Remove ads
Z Wikipedii, wolnej encyklopedii
Głębokie ukrycie (zwane też zagłębieniem lub niejawną lokalizacją) – praktyka ochrony danych komputerowych, polegająca na umieszczeniu ich w nieprzewidywalnej i trudnej do odgadnięcia dla przeciętnego użytkownika ścieżce dostępu, zazwyczaj połączone z ukryciem faktu zapisania danych w tejże lokalizacji.
Głębokie ukrycie nie jest metodą ochrony czynnej, gdyż nie zabezpiecza przed dostępem do danych; jest natomiast sposobem steganografii, czyli ukrywania istnienia niejawnego pliku. Dostęp do tak chronionych danych posiada każdy, który dysponuje ścieżką dostępu. Z tego też tytułu w bardziej wymagających przypadkach stosowane jest najczęściej wraz z metodami kryptograficznymi, choć nie jest to regułą.
W większości wypadków pliki z danymi osiągalnymi przez użytkownika znajdują się w katalogu głównym witryny oraz tematycznych podkatalogach i posiadają nazwy jednoznacznie określające przeznaczenie i typ pliku. Dla przykładu:
http://example.com/index.htm http://example.com/uzytkownicy/lista.php
Plik poddany głębokiemu ukryciu ma z definicji nazwę oraz lokalizację zupełnie nieprzewidywalną, co ma utrudnić jego rozpoznanie:
http://example.com/29d9283aba927109a289b03812738d89201/2873944786672/10284.pdf
Dodatkowo ukrywany jest przed wyświetlaniem w indeksie katalogów, przygotowywanym zwykle przez serwer WWW (jeśli ta opcja jest w ogóle włączona). Tym sposobem zakłada się, iż tylko osoby znające dokładny adres do pliku będą w stanie go odczytać.
Zgodnie z podaną wyżej definicją, ukrywana informacja jest niejawna lub przeznaczona dla ścisłego grona odbiorców. Nie można zatem nazwać głębokim ukryciem ukrywania np. nazw przechowywanych plików, jeśli te mają być wyświetlane na dowolnym komputerze w sposób inny, niż bezpośrednie otwarcie pliku (dane przechowywane przez CMS-y, systemy forów dyskusyjnych, agregacji pamięci podręcznej i podobne), choć nierzadko błędnie używa się tutaj tej nazwy.
Nazwa „głębokie ukrycie” powstała od określenia, którym pierwszy raz nazwał tę metodę przedstawiciel PKO Banku Polskiego po wykryciu w swoich systemach użycia jej do zabezpieczenia poufnych danych, co spowodowało udostępnienie ich w Internecie[1][2].
Innym znanym przykładem nienależycie wykonanej implementacji głębokiego ukrycia była baza podań o pracę dwóch internetowych pośredników pracy: Terazpraca.pl i Loccoevent.pl[3]. Błędów w wykonaniu tego rodzaju technik dopatruje się także w poważanych, zagranicznych serwisach[4], a także na stronach wsparcia frameworków, języków programowania oraz systemów zarządzania treścią[5].
Ze względu na fakt, iż głębokie ukrycie nie zabezpiecza przed dostępem do danych, a jedynie ukrywa fakt ich istnienia, należy zachować szczególną ostrożność przy jego stosowaniu.
Niezależnie od wszystkich powyższych słabości sama forma udostępniania danych przez zwykły adres może być ryzykowna. Dla odbiorcy takiego linka może nie być jasne, że udostępniany mu zasób jest niejawny. Ponadto jeśli osoba udostępniająca nie ma dostępu do rejestru pobrań, to nawet nie będzie wiedziała, że dane zostały ujawnione szerokiemu gronu odbiorców. Brak mechanizmu klasycznej autoryzacji przy dostępie dodatkowo utrudnia określenie komu zostały ujawnione dane.
Seamless Wikipedia browsing. On steroids.
Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.
Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.