Czy protokół zawiera pewne dodatkowe polecenia?

Jeśli będziesz miał okazję gruntownego przeanalizowania protokołu, upewnij się, że nie czają się w nim żadne niespodzianki. Niektóre protokoły zawierają rzadko używane polecenia, które są bardziej ryzykowne niż polecenia do wykonywania podstawowych zadań protokołu. Przykładem może być polecenie TURN, które pojawiło się w pierwotnej dokumentacji protokołu SMTP. Sprawiało ono, że protokół SMTP odwracał kierunek przepływu poczty elektronicznej: host, który początkowo nadawał pocztę, teraz zaczynał ją odbierać. Chodziło tu o obsługę odpytywania oraz systemów nie podłączonych na stałe do sieci. Twórcy protokołu nie pomyśleli jednak o uwierzytelnianiu: ponieważ w SMTP nie ma uwierzytelniania, nadawcy identyfikują odbiorców, polegając na swojej zdolności do skierowania połączenia we właściwe miejsce. Dzięki poleceniu TURN dowolny host mógł się skontaktować z serwerem, przypisać sobie tożsamość dowolnego innego komputera, a następnie użyć polecenia TURN, aby odebrać pocztę przeznaczoną dla tego komputera. Tak więc mało znane polecenie TURN spowodowało dużą i zaskakującą zmianę w bezpieczeństwie protokołu. Polecenie TURN nie jest już zdefiniowane w protokole SMTP.

Jakie dane przesyła protokół? Jeśli nawet sam protokół jest względnie bezpieczny, wciąż możesz się niepokoić o przesyłane nim informacje. Wyobraź sobie na przykład system autoryzowania kart kredytowych, w którym nie istniałby żaden sposób oszukania lub uszkodzenia serwera przez wrogiego klienta i vice versa, ale numery kart kredytowych byłyby przesyłane w niezaszyfrowanej postaci. W takiej sytuacji użycie programów nie byłoby z natury niebezpieczne, ale informacje byłyby narażone na znaczne ryzyko, wię

Strony: 1 2

Leave a reply

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>