InDefence getur ekki sannað fullyrðingar sínar um IP tölunar

Fullyrðingar InDefence um það að Rúv, Stjórnarráðið og fleiri hafi sett inn falskar undirskriftir á listann eru uppspuni InDefence að mínu mati. Ástæðan er mjög einföld, í þeim vefsíðukóða sem ég kemst í (View – Page Source) er ekkert sem bendir til þess að kóði vefsíðunar loggi IP tölur á sama tíma og undirskrift á sér stað. Reyndar er það þannig að þarna er ekki neinn kóði sem loggar IP tölur til staðar eftir því sem ég kemst næst.

Fullyrðing InDefence er sett svona fram í fjölmiðlum.

Í yfirlýsingu frá Indefence hópnum segir: „Þessar ógildu undirskriftir komu frá mörgum IP tölum, en þ.á.m. voru IP tölur Hagstofunnar, Stjórnarráðsins, RÚV og Fréttablaðsins. InDefence hópurinn telur ekki að þessir aðilar standi á bak við árásina á undirskriftasöfnunina, enda var lítill hluti ógildra undirskrifta frá þeim. Hins vegar undraðist hópurinn þá tilviljun að viðkomandi undirskriftir hafi borist á þeim tíma sem árásin stóð yfir. Við viljum taka fram að í tilviki Fréttablaðsins var aðeins um eina ógilda undirskrift að ræða og það hefur komið skýring á henni frá blaðamanni sem var með rangri undirskrift að prufa kerfið. InDefence hópurinn tekur þá skýringu fullkomlega gilda.“

Þegar ég skoðaði kóða vefsíðunnar (View – Page Source), þá finn ég einfaldlega ekki þann kóða sem ætti að halda um IP tölu skráninguna um leið og kenntitala og nafn er skráð á vefsíðunni.

Java kóðinn sem sér um kennitöluna lítur svona út.

<script type="text/javascript" src="http://ajax.googleapis.com/ajax/libs/jquery/1.3.2/jquery.js"></script>
<script type="text/javascript" src="jquery.numeric.js"></script>
<script type="text/javascript">
$(document).ready(function() {

$('#nanar_btn').click(function() {
$(this).fadeOut();
$('#nanar').slideDown();

return false;
});

$('#id_kennitala').numeric();

});
</script>

Kóðinn sem sér um skráninguna sjálfa lítur svona út, en hann er tengdur java kóðan hérna að ofan.

<form id="undirskrift" method="post">
<div id="nafn_field" class="field">
<label for="id_nafn">Fullt nafn:<span class="red">*</span></label><input value="" type="text" name="nafn" id="id_nafn"/> </div>

<div id="kennitala_field" class="field">
<label for="id_kennitala">Kennitala:<span class="red">*</span></label><input value="" type="text" name="kennitala" id="id_kennitala" maxlength="10"/> </div>

<div id="netfang_field" class="field">
<label for="id_netfang">Netfang:</label><input value="" type="text" name="netfang" id="id_netfang" />
</div>

<span style="margin-left:-60px; width:400px;float:left;clear:left;color:#666;font-size:11px;text-align:left;">
<ul>
<li style="margin-bottom:3px;">Netföng verða undir engum kringumstæðum afhent þriðja aðila.</li>
<li style="margin-bottom:3px;"><u>Rangar skráningar</u> verða <u>fjarlægðar jafn óðum</u> og undirskriftarlistinn verður <u>borinn saman við þjóðskrá</u> áður en hann verður afhentur forseta Íslands.</li>

<li>Allar ip-tölur eru skráðar.</li>
</ul>
</span>

<input id="submit" type="submit" name="submit" value="Undirrita áskorun" />

Þarna sést greinilega, og reyndar þegar öll vefsíðan er skoðuð á kóðastiginu að það er ekki nein leið fyrir InDefence að flokka í sundur IP tölur þeirra sem skrá sig á vefsíðunna, og þeirra sem eru bara að skoða vefsíðuna.

Ég tek það þó fram að ég er ekki snillingur í að lesa svona kóða, og því er alltaf möguleiki á því að ég sé að meta þennan kóða vitlaust og InDefence raunverulega skrái IP tölunar með hverri undirskrift (geta t.d gert það í java kóða sem ég hef ekki aðgang að, það hinsvegar er ekkert sem bendir til þess að slíkur kóði sé til staðar hjá þeim). Hinsvegar þegar ég skoða vefsíðukóðann þá einfaldlega sé ekki kóðan sem skráir IP tölunar með hverri undirskrift. Hann er einfaldlega bara ekki til staðar þarna þegar ég er að skoða kóðann. Það er þó alveg ljóst að þjónnin sjálfur skráir IP tölunar við hverja heimsókn í log skrár sem eru hýstar á sjálfum þjóninum og skrá hverja heimsókn á þjónin, óháð því hvað þær gera og hversu lengi þær eru á vefsíðunni.

Á vefsíðu InDefence er ekki einu sinni að finna teljara kóða frá þriðja aðila, eins og t.d Google Statics og álíka aðila. Þarna er eingöngu kóði fyrir Facebook og Twitter tilvísun, og það hjálpar þeim ekkert varðandi IP tölunar.

Ég tek það fram að ef ég hef rangt fyrir mér, þá mun ég leiðrétta mál mitt án vandamála. Ég hef vistað afrit af vefsíðu InDefence ef þeir taka uppá því að breyta henni og krefja mig síðan um afsökunarbeiðni.

Fréttir af þessu máli.

Fleiri mótmæla Icesave en fjölmiðlafrumvarpinu

9 Replies to “InDefence getur ekki sannað fullyrðingar sínar um IP tölunar”

  1. Þetta er áhugavert hjá þér, bíð spennt eftir hvort hægt að afsanna þetta!

    Verð þó að viðurkenna að yrði ekkert voðalega hissa ef það verður ekki hægt. InDefence er nefnilega ein af þeim „stofnunum“ þjóðfélagsins sem á erfitt með að treysta.

  2. Þú misskilur. ip talan fylgir öllum aðgerðum sem fara yfir á vefþjón, þannig að þegar formið „undirskrift“ er send (postað) á vefþjón fylgir ip tala alltaf með aðgerðinni. Það er (eiginlega) aldrei þörf á því að meðhöndla ip-tölu á vefsíðunni sérstaklega.

    Aftur á móti er ekkert athugavert við að þessir aðilar séu að prófa að póst fölskum nöfnum – þegar frásagnir fóru að berast af því að hægt væri að skrá hvaða nafn sem er á listann skil ég vel að fjölmiðlar og starfsmenn ráðuneyta hafi viljað staðfesta það – enda kemur fram í yfirlýsingu indefence að þetta séu fá tilvik frá öllum aðilum.

  3. Matti, sendir þá formið IP töluna, vafraútgáfu upplýsingar osfrv, með skráningunni ? Ég allavegana skil þetta ekki öðrvísi hjá þér. Eins og ég segi, þá er ég ekki snillingur í að lesa svona kóða og á mjög einfalt með að lesa svona vitlaust.

  4. Hvar er sá kóði geymdur ? Ég er ekki að sjá slíkan kóða á vefsíðunni. Ég tek auðvitað fram að það sé alltaf möguleiki á að þetta sé kóði sem ég hafi ekki aðgang að.

    Það sem InDefence dettur svo sem ekki einnig í er sú staðreynd að það er hægt að falsa http upplýsingar, sjá hérna, http://referer.us/spoof-http-referer.html

    Hinsvegar, eins og ég segi í bloggfærslunni þá er ég afskaplega lélegur að lesa svona kóða. Ég þakka þó útskýringanar Matti, hinsvegar finnst mér að Indefence geti ekki sannað þetta eins og þeir augljóslega halda. Sérstaklega ef þeir eru bara að nota http hausa eins og þú bendir á.

  5. Sá kóði er einfaldlega hluti af http samskiptastaðlinum og fer á milli vefskoðara (Firefox/IE/Safari/etc) og vefþjóns.

    Það er hægt að falsa referer upplýsingar (ég hef prófað það sjálfur) en það er ekki hægt (tja, miklu meira mál) að falsa ip töluna sem fylgir aðgerðinni.

  6. Matti, miðað við mína reynslu er IP spoofing minna mál en margir halda.

    Sæmilega góður maður með tölvu getur þetta án mikils vandamáls, eftir því sem ég kemst næst. Það er þó alltaf spurning um það hvort að einhver sé tilbúinn að leggja slíkt á sig. Það er einnig hægt að falsa DNS upplýsingar á tiltölulega einfaldan hátt.

  7. Matti hefur bent þér á villuna í færslunni þinni.

    Hvenrig væri þá að uppfæra upprunalegu færsluna um að þetta sé rangt hjá þér ?

  8. Ég hef einnig bent á að hægt er að falsa slíkt án mikilla vandræða. Ég hef ennfremur ekki verið sannaður rangur, það eina sem Matti gerði var að benda mér á hvernig ferlið virkaði. Sem ég tók fram að gæti verið illa skilið hjá mér og etv rangt að auki.

    Ég þarf ekki að leiðrétta þessa færslu, vegna þess að tæknilega þá er hún ennþá rétt.

Lokað er fyrir athugasemdir.