Chyba na mapy.cz

http://mozektevidi.net/up/seznam-logo.png

Tak po delší době opět zápisek do kategorie IT bezpečnost, aneb další chyba webové aplikace (seznam.cz na mapy.cz)
Celý článek je zveřejněn na mozektevidi.net/clanek/chyba-na-mapy-cz

#1 FantomasS

Chyba? Proč by to měla být chyba? Nebo snad chceš zaujmout titulkem?

date 30.10.2007 Út 19:05
#2 MzK webmozektevidi.net

reakce na »FantomasS 1«: A co to podle tebe je? Chyba by to nebyla, když by seznam.cz normálně nabízel mapy volně ke stažení. Ale protože je nenabízí (přesto jdou získat), je to chyba. Když bych chtěl zaujmout titulkem, tak do titulku napíšu "Hacking mapy.cz" nebo "Mapy.cz komplet ke stažení" a tak dále. Nechápu otazníkovou (natvrdlou) náladu

date 30.10.2007 Út 19:12
#3 p3p3_w0r3m1o webcoolin.webz.cz emailchar.jo©seznam.cz

Jen taková otázka: K čemu ti ty mapy budou? :D

date 30.10.2007 Út 19:51
#4 mr.Crow webdisposed.xf.cz/wordpress

já si myslím, že to chyba není. Že se počítá s tím, že si je někdo může ukládat k sobě.

date 30.10.2007 Út 20:12
#5 lo3k webfreeblog.ic.cz

reakce na »p3p3_w0r3m1o 3«: k čemu mu budou??? to ti vysvětlim princip krádeže: když něco ukradneš máš radost že jsi něco ukradl a ještě větší radost máš když přídeš na to k čemu ti to bude :D


MzKu mám dojem že pácháš trestnou činnost :D

date 30.10.2007 Út 20:14
#6 $uch@rC webvseohw.net

reakce na »lo3k 5«: K čemu mu budou mapy? Prodá je teroristům za pěkný melouny :-D!!!

date 30.10.2007 Út 21:37
#7 MzK webmozektevidi.net

reakce na »p3p3_w0r3m1o 3«: Ani nevím.
reakce na »mr.Crow 4«: Takže když někdo neošetří např PHP injekci, tak to není chyba, jen ten dotyčný nepočítá s tím, že toho někdo využije? A myslíš si, že by někdo ukládal k sobě standartní výstup (tento m3.mapserver.mapy.cz/base/14_80b0000_81a… obrazek? Určitě ne)

reakce na »lo3k 5«: Zase bych to tak nehrotil, co jsem udělal? Vydoloval jsem z mapy.cz trochu větší obrázky, no. To se toho stalo :P

date 30.10.2007 Út 22:33
#8 DarkCraft webdarkcraft.org

Taky nevim proc by to mela byt chyba :)

date 31.10.2007 St 04:04
#9 SUK websuksoft.ic.cz/ emailsukina.cz©seznam.cz

Chyba ze se to da stahnout? V tom pripade je ale chyba i to ze se to zobrazuje v prohlizeci, do nej se to taky stahuje. Mas chybu na webu, dal jsem soubor->ulozit a mam cast webu na disku.

date 31.10.2007 St 10:54
#10 SUK websuksoft.ic.cz/ emailsukina.cz©seznam.cz

Btw, nejses prvni kdo umi stahovat mapy z mapy.cz: suksoft.ic.cz/okynko/picts/vysledny_img.…

date 31.10.2007 St 10:54
#11 MzK webmozektevidi.net

reakce na »SUK 9«: Blbost, můj web můžeš stahovat standartně, na mapy.cz taky můžeš stahovat obrázky, ale to je trochu jiné.
reakce na »SUK 10«: Ta tvoje mapa je ubohá a malá oproti 30MB mapě co jsem stáhnul já. Jakým způsobem to stahuješ ty?

date 31.10.2007 St 14:47
#12

podle mě je to úplně stejné jako když někdo stahuje videa z youtube.com
není to nelegální, není to úplně legální.
taky si myslím že podobné "chyby" tam jsou naschvál, aby měli servery lepší reputaci...
a podobných příspěvků jako PORUŠUJEŠ ZÁKON atd.
bych si nevšímal, neboť každý ňják porušuje zákon (byť to třeba neuvědomuje) a většina lidí určitě stahuje po netu minimálně hudbu...

date 31.10.2007 St 16:05
#13 Subber webmozektevidi.net emailsubber©soom.cz

MzK to je jedna z tvych vlastnosti ktere kritizuju :((((((((. Cos objevil? ze si muzes nechat pomoci parametru poslat obrazek mapy velky 30 MB ktery pokryje neco velkeho? BTW je jedno kolik suk stahnul , jen dokazuje ze to taky umi.

date 31.10.2007 St 16:33
#14 anonym

MzK: Zda se, ze jsi velky hacker :-D. Pridam se k ostatnim, take si totiz myslim, ze toto neni chyba.

date 31.10.2007 St 16:51
#15 MzK webmozektevidi.net

reakce na »já 12«: Určitě to nejsou chyby naschvál, jen programátor zapomenul na to, že někdo může měnit parametry.
reakce na »Subber 13«: Nikdo s tím nepřišel dřív, tak proč né já?
reakce na »anonym 14«: Nikde jsem nespsal, že jde o hacking, pouze jde chybu, změnu pár parametrů, hups a máme 40MB mapy :-D

Pro všechny.. Kdo si také umí stáhnout velké mapy, tak ať si je stahuje dle své vůle.

date 31.10.2007 St 17:22
#16 m.a.t.l.o.s emailm.a.t.l.o.s©seznam.cz

Já si zase myslím že to chyba je. Kdyby to chyba nebyla, umožnil by to seznam trošku "uživatelsky přijatelnějším způsobem". Jasně, snad i moje segra by si ty mapy uměla "naprintscreenovat" a pak dát do hromady třeba v malování, ale MzK přišel na to jak to udělat hodně elegantněji...

date 31.10.2007 St 21:27
#17 SUK websuksoft.ic.cz/ emailsukina.cz©seznam.cz

reakce na »MzK 11«: cite: Jakým způsobem to stahuješ ty?
napsal jsem si skript v C#....Skript rozhodně zveřejňovat nebudu, seznam.cz by nevydržel nápor skript kiddies a spadnul by server.

aneb skoro bez psani jsem napsal odpoved...

m.a.t.l.o.s: chyba to proste neni... aby se mapa mohla zobrazit v prohlizeci tak tam neco takovyho jako tam je byt musi...

btw mam pocit ze tenhle koment jsem uz jednou psal a on odsud zmizel, je to mozne, maze tu nekdo nevhodne komentare snad?

date 31.10.2007 St 22:32
#18 mr.Crow webdisposed.xf.cz/wordpress

reakce na »MzK 7«: PHP injekce je chyba, tohle není chyba.

Ty mapy se odněkud tahat musejí. A když si někdo inteligentnější všimne, odkud, může ty mapy stáhnout. To je jako kdyby někdo považoval za chybu, že jde stáhnout video z youtube...

ale líbí se mi, že sis toho všimnul. To já bych asi jentak nedokázal :-)

date 31.10.2007 St 22:43
#19 mr.Crow webdisposed.xf.cz/wordpress

jestli myslíš, že to chyba je, jak myslíš, že by to mělo být naprogramované, aby to stáhnout nešlo? :-) při každém requestu na nějakou mapu kopírovat spešl mapu, kterou potřebují vytvořit někam do cache a tak ji poslat? to by bylo náročné na procesor, paměť, i místo na pevných discích.

teda možná mě napadá řešení, jak to stahování znepříjemnit - udělat ty parametry mnohem delší a nějakým "rozšifrovávacím" algoritmem z něj dostávat souřadnice, typ mapy, zvětšení... - ale jestli to není zbytečné....asi jo, programátoři seznamu vůbec nejsou hloupí :-)

date 31.10.2007 St 23:00
#20 SUK websuksoft.ic.cz/ emailsukina.cz©seznam.cz

mr.Crow: programatori seznamu hloupi jsou, to je ale detail. V kazdym pripade, opravdu tim to stahnuti bude jenom zneprijemneny, chytrejsi clovek si to zjisti i pres vsechny omezeni. Holt, javascript clovek nikdy neutaji...

date 31.10.2007 St 23:19
#21 w. webwarriant.xf.cz

SUK: zkus si tam někdy pracovat, možná bys i změnil názor. Možná bys i přestal psát věci tohohle typu do diskusí pod články.

date 1.11.2007 Čt 00:25
#22 MzK webmozektevidi.net

SUK: Psal jsem ti email. Pošli mi ten skript na email, mě by zajímalo, jestli na to jdeš stejným principem, nebo nejdeš. C# sice neumím, ale jistě poznám o co ve skriptu jde. Čekám na email.
reakce na »m.a.t.l.o.s 16«: Souhlas! Přes printscreen jsou to chtěl řešit přes rokem :)
reakce na »SUK 10«: Možná nejsem první, ale první jsem s tím přišel a přišel jsem na to sám :-) drobnost ale potěší

date 1.11.2007 Čt 10:30
#23 SUK websuksoft.ic.cz/ emailsukina.cz©seznam.cz

reakce na »w. 21«: ted to beru z pohledu uzivatele. A kdyz se maily ztrati kdesi na seznamu, neni to zrovna moc dobra vizitka pro seznam...
reakce na »MzK 22«: mail mi neprisel. a jeste bych to upresnil - jsi mozna tak kdo o tom jako prvni napsal na blog....

date 1.11.2007 Čt 10:39
#24 RiX webmcdonald.maxengine.org emailmaxi©seznam.cz

Jake promene tam upravujete me to docela zajima hral sem si s tim ale porad nic.... moc.. jen me pls postouchnete spravnym smerem.. dik.. RiX

date 1.11.2007 Čt 12:54
#25 mr.Crow webdisposed.xf.cz/wordpress

reakce na »SUK 20«: vývojáři seznamu jsou vážně dobří. Na české poměry. Jsou podle toho finančně hodnocení.

A jestli mi pořád nikdo nevěří, že programátoři seznamu neudělali žádnou chybu...věřte :-)

..ten můj nápad s znepříjemněním stahovačům má totiž svojí vadu. Nefunguje. Ono je totiž API map volně dostupné. Programátorům map tedy nelze nic vytknout. Žádná chyba...

date 1.11.2007 Čt 17:40
#26 MzK webmozektevidi.net

reakce na »SUK 23«: Email ti přišel.
reakce na »mr.Crow 25«: Já API map ke stahování map nepoužívám :) jedná se o něco jiného.

date 1.11.2007 Čt 18:07
#27 mr.Crow webdisposed.xf.cz/wordpress/

reakce na »MzK 26«: já vím, že to nepoužíváš, já jsem tím chtěl naznačit, že díky existenci API map je jasné, že nemůže být nijak speciálně ošetřeno, aby si to někdo stahoval jak se mu zachce...

date 1.11.2007 Čt 18:51
#28 Davidos webdavidos.ic.cz emaildjerabek©seznam.cz

Mno tak podle mě ten kdo tu hodněkrát kritizoval MzK tak buď závidí nebo určitě neví jak to udělat tak ho "napadaj".

Podle mě je to chyba, nechyba programátorů na seznamu...
Pokud jsi to MzKu zkoušel na předešlé verzi map mohli bychom porovnat, jestli to je chyba či neni.

date 1.11.2007 Čt 19:21
#29 SUK websuksoft.ic.cz/ emailsukina.cz©seznam.cz

reakce na »mr.Crow 25«: Jestli jsou programatori seznamu na ceske pomery dobri, tak to nechci znat ostatni programatory. Jsem uz pomalu ale jiste zaujatej proti seznamu, na svojem cool blogyshku jsem psal prave o jedny myslim si ze o dost zavaznejsi chyba...

date 1.11.2007 Čt 19:48
#30 mr.Crow webdisposed.xf.cz/wordpress/

reakce na »Davidos 28«: závidí? zkus mi teda popsat, jak bys to udělal, aby to stahovat nešlo :-)

date 1.11.2007 Čt 20:19
#31 Subber webmozektevidi.net emailSubber©soom.cz

Hosi , s tim ze ty mapy muze nekdo hromadne vybirat se pocita. Proc jinak by bylo na kazdem kousku geodis. Akorat je tak pojisteny ze je nevyuzijete ve vlastni app protoze letecka mapa by se tezko dokazovala.

date 1.11.2007 Čt 21:02
#32 matej21 webjsemlama.xf.cz/ emailmatej2121©gmail.com

reakce na »teplice «: muzes mi rict vyznam tviho komentare? myslim ze se nebudu mylit kdyz reknu ze tvuj koment je tu jen proto aby byl videt odkaz na tvoje stranky...

a k tematu aby nebyl muj prispevek taky o nicem :-) nejsem si jistej a ani nevim jak to stahujete, mozna to bude napad uplne mimo misu, ale neslo by to zabezpecit tak, ze by byli ty obrazky volany z PHP souboru kterej by kontroloval, jestli se prave nachazim na indexu mapy.cz a jestli jo, tak by zobrazil pres nejaky ty php fce na obrazky, ted nevim jak to je, tu danou cast mapy, takze by potom nebyla videt kde se primo ten soubor nachazi :-) snad ste to pochopili, jestli ne, tak napiste a vysvetlim to lip, i s php ukazkou... :-P

TO Mzk: za chvily bude 5000 koment, jaka bude odmena pro pisatele? :D

date 1.11.2007 Čt 21:45
#33 Davidos webdavidos.ic.cz emaildjerabek©seznam.cz

reakce na »mr.Crow 30«: Myslel jsem jako, že ty ostatní lidi závidí mozku, že na to přišel :)

date 1.11.2007 Čt 22:02
#34 mr.Crow webdisposed.xf.cz/wordpress/

reakce na »matej21 32«: jestli se nacházíš na serveru mapy.cz? i kdyby se to udělalo sebelíp, šlo by to podvrhnout :-P

ale to udělat nemůžou. Protože API map je volně dostupné. Já vím, že se opakuju jak zaseknutá deska, ale ono je to tak, nemůžou ověřovat, jestli jdete z mapy.cz, když si tu mapu může dát na web každej...

date 1.11.2007 Čt 22:08
#35 mr.Crow webdisposed.xf.cz/wordpress/

reakce na »Davidos 33«: však já říkal, že se mi líbí, že na to přišel. Ale že to není chyba. že titulek je špatný.

date 1.11.2007 Čt 22:23
#36 Nobelicek webmozekhovnovidi.net emailcapousek©netzona.cz

reakce na »mr.Crow 25«: Dovolil bych si s tebou nesouhlasit :) Vyvojari seznamu nejsou zas az tak moc dobre financne ohodnoceni :)

date 2.11.2007 Pá 09:46
#37 Nobelicek webmozekhovnovidi.net emailcapousek©netzona.cz

reakce na »matej21 32«: To by ti stejne nepomohlo. Nejde zabezpecit, aby se obrazek z webu nedal stahnout. Proto programtori neudelaliz adnou chybu. Jakmile se ti jednou dostane obrazek do prohlizece tak uz ho mas proste v kompu. Chapete to lidi? To neni chyba. Az mi nekdo ukaze obrazek na webu, kterej se neda stahnout, tak reknu ze je buh, protoze to je uplne to same jako vytvorit perpetumobile.

date 2.11.2007 Pá 09:49
#38 matej21 webjsemlama.xf.cz/ emailmatej2121©gmail.com

reakce na »mr.Crow 34«: reakce na »Nobelicek 37«: ja sem rikal ze to bude mimo misu... tak du vymyslet neco lepsiho... i kdyz to nejde :-D to du radsi vymejslet to perpetum mobile :-P

date 2.11.2007 Pá 10:19
#39 Nobelicek webmozekhovnovidi.net emailcapousek©netzona.cz

reakce na »matej21 38«: Hele udelame sazku. Pokud mi predvedes obrazek ktery se zobrazi na internetove strance ve standartnim prohlizeci bez nutnostni doinstalovavat nejake pluginy a nepujde stahnout, tak odeme dostanes ten nejdrazsi hsoting pro tvuj blog i s domenou dozivotne zdarma :)

date 2.11.2007 Pá 10:49
#40 MzK webmozektevidi.net

Ano obrázky jdou bez problém stahovat, ale jenom takové pidi viz m3.mapserver.mapy.cz/base/14_80b0000_81a…
Ale já jsem přišel na to, jak udělat, aby se zobrazil obrázek 15000x15000 :-)

date 2.11.2007 Pá 11:18
#41 Nobelicek webmozekhovnovidi.net emailcapousek©netzona.cz

reakce na »MzK 40«: Mozku ale to prece neni zadnej problem, kdyz se ti ta mapa natahne do prohlizece :) JEdine v cem ti muzu pogratulovat je to, ze si prisel na parametr ktery ti naidne mapu ve rozliseni, ktere si sam urcis.

date 2.11.2007 Pá 11:30
#42 Nobelicek webmozekhovnovidi.net emailcapousek©netzona.cz

Jinak sem te vcera chtl vzit sebou na vystavu erotika :) Dostal sem totiz VIP vstupenky, jenze sem nak na to zapomnel a nekomus em je dal :D

date 2.11.2007 Pá 11:31
#43 matej21 webjsemlama.xf.cz/ emailmatej2121©gmail.com

reakce na »Nobelicek 39«: tak dobre, dneska na tom zacinam :-D a co takhle kdybych dostal za odmenu celej server? :-D

date 2.11.2007 Pá 12:16
#44 matej21 webjsemlama.xf.cz/ emailmatej2121©gmail.com

reakce na »matej21 43«: a uz dostavam cim dal vic napadu, sice to nebude 100% ale to se casem vyladi :-)

date 2.11.2007 Pá 12:28
#45 matej21 webjsemlama.xf.cz/ emailmatej2121©gmail.com

reakce na »Nobelicek 39«: a jeste dotaz: myslis stahnutim i screen? jestli jo, tak muzu ukoncit vsechnu moji snahu... :-D

date 2.11.2007 Pá 12:44
#46 FantomasS

reakce na »MzK 2«: Měl jsem blbou náladu, ale jinak mám stále stejný názor ...

date 2.11.2007 Pá 13:23
#47 Svestka

Ach pokud obrazek osetris javascriptem tak ten vypnes PHP dela max to ze prevadi scripty na html jazyk takze vysledkem bude stejne zdrojovy kod s obrazkem a uvazoval jsi uz treba nad zobrazit informace o strance / media ve firefoxu ? :D tam mas primo moznost ulozit a tam jsou vpodstate vsechny media ktere mozzila zobrazuje takze pokud obrazek vidim uvidim ho i v mediich kde mam primo tlacitko ulozit :D :D :D

date 2.11.2007 Pá 16:50
#48 MzK webmozektevidi.net

Diskuzi bych asi ukončil. Shrnu to asi následovně:
Ano, obrázky si může ukládat každý m3.mapserver.mapy.cz/base/14_80b0000_81a… a pak je je jednoduše pospojovat do sebe. Tak to řešil SUK (reakce na »SUK 17«: ) v C#.
Nejvíce na to kápnul Nobelíček (reakce na »Nobelicek 41«: ). Ano upravuji parametry, můžu si měnit zoom, typ mapy, souřadnice a dokonce i rozměry obrázku. Není pak problém stáhnout mapu o rozměrech hodněxhodně.

Tím pádem se jistě shodneme na tom, že to chyba je. Pokud je parametr (pro ukázku) width=256, nesmí být možnost změnit ten parametr na width=999999999. To prostě musí být ošetřené.
Navíc ten parametr je pokaždé stejný! Je jedno jak moc mapu zvětšíte, pokaždé se skládá ze stejně velkých obrázků. Proto si myslím, že je parametr width zbytečný, hodnota může být napevno. Proto je to chyba, drobná, ale je.

Čiště hypoteticky, když bych do své website umístil <img src="seznam.server/mapa?width=99999999" /> myslíte, že by se server seznamu při mojí návštěvnosti zapotil? Asi ano, protože (pouze) 2MB obrázek se cca 25s počítá a pak se teprve začne stahovat ke klientovi.
Diskuzi uzavírám :-)

date 2.11.2007 Pá 17:39

© 2008 Oldřich Šálek Zásady ochrany osobních údajů