Hlavní navigace

Bezpečnostní díra ve formátu DOC?

Michal Krause 5. 11. 1999

Nedávno jsem obdržel jednu tiskovou zprávu, jak jinak, ve formátu M$ Word (vysvětlovat, že DOC není přenositelný formát, je často jak hučení do dubu). Nejvíce mě na ní však nezaujal obsah, ale něco, co považuji za potenciální bezpečnostní chybu.

Když už se mi nepodaří přesvědčit odesílatele, že DOC je formát dobrý tak na komunikaci v rámci firmy, ale nehodí se vůbec do heterogenního prostředí, jakým Internet bezesporu je, pokouším se ho otevřít čtveřicí programů. První na řadě je catdoc, respektive jeho nadstavba wordview, protože je to nejuniverzálnější a nejrychlejší řešení (pokud nepotřebujete například vytáhnout i obrázky). Druhým na řadě bývá mswordview (pro něj mluví opět rychlost a podpora obrázků, proti je pak skutečnost, že pracuje pouze s verzí 8.0, tedy Word 97). Když neuspěji ani s jednou aplikací, používám demo-verzi Applixware (už mi brzo vyprší dočasná licence :( ) a nakonec pak StarOffice (nerad tohoto bumbrlíčka spouštím).

Vraťme se ale k onomu inkriminovanému dokumentu (abych to upřesnil, šlo o pozvánku na tiskovou konferenci společnosti Sun k zakoupení Netbeans). Jako obvykle jsem spustil wordview a vidím, že tentokrát je něco v nepořádku. Normálně buďto získám text a nebo nic. Tentokrát jsem ovšem viděl text nějak pomíchaně, odstavce byly přeházené a navíc se mezi nimi motaly pasáže týkající se úplně něčeho jiného. V tuto chvíli mě to ještě netrklo, a tak jsem spustil onu zmiňovanou demo-verzi Applixware. Při otevírání mi program oznámil, že při tvorbě dokumentu byla použita funkce Fastsave a že to může vést k nepředvídatelným výsledkům importu. To už mě udivilo. Co je mi do toho, že nějaká aplikace ukládá rozpracovaný soubor na disk rychleji? :)
Nicméně dokument se správně načetl a já jsem si v klidu přečetl první stranu pozvánky. Přeskočil jsem na stranu druhou a co nevidím, zase nějaké nesmyslné pasáže.
Nevím přesně, co umožňuje funkce Wordu Fastsave, ale v každém případě teď díky ní vím, že autor pozvánky rovněž vytvořil dokument, který se týkal společností ŠkoFIN a OB Leasing a že psal také cosi o nějaké školní síti. Pravda, informace, které jsem takto získal jsou téměř nepoužitelné, alespoň bez znalosti kontextu, ale i těch pár znaků, které se v dokumenty zachytily, může být kritických. Docela pěkně by se do toho vměstnalo něco jako „Login je abc, heslo xyz“.

Možná si o mě někdo pomyslí, že jsem paranoidní (přiznávám se, jsem – jak nebýt, když po mě všichni jdou? :). Ale na druhou stranu, právě drobnosti, jako je tato, často stojí za hacknutými servery, neuskutečněnými obchody nebo třeba odhalením milenky manželkou.

Proto všem (uživatelům i vývojářům) opět vřele doporučuji, zaměřit svou pozornost na formáty, které vznikají otevřeně a pod dohledem nezávislých konsorcií. Osobně se domnívám, že lepší jsou v tomto ohledu human-readable formáty, tedy například XML, neboť je možné zařadit i jistou vizuální kontrolu uživatelem (pokud samozřejmě tento bude mít patřičné znalosti a chuť, nikoho nenutím studovat zdroják). Momentální stav, kdy nikdo (co si budeme namlouvat, ani Micro$oft sám, jak dokazuje neschopnost jednotlivých verzí Wordu vzájemně si vyměňovat data) pořádně neví, co se v takovém DOCu nebo XLS může vlastně skrývat, je z dlouhodobého hlediska neudržitelný a to pomíjím minimální množství autory podporovaných platforem – tedy pouze Windows a Mac.

P.S. Možná jde o nějakou již odhalenou chybu programu a já jsem vynalezl kolo. V tom případě se omlouvám.

P.P.S. Omluvte absenci linků na v článku zmiňované aplikace, ale Telecom nám stále ještě neopravil linku a i tento článek jsem musel umístit z vypůjčeného dial-upu z jedné nám kladně nakloněné společnosti, které děkuji alespoň formou tohoto odkazu na jejich stránky.

Našli jste v článku chybu?

19. 12. 2001 16:49

Virgo (neregistrovaný)

Jo - a to ja se uz pred tremi lety smal, ze sejvovani docu mi pripomina coredump... Ted uz se nedivim a uz jsem si jist, ze "dojem, ze v dokumentu je ulozen zasobnik undo operaci z jineho dokumentu" nebyl jen dojem. :-)))

5. 11. 1999 22:14

Hynek Med (neregistrovaný)

Jak uz bylo napsano, Word obcas uklada dokument
pouze jako snapshot pameti od adresy a do adresy b
(trochu jako .sna na Sinclairu, vidte :-), a mozna nejen pri fastsve. Obcas se
stane, ze v dokumentu je uplne suse i uzivatelske
jmeno a heslo..





Vitalia.cz: „Připluly“ z Německa a možná obsahují jed

„Připluly“ z Německa a možná obsahují jed

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Vitalia.cz: Říká amoleta - a myslí palačinka

Říká amoleta - a myslí palačinka

DigiZone.cz: Česká televize mění schéma ČT :D

Česká televize mění schéma ČT :D

Podnikatel.cz: EET zvládneme, budou horší zákony

EET zvládneme, budou horší zákony

Podnikatel.cz: Prodává přes internet. Kdy platí zdravotko?

Prodává přes internet. Kdy platí zdravotko?

DigiZone.cz: ČT má dalšího zástupce v EBU

ČT má dalšího zástupce v EBU

DigiZone.cz: NG natáčí v Praze seriál o Einsteinovi

NG natáčí v Praze seriál o Einsteinovi

Lupa.cz: UX přestává pro firmy být magie

UX přestává pro firmy být magie

Lupa.cz: Avast po spojení s AVG propustí 700 lidí

Avast po spojení s AVG propustí 700 lidí

Vitalia.cz: Jsou čajové sáčky toxické?

Jsou čajové sáčky toxické?

DigiZone.cz: Sony KD-55XD8005 s Android 6.0

Sony KD-55XD8005 s Android 6.0

Vitalia.cz: Paštiky plné masa ho zatím neuživí

Paštiky plné masa ho zatím neuživí

120na80.cz: Bojíte se encefalitidy?

Bojíte se encefalitidy?

Vitalia.cz: Tesco: Chudá rodina si koupí levné polské kuře

Tesco: Chudá rodina si koupí levné polské kuře

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

Lupa.cz: Proč firmy málo chrání data? Chovají se logicky

Proč firmy málo chrání data? Chovají se logicky

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

Měšec.cz: Finančním poradcům hrozí vracení provizí

Finančním poradcům hrozí vracení provizí