س 1 : لدي موقع شخصي، وقد قمت بوضع العديد من المواد فيه على شكل قواعد بيانات وربطتها بصفحات ASP ولكني فوجئت بأن أحد المواقع الشخصية الأخرى قد قام بسرقة قاعدة البيانات الخاصة بي واستخدمها بطريقة مشابهة !! فكيف تمكن من سرقتها علما بأني لم أضع أي رابطة عليها ومن المعروف أن مزود IIS من مايكروسوفت يمنع عرض الملفات في الأدلة !! أرجو التوضيح حتى أحتاط في المرات القادمة !
ج 1 : من المعروف أن أغلب المشرفين على المواقع يقومون بوضع الكثير من الملفات في المساحة المخصصة لموقعهم ولكن ليس من الضروري أن تكون جميع الملفات الموجودة في الموقع مرئية من قبل الزوار. ويقوم المشرفين على المواقع بذلك لعدة أسباب منها أن تكون هذه الملفات لغرض التجربة أو لكونها قواعد بيانات أو لأي سبب آخر.
ونظرا لذلك فإن أغلب مزودات الويب Web Servers تمنع عرض قائمة بالملفات الموجودة في الموقع أو ما يسمى بـ Directory Listing وذلك حتى لا يتمكن الزوار من رؤية الملفات التي لايريد المشرف على الموقع أن يروها. ما حدث في حالتك هو أن هذا الشخص قد تمكن من معرفة اسم ملف قاعدة البيانات الموجودة لديك وتمكن من سحبه كما يسحب أي ملف آخر في موقعك ! ولكن يبقى السؤال هو عن كيفية معرفته لاسم هذا الملف !
والجواب هو في الثغرات الأمنية في مزودات الويب، والتي يتم اكتشافها وإصلاحها بشكل دوري. وبما أنك تستخدم مزود IIS في موقعك فهناك ثغرتان أمنيتان لهما علاقة بما حدث معك.
الثغرة الأولى تتعلق بكشف النص (source code) الخاص بملفات ASP ، حيث يتمكن المستخدم بكتابة العنوان بطريقة معينة من أن يطلع على نص صفحات ASP. وهذا من المفترض عدم حدوثه، ففي نص صفحات ASP يتم تحديد أسماء قواعد البيانات وكلمات السر الخاص بها (إن وجدت) وهذا بلا شك فيه خطر كبير في حالة تمكن زوار الموقع من رؤيتها! فيبدو أن الشركة المستضيفة لموقع لم تقم بإصلاح هذه الثغرة الأمنية، لذا يجب عليك مراسلتهم وطلب ذلك منهم.
الثغرة الأخرى تتعلق بالإصدارة 5 من مزود IIS والتي تحتوي على إضافات جديدة قدمتها شركة مايكروسوفت لمطوري المواقع (Web Developers) ولكن هذه الميزة من الممكن استغلالها بشكل سلبي من قبل زوار الموقع للحصول على قائمة بأسماء الملفات الموجودة في دليل معين في مزود الويب، ومن المحتمل أن هذا هو ما حدث معك. يمكنك أن تطلب من المشرفين في الشركة المستضفية أن يقوموا بزيارة الموقع
http://www.net-security.org/text/bugs/970703043,90499,.shtml لمزيد من المعلومات عن هذه الثغرة الأمنية.
س 2 : دائما أسمع عن أن المتصفحات تمكن اصحاب المواقع من سرقة الملفات من جهازي فهل هذا صحيح ؟
ج 2 : دائما نقول بأنه من المستحيل الحصول على برنامج خال من العيوب، سواء كانت هذه البرامج متعلقة بالإنترنت أو برامج شخصية. ولكن الثغرات الموجودة في برامج الإنترنت تعتبر أخطر من غيرها لأنها تمكن المخترقين من انتهاك خصوصية المستخدم أو إلحاق الضرر به.
من المعروف أن أشهر برامج الإنترنت هي المتصفحات، حيث يكاد لا يخلو جهاز أي مستخدم للإنترنت منها، لذا نلاحظ تركيز الجميع عليها والحرص على سلامتها من الثغرات الأمنية (سواء كانت هذه الثغرة هي سرقة ملفات أو غيرها ) وذلك حرصا على أمن مستخدمي الإنترنت.
ولقد تم اكتشاف الكثير من الثغرات الأمنية في آخر الإصدارات من المتصفحات في الفترة الأخيرة، ولعل أحدثها ما تم اكتشافه في الإصدارة 5،5 من متصفح إنترنت اكسبلورر والتي تمكن المشرف على الموقع من تحديد الملف الذي يريده وسحبه من جهاز المستخدم وذلك بواسطة استخدام تقنية أكتف إكس ActiveX.
كل ما يستطيع المستخدم عمله هو متابعة الموقع الخاص بالتحديثات المقدمة من قبل الشركة المنتجة للمتصفح الخاص به، وذلك لكي يضمن من حصوله على آخر التحديثات (والتي تشمل إصلاح الثغرات الأمنية) وبالنسبة لمتصفح إنترنت إكسبلورر فيمكنك زيارة الموقع http://windowsupdate.microsoft.com/.
س 3 : احاول حذف أحد الملفات التطبيقية في دليل وندوز ولكنه يرفض !! فما السبب وكيف استطيع حذفه ؟
ج 3 : عندما يكون أحد البرامج نشطا (أي انه يعمل) فإنك لا تستطيع حذف ملف هذا البرنامج وذلك لأن النظام يقوم بحمايته (في هذه الحالة يقال بأن الملف .(Locked ويبدو أنك تحاول حذف أحد الملفات التي يقوم نظام ويندوز بتشغيلها، وهذا من غير المستحسن عمله على الإطلاق ! وإذا كنت تريد إلغاء أحد البرامج فيمكنك القيام بذلك عن طريق لوحة التحكم ولقد تحدثنا عن ذلك في الحلقة 147 من طبيب الإنترنت.