Буковинський державний медичний університет

Ви тут

Допомогти з Знайти (нове вікно)
Davydenko Igor
Ілюзія захищеності інформації на веб-сайті
від Давиденко Ігор Святославович - Monday 27 February 2012 08:59 AM
 
Пропоную обговорити тему щодо можливості доступу до інформації з веб-сайту MOODLE.BSMU.EDU.UA без логіна і пароля, без кодових слів.

Нещодавно дізнався, що існують як безкоштовні так і платні програми "офлайн-браузери", які в автоматичному режимі дозволяють робити так зване ДЗЕРКАЛО сайту (копію сайту на своєму комп'ютері). Точність копіювання залежить від можливостей конкретного браузера та особливостей сайта і становить - мініміум 80%, максимум - 100%. Копію можна робити як відкрито - з своїх ІР, так і приховано - з прокси-серверів.

Яку інформацію можна отримати з дзеркала сайта MOODLE.BSMU.EDU.UA? Як мінімум: можна прочитати всі веб-сторінки, включно обговорення на форумах, отримати файли форматів: MS Office (всі), pdf, файли растрової і векторної комп'ютерної графіки, скрипти, ідентифікаційні номера зареєстрованих суб'єктів на сайті (мій номер, наприклад, №117, №2 - Мельничук О.П., тобто "Доктор МОМ", №11 - Ю.Горюнов, №4 - В.М.Ходоровський - можливо, що це незаконно, але я цю інформацію навожу тільки для підтвердження фактів). Можна отримати доступ навіть до "неактивних" файлів - на які немає прямих посилань на веб-сторінках, але які зберігаються в структурі сайта (резерв?).

Отже, можна таємно або відкрито ознайомитися практично із усім контентом, який мав би бути корпоративним.

Хотілось би знати думку шановного товариства про наведену інформацію.
Окреме питання: "Наскілько законна операція створення дзеркала сайта?"
До речі, дзеркало сайта можна кожень день оноволювати, не перезаписуючи весь сайт, а дописуючи тільки нові дані.
Відповісти
Мельничук Олександр Миколайович
Re: Ілюзія захищеності інформації на веб-сайті
від Doctor MOM - Tuesday 28 February 2012 15:26 PM
 
Дуже приємно, що наша професура крім своєї безпосередньої роботи, знаходять ще і можливість зануритись в пізнання темних сторінок інформаційних технологій. Напевно мають багато вільного часу.

Нічого нового у Вашому повідомленні не знайшов. Більшості користувачам інтернету таке робити немає потреби, а при певних діях підпадає під втручання в інформаційні системи та інш. При віддзеркалювані сайту утворюється велика кількість відкритих з'єднань і при певних обставинах це можна розцінити, як DDoS атаку.

Для деяких владних структур, які пережили подібні недавно атаки, повідомлення про користувача, що відзеркалює сайт і викликає збої та перешкоджає роботі інформаційних систем, викличе шквал задоволення.

Щодо "ідентифікаційних номерів" зареєстрованих суб'єктів на сайті. Цінність цих номерів така сама, як номер Вашої кафедри на сайті Вікіпедії

Відзеркалити сайт має можливість лише зареєстрований користувач і відповідно всі дії логуються.

Моя порада. Не варто цим займатись.


Показати джерело | Відповісти
Davydenko Igor
Re: Ілюзія захищеності інформації на веб-сайті
від Давиденко Ігор Святославович - Wednesday 29 February 2012 09:08 AM
 
Шановний, Олександре Миколайовичу. Дякую за відповідь. Прикро, що вона очевидно звучить як погрози. Погрози людині, яка лише проконсультувалася у спеціалістів, і сама не має такої освіти, щоби здійснити якісь складні дії в сфері цифрових технологій. Ваша іронія стосовно вільного часу для мене образлива, вона зовсім не до місця. Мої реальні показники роботи (які Ви, до речі, без мого відома за "проханням" пана І.Ю.Олійника спотворювали на офіційній сторінці сайту БДМУ) свідчать про інше і не Вам судити про мій вільний час - я завжди на виду, весь час на людях, на відміну від тих, хто "ховається" за комп'ютером.

Те, що Ви "нічого нового в моєму повідомленні не знайшли", тим більше прикро - адже, це означає, що Ви нас не попереджаєте про такі можливості. Хоча це Ваша робота. Я чим далі, тим більше переконуюся, що призначення нас (викладачів) "тьюторами" (технічними наповнювачами сайту) є афьора, бо ми не маємо необхідних знань в галузі інформаційних технологій і наперед приречені на серйозні помилки. Особливо небезпечним є можливість порушення законодавства України. Обов'язок наших "спеців" належним чином інформувати нас по своєму фаху. А я Вас за необхідності проконсультую по своєму фаху.

Стосовно DDoS-атак - при віддзеркалювані сайту можна задати одиночний режим відкритих з'єднань. При цьому ведеться протокол. DDoS-атакою це вже ніяк не назвеш. Так що чекаю інших аргументів проти створення дзеркала сайту. Бажано - в законодавчому полі. І без погроз, доброзичливо.

P.S. У веб-браузерах комп'ютерних класів БДМУ зберігається ціла купа логінів та паролів тьюторів БДМУ. Не обов'язково заходити зі свого логіна. Окрім того, О.М.Мельничук, а можливо й інші люди, як адміністратори, мають доступ до всіх логінів і паролів. Висновки очевидні - ідентифікація логіна, не означає ідентифікації особи.
Показати джерело | Відповісти
Мельничук Олександр Миколайович
Re: Ілюзія захищеності інформації на веб-сайті
від Doctor MOM - Wednesday 29 February 2012 10:59 AM
 
Шановний, Ігор Святославович!
Мої коментарі та інформація щодо Вашого останнього повідомлення.

I.C.
Шановний, Олександре Миколайовичу. Дякую за відповідь. Прикро, що вона очевидно звучить як погрози. Погрози людині, яка лише проконсультувалася у спеціалістів, і сама не має такої освіти, щоби здійснити якісь складні дії в сфері цифрових технологій.

О.М.
Чому одразу погрози? Ви запитали, я дав відповідь у разі найгіршого варіанту розвитку подій.

I.C.
Ваша іронія стосовно вільного часу для мене образлива, вона зовсім не
до місця.

О.М.
Вибачте, забув поставити такий смайлик Посмішка

I.C.
Мої реальні показники роботи (які Ви, до речі, без мого відома за "проханням" пана І.Ю.Олійника спотворювали на офіційній сторінці сайту БДМУ) свідчать про інше і не Вам судити про мій вільний час - я завжди на виду, весь час на людях, на відміну від тих, хто "ховається" за комп'ютером.

О.М.
Що мені І.Ю.Олійник, як відповідальний на той час за подання інформації на сайт БДМУ, подав, те я і опублікував. Мене абсолютно не цікавлять Ваші показники роботи і мети фальсифікувати щось у мене абсолютно не було. Розберіться з початку з морально-психологічним кліматом і взаємостосунками з колегами у себе на кафедрі, а потім звинувачуйте мене. Щодо схованки за комп'ютером, то це напевно жарт.

I.C.
Те, що Ви "нічого нового в моєму повідомленні не знайшли", тим більше прикро - адже, це означає, що Ви нас не попереджаєте про такі можливості.

О.М.
Які можливості?

I.C.
Хоча це Ваша робота.

О.М.
Ви читали мою посадову інструкцію? Моя функція в даному випадку, це забезпечення функціонування сервера на якому крутиться Мудл і доступ до нього з мережі Інтернет.

І.С.
Я чим далі, тим більше переконуюся, що призначення нас (викладачів) "тьюторами" (технічними наповнювачами сайту) є афьора, бо ми не маємо необхідних знань в галузі інформаційних технологій і наперед приречені на серйозні помилки.

О.М.
Так скажіть про це на засіданнях ЦМК, вченої ради. Піднімайте питання.

І.С.
Особливо небезпечним є можливість порушення законодавства України.

О.М.
В нашій країні, якщо ти зранку відкрив очі, то ти вже порушив законодавство.

І.С.
Обов'язок наших "спеців" належним чином інформувати нас по своєму фаху. А я Вас за необхідності проконсультую по своєму фаху.

О.М.
Пишіть листи, телефонуйте, заходьте, і я в силу своєї компетенції та наявного рівня володіння фаховими знаннями дам компетентну відповідь. Я не буду бігати за "професорами", "доцентами", "асистентами" і розповідати що можна робити, а що ні, куди і що можна засовувати, а куди не варта.

І.С.
Стосовно DDoS-атак - при віддзеркалювані сайту можна задати одиночний режим відкритих з'єднань. При цьому ведеться протокол. DDoS-атакою це вже ніяк не назвеш. Так що чекаю інших аргументів проти створення дзеркала сайту. Бажано - в законодавчому полі. І без погроз, доброзичливо.

О.М.
Ще раз кажу, ніхто Вам не погрожує. Я акцентував увагу на можливих варіантах. Є бажання, вільне місце на компі? створюйте собі дзеркала сайтів і радійте, що маєте швидкий доступ до інформації. Можу порекомендувати низку сайтів для віддзеркалювання і магазин де низькі ціни на якісні HD.

Переходьте з УкрТелекома до нормального провайдера і буде Вам швідкість доступу до 100 мегабіт в сегменті UA-IX і 30-40-50 мегабіт світу за ті самі або менші гроші.

Мене цікавить одне питання. Підкажіть, як проходити тестування на віддзеркаленому сайті moodle.bsmu.edu.ua і який зберігається локально? Пробували?

І.С.
P.S. У веб-браузерах комп'ютерних класів БДМУ зберігається ціла купа логінів та паролів тьюторів БДМУ. Не обов'язково заходити зі свого логіна.
Окрім того, О.М.Мельничук, а можливо й інші люди, як адміністратори, мають доступ до всіх логінів і паролів. Висновки очевидні - ідентифікація логіна, не означає ідентифікації особи.

О.М.
Це проблема самих тьюторів. З приводу роботи комп'ютерних класів прошу звертатись до відповідальних за їх роботу, а не до мене.

Я, як адміністратор не знаю паролів, я можу лише їх при потребі змінити.
Паролі шифруються за MD5. Навожу свій логін адміністратора - alexadmin і пароль в зашифрованому вигляді - 8bad323f8a693xdb6670b7526f2241f4
Коли розшифруєте, дайте знати.






Показати джерело | Відповісти
Davydenko Igor
Re: Ілюзія захищеності інформації на веб-сайті
від Давиденко Ігор Святославович - Wednesday 29 February 2012 11:39 AM
 
Шановний Олександре Миколайовичу.

1. Не брешіть! І.Ю.Олійник - ніколи не був відповідальним за подачу інформації на нашій кафедрі. Ніколи! Завжди від самого початку був відповідальним І.С.Давиденко, тому що я (Давиденко І.С.) дуже ясно усвідомлюю важливість цього питання. Те, що Ви зробили, кваліфікується в народі словом "підстава". На цьому питанні - крапка, бо воно нікого, крім мене, не цікавить.

Далі.

2. В "Собачому серці" М.Булгакова є всі відповіді. Якщо дуже коротко - кожен повинен займатися своєю справою, тим, на що він учився. Дуже прикро, коли на революційній хвилі чергові, але тільки модернізовані "начальники відділів боротьби з котами Шарікови" та "управдоми Швондєри" намагаються змістити "професорів Преображенських" на свій рівень з надуманими ідеалами. Тут поки що три крапки.

3. Ми не просто взбурюємо повітря, аби "шуміло", кафедра патоморфології готує свої пропозиції щодо проекту змін до "Тимчасового положення про електронний навчальний курс на сервері дистанційного навчання Буковинського державного медичного університету", тому що за 3-5 хвилин, які даються на обговорення на засіданнях, нічого власне обговорити не вдасться (навчальний відділ письмово попереджений). Серед наших пропозицій є інший розподіл відповідальності учасників, який грунтується на фаховому питанні, на відміну від підходу, який називають "кустарщиною".

Хотілось би написати більше, але безпосередні обов'язки не дають змоги багато приділяти часу такій переписці. На кафедрі йдуть заняття та ремонтні роботи. Головну відповідь я отримав - інформація на сайті захищена слабо.
Показати джерело | Відповісти
Мельничук Олександр Миколайович
Re: Ілюзія захищеності інформації на веб-сайті
від Doctor MOM - Wednesday 29 February 2012 17:15 PM
 
Незрозуміло, але чому в кожному Вашому повідомленні Ви прагнете мене образити, вказати, що я не такий розумний, не такий правильний і взагалі не такий, як Ви? Це Вам не робить честі.

Моя Вам порада. Не потрібно ставати на "стежину війни" і пошуку "правди", як це було під час виборчих перегонів.

До Вашого відома, я зараз успішно здобуваю освіту на інженерно-технічному факультеті ЧНУ за напрямком "телекомунікації" і прагну до самовдосконалення. Інформація з сайту vstup.info, проходив би і на бюджет. Шукайте моє прізвище.

Ваші цитати з М.Булгакова я прийму до відома і буду надалі займатись тією справою, яка приносить користь людям, суспільству і сприяє покращенню іміджу нашого університету.

P.S.
Ремонт - справа корисна. Займатись ним і надалі і не читайте на ніч книжок з інформатики і не відвідуйте сайт moodle.bsmu.edu.ua
Я би Вам порадив займатись своєю професійною справою, а не створювати оперативно-інформаційні "сайти" і писати відгуки про себе на univerlife.

Я припиняю з Вами дискусію по питанню топіка теми "віддзеркалення сайтів", не збираюсь витрачати свій час. Є питання, телефонуйте, мої телефони у Вас є.

Показати джерело | Відповісти
Davydenko Igor
Re: Ілюзія захищеності інформації на веб-сайті
від Давиденко Ігор Святославович - Wednesday 29 February 2012 21:28 PM
 
Шановний Олександре Миколайовичу, дякую за припинення ТАКОЇ дискусії.

Було мені дивно, коли я всього лиш з найкращих сподівань захотів з'ясувати, наскільки захищена інформація, яку від мене вимагають викласти на ДК Moodle, а на мене в першій же відповіді виливається купа бруду з брудними натяками, і ще дивніше, коли потім ще "плачуть", бо отримують належну відповідь.

Хоча основне я з цієї неочікувано для мене різкої дискусії зрозумів - терміново потрібне удосконалення в першу чергу організаційних аспектів ДК, але в одночас, багато чого я вже, напевно не дізнаюся - якісь оперативно-інформаційні сайти, univerlive, сегменті UA-IX, alexadmin, MD5, 8bad323f8a693xdb6670b7526f2241f4 і т.д. і т.п. Напевно, це і не потрібно медикам знати - з чого починали, тим і закінчили. Кожному своє.

P.S. А боротися і жити потрібно чесно. Бо не всі навкруги дурні.
P.P.S. В БДМУ (медичному закладі) працює багато людей, а не тільки "доктор" МОМ.
Показати джерело | Відповісти