Intro('Reklamnφ k≤d m∙₧e p°edstavovat vß₧nou slabinu bezpeΦnosti webovΘ aplikace. Na strßnkßch, kde je bezpeΦnosti opravdu zapot°ebφ, podle mΘho nßzoru reklamnφ k≤d ve°ejnΘho systΘmu nemß co d∞lat. Pro v∞tÜinu tv∙rc∙ reklamnφch systΘm∙ je d∙le₧it∞jÜφ dostateΦn² v²kon a bohatsvφ funkcφ p°ed bezpeΦnostφ, a je to celkem pochopitelnΘ. ');
<UL STYLE="margin-right:50px;" Class=LinkItem><LI> i za normßlnφho b∞hu reklamnφho systΘmu je Φasto mo₧nΘ propaÜovat do popisek obrßzk∙ vlastnφ k≤d dφky nedostateΦnΘ kontrole u₧ivatelem zadan²ch ·daj∙ - jak je to mo₧nΘ, a jak je to ΦastΘ, popisuje Michal Till v Φlßnku <a href="articles.php@ID=85">NovΘ okno s cizφm obsahem = reklamnφ trojsk² k∙≥</a></UL>
Jako p°φklad nßm poslou₧φ prastarß verze platebnφho systΘmu <a href="../www.ilikeq.cz/default.htm"> I LIKE Q</a> a ji₧ neexistujφcφ reklamnφ systΘm Lin(x). Nejen informativnφ strßnky, ale i strßnky s formulß°i pro provedenφ platby (p°evodu) QΦek obsahovlay standardnφ reklamnφ k≤d Linxe<p>
To je nejhorÜφ mo₧nß kombinace - citlivß aplikace, kde se p°evßd∞jφ penφze, a asi nejnebezpeΦn∞jÜφ forma reklamnφho k≤du, kterß umo₧≥uje provΘst se strßnkou a ·daji na nφ naprosto cokoli.
Nap°φklad nahradit formulß° p°evodu QΦek vlastnφm, kter² zaÜle u₧ivatelovo jmΘno a heslo ne platebnφmu systΘmu, ale ·toΦnφkovi. (Ten pak m∙₧e fungovat jako man-in-the-middle, tak₧e to u₧ivatel ani nepoznß.) P°i troÜe Üt∞stφ Φφst ·daje z formulß°e a n∞kam je "bokem" ulo₧it nebo poslat.
Co je pak platnΘ zabezpeΦenφ systΘmu Vilussion a SSL s drah²mi certifikßty sv∞toznßmΘ CA? Dobrß celkovß bezpeΦnost jist∞ pom∙₧e, krßde₧φ by si z°ejm∞ dohled nad systΘmem nebo u₧ivatelΘ vÜimli, je otßzkou, zda p°ed odΦerpßnφm a prom∞nou QΦek ve skuteΦnΘ penφze, nebo a₧ "ex post". Vklßdßnφ nezabezpeΦenΘho obsahu t°etφch stran do strßnek, p°iÜl²ch p°es https, by browser n∞m∞l povolit nebo si vy₧ßdat souhlas u₧ivatele. V p°φpad∞ http spojenφ se samo°ejm∞ ₧ßdnΘ varovßnφ neobjevφ.
</DIV></FONT></b></i>
<FONT Size=2><DIV Align=Justify Class=Paragraph>
Teoreticky je nap°φklad otev°enφ k≤du v IFRAME bez problΘm∙, obsah hlavnφ strßnky by m∞l b²t v bezpeΦφ, neb se nachßzφ v ·pln∞jinΘ bezpeΦnostnφ domΘn∞. P°ijde mi, ₧e v praxi, bohu₧el, odd∞lenφ k≤du t°etφch stran (nap°. reklamnφho systΘmu) od citliv²ch dat nenφ spolehlivΘ. V nejrozÜφ°en∞jÜφch browserech bylo objeveno spoustu chyb tohoto typu (cross-frame scripting). (Pokud mßte zapnut² javascript a myslφte, ₧e Internet Exploreru nenφ nutnΘ neustßle zßplatovat, doporuΦuji navÜtφvit <a href="../www.guninski.com/browsers.html"> strßnky znßmΘho v²zkumnφka George GuninskΘho.</a>). Chyby v dynamicky generovan²ch strßnkßch zase naopak Φasto umo₧≥ujφ p°evzetφ domΘny strßnky (cross-site scripting). U "b∞₧nΘ" webovΘ strßnky mohou b²t nßsledkem zneΦiteln∞nφ strßnky, p°esm∞rovßnφ nßvÜt∞vnφk∙, Ükody na soukromφ a pod., co₧ je v∞tÜinou p°ijatelnΘ. Ale nap°φklad u platebnφch systΘm∙ jist∞ chrßn∞nΘ hodnoty a zisk ·toΦnφka rostou.
</DIV></FONT></b></i>
<FONT Size=2><DIV Align=Justify Class=Paragraph>
Otßzka pro tv∙rce zabezpeΦen²ch webov²ch aplikacφ: "V∞°φte reklamnφmu sytΘmu jako sami sob∞?". Historie Lin(x)e ukazuje, ₧e takovou d∙v∞ru reklamnφmu systΘmu nelze poskytnout. Doby, kdy nikdo netuÜil, kde bude mφt domΘna linx.cz namesrvery p°φÜtφ hodinu, jsou jsou snad jeÜt∞ v ₧ivΘ pam∞ti. K≤d vlo₧en² jako <SPAN Class=CODE>SCRIPT</SPAN> tedy rozhodn∞ ne. V p°φpad∞ aplikacφ se st°ednφmi bezpeΦnostnφmi nßroky, °ekn∞me feemail, je asi snesitelnß reklama, realizovanß pomocφ ΦistΘho <SPAN Class=CODE>IMG</SPAN>, nebo <SPAN Class=CODE>IFRAME</SPAN>. I kdy₧ by <SPAN Class=CODE>IFRAME</SPAN> teoreticky postaΦoval vÜude, p°imlouval bych se za maximßlnφ separaci. I kdy₧ by sßm dφrou a podmφnkou zneu₧itφ nebyl, reklamnφ systΘm by nap°. umo₧nil snadno a p°esn∞ distribuovat ·toΦn² k≤d, vzu₧φvajφcφ nap°. croos-site scripting. Co tedy zb²vß? Provozovat d∙v∞ryhodn² internφ reklamnφ systΘm, nebo, alepo≥ n∞kde, reklamu o₧elet. Na strßnkßch, kde je bezpeΦnosti opravdu zapot°ebφ, podle mΘho nßzoru reklamnφ k≤d ve°ejnΘho systΘmu nemß co d∞lat.
