek minden buktatót. Azóta már ott is leépítették és kiszervezték az informatikát.

heliox 2010.02.23. 17:21:51

A választási informatikai rendszer kb. éjfélre megmondja, hogy mi az eredmény. Utána hetekig kézzel adogatják össze, és ellenőrzik emberek a szavazatokat kézzel és vetik össze a gépi eredménnyel. És a kézzel készített a hivatalos.

Az eddigi szavazásokon darabszámra stimmelt az informatika eredménye (a hivatalos álláspont szerint). De ha ez nem így lett volna, abból nagy zajt csinált volna valaki, és sosem volt ilyen "zaj".

TuRuL_2k2 · http://maglyatuz.hu 2010.02.23. 17:35:07

@heliox:
Persze, én magáról az aggályról beszélek - az efféle megpiszkálhatóság gyengíti a bizalmat a választás lebonyolításában.

kgl · http://hobbiasztalos.blog.hu 2010.02.23. 17:38:22

A magyarország.hu oldal egy kész rémálom. Itt ülök egy 22"-os monitor elött és csak a képernyő 1/3-át foglaja le a honlap, egyszerüen nem tudom megérteni, hogy miért kell fix szélességüre készíteni egy css-t amikor dinamikusra is lehetne. De ez más honlapoknál is előjön pld ennél a blognál is. A magyarország hu oldalon órákig kerezsgélhet az ember mire megtalálja pld az aktuális áfa jogszabályokat, vagy bármi mást. Az apeh.hu oldal sem különb, értlemetlen sorszámokkal jelölik a bevallásokhoz szükséges progikat és adatlapokat, a megnevezésük meg halandó ember számára érthetettlen. Arról nem is beszélek, hogy sok éves számítástechnikai gyakorlat szükséges ahoz, hogy egy elektronikus bevallást valaki el tudjon készíteni.

TuRuL_2k2 · http://maglyatuz.hu 2010.02.23. 17:40:55

@kgl:
A fix szélességű css-nek elég praktikus oka van: így tervezhető, hogy mit fog látni a kedves olvasó.

brlv24 2010.02.23. 17:42:15

@Epokit Drive:
Hat, azert ez is hagy nem ikivetnivalot maga utan:
tatabinfo.eu/blank/aPrintBlank____PRINT

es ilyeneket sikerult elohoznom meg:

Oka: oci8 error: [936: ORA-00936: missing expression] in EXECUTE("Select prompt_l1 From blanks b Where blank_id=")
Helye: E:\oracle\10g\webApp\dao\Blank.php, 224 sor

kgl · http://hobbiasztalos.blog.hu 2010.02.23. 17:43:46

@TuRuL_2k2: A dinamikus css-el is lehet tervezni csak egy kicsit többet kell tesztelni a honlapot mielött élesbe bedobod.

elfelejtette 2010.02.23. 17:47:33

@kgl: Peldaul azert, mert a rugalmas szerkezet nem teszi lehetove a normalis tordeleset a szovegeknek, a kepnek. Mar reg nem hasznalatos. Ettol meg lehet jo vagy rossz egy oldal.

kgl · http://hobbiasztalos.blog.hu 2010.02.23. 17:55:41

@elfelejtette: Simán meg lehet oldani a tördelést is ha rejtett táblázatba rakod, csak ugye valami barom kitalálta hogy a táblázat használat nem trendi.
Egyáltanál elgondolkodott már azon 1-2 programozó, hogy mia fenének gyártják az a kibaszott széles monitort, ha nem használják ki? Nem mindenki filmnézésre használja sokan olvasnak rajta és akkor kibaszottul zavaró ha egy keskeny szart kell bámulniuk ráadásul 4-5-ös betümérettel.

vagyok59 2010.02.23. 17:58:43

Ez nem feltörés, hiszen a tartalom nem változott meg, abba nem nyúltak bele. Egy változónak adtak egy paramétert (címet) és úgy hívták be a lapot, majd csináltak róla egy képernyőképet. Ez értelemszerűen csak az ő böngészőjükben jelent meg igy, a többieknél normálisan jelent meg.

Ezt inkább humornak nevezném, bár egy milliárdért megengedhette volna az OVB, hogy weblapjával ne humorizáljanak, nem került volna milliókba, még százezrekbe sem.

A Jobbik demokráciafelfogását kár ezzel keverni, hiszen a módszer lényege, hogy NEM nyúlnak bele a tárhelyre, nem is kell. Tehát nem törnek fel semmit. Ezen egy jót lehet röhögni, esetleg azon elkeseredni, hogy kapott a programozó cég egy vagon lóvét, de egyik sem demokráciaellenes.

raklap 2010.02.23. 18:13:42

1 vagy én vagyok hülye vagy nem tudom... de hogy ez nem törés az kurvaisten... ez kb annyi mintha photoshop-ba a screenshoton átirom a a pártok nevét... attól az oldal nem lesz meghackelve... ergo ezt a pártok átirt nevét senki nem láthatta csak aki külön begépeli az böngészőbe a hülyeségét... vagy olyan url-re kattint emilbe vagy valamire amiben át van irva...

akkor ennyi erővel az index is fel van törve hasonlóképpen meg lehet nyitni az index.hu-t és utánna bemásolni a következő kódot a böngésző cimsorába majd nyomni egy entert.

javascript:R=0; x1=.1; y1=.05; x2=.25; y2=.24; x3=1.6; y3=.24; x4=300; y4=200; x5=300; y5=200; DI=document.getElementsByTagName("img"); DIL=DI.length; function A(){for(i=0; i-DIL; i++){DIS=DI[ i ].style; DIS.position='absolute'; DIS.left=(Math.sin(R*x1+i*x2+x3)*x4+x5)+ "px"; DIS.top=(Math.cos(R*y1+i*y2+y3)*y4+y5)+" px"}R++}setInterval( 'A()',5); void(0 );

Herr SturmLikudnik · http://archiregnum.blog.hu/ 2010.02.23. 18:49:44

Áhhh, hiba a mátrixban... na lássuk:

a) Csúnya.

Hát istenem, ez nem az Avatar3D. Egyéb haladó országok választási honlapjait (már ha van) végigböngészve sem javul a helyzet éppen. Puritán a labancz szerver is:

www.bmi.gv.at/cms/bmi_wahlen/

De a kedvencem a szlovák:

www.statistics.sk/struk/volby.htm

b) Drága.

Magyarország, közbeszerzés. Nincs Idom ügy, Free Zuschlag és hajrá BKV. Vagy elfújja a szél, mint az olajos aktákat.

c) Törékeny.

Következik b) pontból. Elég érdekes lesz, ha a Jobbik mondjuk másodikként jut a parlamentbe. Majd Mesterházy példátlan ónáczi kuruc-hekker szavazáscsalásra fogja az eredményt, újraszámolást követel és tolószékes öregpartizánok hídfoglalnak.

Mit tehetünk, ha hiba van a Mátrixban? Lássuk tudományos alapon:

1. Egy emberi sejt 75 MB-nyi genetikai információt tartalmaz
2. Ezért egy spermium 37,5 MB-t információt tartalmaz
3. Egy ml spermában 100 millió db spermium található
4. Az ejakuláció során 5 mp alatt átlagosan 2,25 ml sperma szabadul fel.
5.A számításokból megállapítható, hogy a férfi hímvessző adatáteresztő
képessége (37,5 MB x 100 MB x 2,25)/5 = 1687,5 Terabite/sec
6. Ebből adódóan megállapítható, hogy a női petesejt képes elviselni 1,5
Pentabite/sec-os DDoS támadást, miközben az estek túlnyomó többségében
csak egy adatcsomagot enged át.
Ebből adódóan ez a legjobb hardweres tűzfal a világon!!!

SH4RK 2010.02.23. 19:34:28

Höhö, azért tegyünk tisztába dolgokat:
1. Úgy nyomtak ki felhasználótól várt adatokat (igen, az URL-ben a NEV változó értékét) az oldalra, hogy nem is ellenőrizték annak tartalmát. Simán lehetett volna kártékony JavaScript kódot bemásolni, így akár mások gépéről adatokat lopni
2. egyáltalán kinek jut az eszébe, hogy simán kinyomjon egy adatot URLből az oldalra, ha statikusan is meg lehetne csinálni???
3. publikus fájlban elérhető (volt) egy adatbázis szerver IP címe, felhasználóneve, és jelszava, ráadásul ezek megegyeztek az alkönyvtár nevével. Jelszópolitika teljes hiányát mutatja
4. ha nem sikerül a bemenő paramétereket ellőrizni, hogyan várható el, hogy mondjuk a keresés ne rejtsen SQL Injection lehetőséget?

Machiavelli 2010.02.23. 20:26:29

Kedveseim! Teljesen félreértitek a helyzetet! Nekem nem azzal a programozóval van a bajom, aki ezt megcsinálta, mert de jure nem követett el bűncselekményt, ugyanis nem változtatta meg az informatikai rendszerét a valasztas.hu-nak! A baj az, hogy ezt a Jobbik nem tudhatta és cinkosan összekacsintva kussolt az esetről, nem határolódott el tőle, pedig ugye közvetlenül érintettje, haszonélvezője volt az esetnek. És egyetértett a bűncselekménynek hitt dologgal, mert nem tiltakozott ellene. Kb ezt várhatjuk tőlük, ennyire tisztelik azt a törvényt, amiért fel akarnak esküdni a Parlamentben!

snq 2010.02.23. 20:39:19

közben méltóztattak újra elérhetővé tenni a listát, de a főoldalra csak sikerült egy "hamis oldalak jelentek meg az interneten" hülyeségtetézést odakanyarintani

ddance 2010.02.23. 21:16:09

@Machiavelli: Te nagyon fárasztó vagy, mit próbálod a Jobbikot mocskolni és hazudozni? Itt arról van szó, hogy ellopták a pénzt, és az oldal egy nagy kupac szar. Egyébként a Kuruc.infón leírták érhetően, mi történt, röhejes:

"A nagyjából egymilliárd forintból létrehozott (valójában ellopott) választási honlap aloldalainak linkje ilyen primitív szerkezetű volt: valasztas.hu/akarmi.jsp&NEV=Magyar Szocialista Párt. Ha a link végét átírjuk, például arra, hogy ...&NEV=Balf@sz szocik, és így beütjük azt a böngészőbe, akkor ez szöveg jelenik meg a párt neve helyett az OVI honlapján, a jelöltállítási lista felett - ennyi lenne tehát a "brutális és durva támadás"... Azt azonban jól mutatja, hogy százmilliókból milyen gagyi oldalt létesítettek."

nsn (törölt) 2010.02.23. 21:21:43

Valaki ismeri a null nevű pártot? Úgy néz ki ők is indulnak a választáson. :)

www.valasztas.hu/pv10vt/j24p.jsp?JLCS=

snq 2010.02.23. 21:25:36

@nsn: íme az újabb bizonyíték a törésre. nincs mese, törvényileg kell tiltani a defacetagadás

teknős 2010.02.23. 21:38:44

@ddance: Csak ott van a probléma, hogy Jobbik hallgatott, mint egy csuka. Vagyis bizonyítja, hogy tudtával és beleegyezésével történt a "heckelés". Ezen persze senki sem csodálkozik

Mivel a kuruc sokszorosan sérti a magyar törvényeket,ezért bizonyítja, hogy a Jobbik törvénytelen.

Az erkölcs nagy bajnokai semmiben sem különböznek a cigányoktól. Éppen úgy sajátosan értelmezik a törvényeket, akár az általuk annyira elitélt népcsoport.

Persze lehetne azt mondani, hogy ez az állam nem a tiétek, de akkor cselekedni kellene. De ahhoz gyávák vagytok.

Picsasereghajtó 2010.02.23. 21:44:38

A zsindex.hu domain név állapota: Bejegyzett
További információk:
* DNS rekord
* Domain-igénylő vagy domain-használó -- Index.hu Informatikai Zrt.

Ez kivételesen nem a kuruc trükkje, hanem valóban önkritika az Index részéről :)

www.domain.hu/domain/domainsearch/?domain=zsindex&tld=hu

Bemmbemm · http://nemzeti-radikal.blog.hu/ 2010.02.24. 17:53:22

@teknős: szánalmas ember vagy a fröcsögéseddel együtt. Nincs olyan bejegyzés, amiről ne sütne a GYŰLÖLETED a Jobbikról. Te és a hozzád hasonló emberek sokkal veszélyesebbek, mint bármely radikális.

És ezt halálosan komolyan gondolom.
süti beállítások módosítása