הכותרת למעלה היתה יכולה להיות הכותרת מחר במדורי המחשבים (אתם מכירים אותם, הם אוהבים להגזים).
לפני יומיים כתבתי (ולא פרסמתי) פוסט שהסביר על תקלה מאד סתמית במערכת של דקס עליה בנויה הרשת החברתית  TheMarker Cafe, אשר מאפשרת 'לבלבל' את המערכת כך שתחשוב שהנך משתמש אחר ולצפות בחלק (לא גדול) של פרטים שאמורים להיות חסומים.

בבדיקה שעשיתי ראיתי שהאפשרות היתה קיימת גם ב-dex.co.il ואני משער שהיא היתה אפשרית בכל האתרים מבוססי dex (קפה דה מרקר, dex.co.il, בואנה, בנות, קוקה קולה, one, Triviaonet ואני מצטער אם שכחתי משהו).

אתמול בערב שלחתי מייל לחברה' בדקס והתרעתי על העניין ואמרתי שאני מעכב את פרסום הפוסט כדי שיהיה ניתן לטפל בנושא וביקשתי לדעת האם יש כוונה לטפל ותוך כמה זמן והאם יטופל בכל הדקסיות.

לא קיבלתי התייחסות אבל בבדיקה שעשיתי עוד אתמול בלילה היה נראה שהנושא טופל.

היום קיבלתי מייל מאסף גנדלר מ-DEX (מנכ"ל משותף) שהודה לי על פנייתי וציין כי בעקבות באג באחד מהמנגנונים של האתר היה ניתן לראות חלק מהפרטים בחשבונות אחרים והרגיע שלא מדובר בבעיית אבטחה משמעותית וציין שהתקלה תוקנה בכל המערכות שלהם.

 (באג? באמת? באיזה אתר? בקפה? בדקס? באחד מהאחרים?)

אתמול הקפה לא היה זמין בלילה, צירוף מקרים. לא מדובר בתיקון ה"באג" אלא בשידרוג חומרה מתוכנן. אגב, למיטב ידיעתי, בקפה לא ידעו על ה"באג" וגם לא ידעו על התיקון (אין צורך להטריד אותם בשטויות כאלו).

בנימה אישית, יש לי הרבה כבוד לחברה' בדקס אני לא בא להתקוטט עם אף אחד ואני מכבד את התשובה של אסף. אני גם אוהב את הקפה (וממש לא אכפת לי מה אתם חושבים עליו). אני שמח שהבעיה טופלה ולא עניין אותי לרוץ לגלובס או לפרסם פוסט עם תמונות מתוך חשבונות של אדם, יונתן ואסף (ולקבל הזמנה לבית משפט). לשאלה אם בכלל להתייחס בבלוג למה שהיה: בכל זאת, בדקתי, יצרתי קשר ופעלתי במסגרת הבלוג שלי ולכן נראה לי נכון לספר את הסיפור.

את מי שמענין איך היה ניתן להכנס לחשבונות של משתמשים בקפה, או איך לערוך קוקיז (למרות שבתגובת  דקס נטען שה"באג" לא היה קשור למערכת הקוקיז) – ולמי שרוצה לעשות דיבאגינג למערכת של דקס, הנה חלקים מהפוסט המקורי:

17.9.07
….אתחיל מזה שאדגיש שאני ממש ממש לא האקר ולאור זאת, החור הוא באמת חור, לא משהו שצריך לחפש, זה פשוט שם. גם המילה "פריצה" קצת גדולה על זה, התועלת והדברים שאפשר לעשות בחשבון המשתמש האחר, מוגבלים (אני מניח…)

מי גנב ת'עוגיות
המערכת של DEX נמצאת בהרבה רשתות חברתיות בארץ ובאלו שבדקתי קיימת פרצת אבטחה שמאפשרת לראות פרטים מתוך חשבונות של משתמשים אחרים. הכל בעוגיות.

אין ידיים – אין עוגיות
חלק מהפרטים המזהים את המשתמש  אל מול האפליקציה, נשמרים בקוקיז על המחשב המקומי, בין הפרטים בקוקיז נשמר גם ה-ID של המשתמש. כשהמשתמש גולש באתר הוא מזוהה באמצעות הקוקיז, מספיק לערוך את הקוקיז כדי לבלבל את המערכת שתחשוב, במקומות מסויימים, שאתה מישהו אחר.

Look to the cookie Elaine
איך עורכים את הקוקיז בצורה פשוטה? עם התוסף לפיירפוקס Add N Edit Cookies, מאד קל ונוח. מורידים את קובץ התקנת התוסף למחשב ופותחים אותו באמצעות פיירפוקס. לאחר מכן תתווסף אפשרות לתפריט "כלים", בתחתית: cookie editor. לחיצה על אפשרות זו תפתח חלון אשר יציג את כל הקוקיז הפעילים. כאשר עומדים על אחת מהשורות ניתן ללחוץ בחלון על הכפתור "edit" ופשוט לערוך אותה.
כך זה נראה:

עוגי אוהב עוגיות
תהליך ההכנה
1. נכנסים לדף האישי ומסתכלים על ה-URL (כתובת הדף בו נמצאים  כרגע). בתוך הכתובת מופיע קוד המשתמש, נניח: 112233.
2. נכנסים לדף של משתמש אחר ומסתכלים על ה-URL. גם כאן יופיע קוד המשתמש, נניח 778899.
3. לוחצים על cookie editor בתפריט "כלים" מוצאים את השורות המתאימות (נדמה לי ש-i ו-blog) ועורכים את הקוקיז: במקום 112233 כותבים 778899, כלומר במקום ה-ID שלכם רושמים את ה-ID של המשתמש האחר ומבצעים שמירה.
כעת לוחצים בתפריט על "הדף שלי" וראה זה פלא, במקום להכנס לדף שלכם, תכנסו לדף של המשתמש האחר.

עכשיו ניתן להציץ ב"ביקרו אותי", ב"מי ביקרתי" ב"קהילות שלי" (אולי גם להכנס לקהילות חסומות שפתוחות לאותו משתמש, לא ניסיתי), אפשר לבקר אחרים עם המשתמש האחר (וזה ירשם אצלם כאילו הוא ביקר אותם)  ואם יעשה מחקר טיפה יותר לעומק, אולי לבצע דברים נוספים. לא בדקתי. שיגועים וצחוקים.

שווה עוגיה?
למה לא לעשות את זה? ראשית, כי זה לא מוסרי. שנית, כי זה לא חוקי. שלישית, אין בזה עניין אמיתי למעט אם אתה נודניק כמוני ורוצה להציק לגופים גדולים ברשת.

ותודה לנעה היקרה שהרשתה שאכנס לחשבון שלה כדי להסיק מסקנות על עוגיות.

[למען הסר כל ספק, במספר בדיקות שערכתי לאחר המייל מאסף נוכחתי לדעת שבעיית האבטחה תוקנה ואינה קיימת עוד]

קרא פוסטים נוספים בנושא זה:

• Ning בעברית
• Demo למערכת רשת חברתית חינמית
• רשת חברתית בחינם – Ning
• בקרוב רשת חברתית בעברית לכל פועל
• מערכות לאתרי היכרויות בחינם ובעברית