Diit.cz - Novinky a informace o hardware, software a internetu

Server diit.cz je nebezpečný, říká Norton Safe Web. Nemá pravdu (aktualizováno)

Deep in IT - znak d
Tento týden v úterý jsme dostali od jednoho z naších čtenářů ve fóru avízo, že služba Norton Safe Web od společnosti Symantec našla na našem serveru www.diit.cz celkem pět bezpečnostních hrozeb. A protože jsme včera dostali další avízo e-mailem, rozhodli jsme se na to zareagovat veřejně. Předně bychom vás rádi ujistili o tom, že Norton Safe Web nemá pravdu. Ve zbytku článku naleznete logické vysvětlení…

Norton Safe Web má problém s celkem čtyřmi našimi stránkami a jedním u nás umístěným souborem, vizte screenshot:

Norton Safe Web - falešný poplach na serveru diit.cz

Nejprve se podíváme na uvedená bezpečnostní rizika. Jsou celkem čtyři a všechna úplně stejná. Příčinou tohoto problému je náš článek Závažná díra v Internet Exploreru z roku 2004, který je momentálně již upraven tak, jak jsme to našli jinde, aby Norton Safe Web a podobné primitivní detektory nehlásily tato bezpečnostní rizika. Tím rizikem bylo nalezení řetězce, který nyní preventivně uvádíme v obrázkovém formátu tak, jak byl původně zobrazen:

Příčina falešného poplachu služby Norton Safe Web na serveru diit.cz

Jedná se o obyčejný text napsaný ve zprávě a jde o ukázku odkazu, pomocí něhož bylo možné v tehdy popisované díře v Internet Exploreru provádět Cross-Domain přesměrování. Norton Safe Web však nerozlišuje mezi tím, zda je tento text napsán na stránce jako text, který se má zobrazit (což byl náš případ), nebo zda je zaveden v kódu jako odkaz, který se má vykonat (pak by skutečně šlo o bezpečnostní riziko). Vývojáři Norton Safe Webu si zkrátka usnadnili práci a tyto dvě situace nerozlišují. Najdou tento text a označí stránku za hrozbu, víc neřeší (mimochodem z podobného důvodu kdysi britské jeptišky z Internet Watch Foundation označily jistý článek na Wikipedii za stránku s dětskou pornografií kvůli zobrazení obalu alba Virgin Killer od skupiny Scorpions). Další tři stránky obsahují tento text také, protože se jedná o stránky, na nichž se celá výše zmíněná zpráva zobrazí (výpis diskuze, seznam článků z rubriky Bezpečnost a tentýž článek, jen s odkazem bez lomítka na konci).

Nyní k souboru SetupCloneCD5000.exe. Jak asi tušíte, jedná se o instalátor známého programu CloneCD ve verzi 5.0.0.0 (beta), svého času získaný z webu společnosti SlySoft. Kritickou komponentou je pro Norton Safe Web konkrétně soubor checkelbykey.exe, který pravděpodobně (soudě dle jeho názvu) ověřuje instalační klíč k danému programu. Aniž bychom to nějak podobně analyzovali, domníváme se, že jde o falešný poplach, protože takových případů, kdy byly programy pracující trochu více do hloubky s hardwarem, nebo kontrolující/generující instalační klíče, existuje nepřeberné množství a v mnoha případech se skutečně jedná o plané poplachy. Soubor jsme však ze serveru preventivně odstranili. Mimochodem se můžete podívat na výsledky analýzy souboru SetupCloneCD5000.exe několika antiviry na webu VirSCAN.org, překvapivě sám Symantec v tomto případě nic nenašel (jednalo se přesně o soubor z odkazu uvedeného na Norton Safe Web, než jsme jej smazali).

Chtěli bychom vyjádřit své zklamání nad kvalitou Norton Safe Web. Pro nás se tímto jedná o službu nedůvěryhodnou s možností velmi snadno označit web, který je v pořádku, za hrozbu. Stalo se to nám a stát se to může každému, kdo má na svém webu diskuze. Stačí výše uvedený řetězec do diskuze napsat a odeslat příspěvek. Norton Safe Web takovou stránku při procházení pravděpodobně vyhodnotí za hrozbu stejně, jako se to stalo nám. Smutné na tom je, že těmto planým poplachům uživatelé často věří, protože si obvykle neumí ověřit, zda je to pravda, nebo ne. Norton Safe Web tímto způsobem reálně poškozuje dobré jméno provozovatele takové stránky.

My jsme problematický text již ošetřili přidáním podtržítek na určitá místa, soubor SetupCloneCD5000.exe byl pro jistotu smazán. Stránky diit.cz však budou na Norton Safe Web označeny jako hrozba do té doby, než si je jejich automat znovu projde a zjistí, že už jsou v pořádku. To může nějaký čas trvat a je možné, že budeme nuceni provozovatele služby nějak popohnat. Ve skutečnosti bychom my neměli dělat nic a Symantec by si měl Norton Safe Web opravit, protože chyba je každopádně na jeho straně. Je to jakoby vám čidlo na autě pro usnadnění couvání hlásilo, že za autem někdo stojí, přestože by tam nikdo nebyl. Takové čidlo je podle našeho názoru vadné a podle téhož názoru je vadný i Norton Safe Web.

Update 1.3.2010: Tak Norton Safe Web už nás za hrozbu neoznačuje.

WIFT "WIFT"

Bývalý dlouholetý redaktor internetového magazínu CDR-Server / Deep in IT, který se věnoval psaní článků o IT a souvisejících věcech téměř od založení CD-R serveru. Od roku 2014 už psaní článků fakticky pověsil na hřebík.

více článků, blogů a informací o autorovi

Diskuse ke článku Server diit.cz je nebezpečný, říká Norton Safe Web. Nemá pravdu (aktualizováno)

Neděle, 7 Březen 2010 - 20:48 | WIFT | Jenže licenční smlouvu se Symantecem uzavírají...
Sobota, 6 Březen 2010 - 15:11 | Spidla | Vy nejste poškozeni, uživatel Norton Safe Web...
Úterý, 2 Březen 2010 - 11:18 | any.sk | Myslim ze utocit na lidi co delaj tento web je...
Úterý, 2 Březen 2010 - 00:52 | Joey Tribbiani | Ježiš, co furt prudíš? Všichni ti tady jasně...
Pondělí, 1 Březen 2010 - 17:19 | Joey Tribbiani | Zdá se mi, že mefix nedisponuje schopností...
Pondělí, 1 Březen 2010 - 14:56 | mefix | WIFT: Vy a nejspíše i Váš nadřízený (který Váš...
Pondělí, 1 Březen 2010 - 13:48 | WIFT | Ad. první odstavec: Ano, budeme. Máš snad pocit,...
Pondělí, 1 Březen 2010 - 13:31 | tomijasan | no presne z rovnakého dôvodu som ho pred pár...
Pondělí, 1 Březen 2010 - 13:26 | tomijasan | nemá cenu ďalej s Vami na túto tému diskutovať...
Pondělí, 1 Březen 2010 - 08:41 | Lojza Suchánek | Tak nastesti nejde zas az tak o moc...ale: I kdyz...

Zobrazit diskusi