Kontynuując dawny wpis na temat bezpieczeństwa danych w ArcIMS dziś pozwolę sobie zwrócić uwagę na to samo zagadnienie lecz tym razem w związku z nowszą technologią: ArcGIS Server. Tak, tak – przy niepełnej konfiguracji ArcGIS Server może dawać możliwość pobierania danych przez użytkowników zewnętrznych. Bez żadnych narzędzi, wyłącznie z użyciem przeglądarki internetowej i wyszukiwarki.
Tym razem również nie mam zamiaru pokazywać szczegółów „co i jak” ale zasygnalizować tylko problem, administratorzy właściwych serwerów dodadzą dwa do dwóch (mam nadzieję) i wprowadzą odpowiednie zmiany.
1. Każdy zna adres własnego serwera – może sprawdzić. W tym przypadku znajdźmy dowolny serwer: uruchamiamy googla, hasło do wyszukiwania:
<usunięte przez ACTA ze względów oczywistych>
dla ułatwienia ograniczamy wyniki wyszukiwania wybierając opcję „Tylko język polski”. W wyniku google prezentuje nam listę polskich adresów serwerów opartych o technologię ArcGIS Server, oczywiście jako linki. Strony serwerów są zupełnie niezabezpieczone, dostępne z zewnątrz, indeksowane przez wyszukiwarki – mogą być, to nie stanowi problemu.
2. Wybieramy dowolny serwer, klikamy linka, lądujemy na serwerze, przeglądamy listę dostępnych i działających serwisów, możemy sprawdzić wersję oprogramowania, itp. - do tej pory OK. Zauważamy jednak, że niefrasobliwy administrator wystawia serwis typu wektorowego z włączonymi funkcjami wyszukiwania. Wystarczy kliknąć ów serwis, wybrać „najciekawszą” warstwę i skorzystać z funkcji „Query”. Otwiera się kreator wyszukiwania, gdzie definiujemy zapytanie, jakie kolumny chcemy otrzymać w wyniku, czy wynik ma zawierać geometrię, wybieramy format (np. kmz) informacji zwrotnej i klikamy Query. W odpowiedzi mamy pełne informacje (być może ograniczone do puli np. 1000 rekordów, ale modyfikując odpowiednio parametrami zapytania można pobrać komplet).
Dane można pobrać używając wyłącznie przeglądarki internetowej. Jakie możliwości pojawiają się po połączeniu z takim serwisem za pomocą odpowiedniego oprogramowania lepiej nie pisać. Najgorsze jednak jest to, że wiele z dostępnych w ten sposób informacji nie powinno być publicznych, a są…
3. Wiem, że od razu niektórzy czytelnicy pomyślą – „wina esri, słabe oprogramowanie”. Otóż nie, oprogramowanie jest dobre, sposoby postępowania są jasno i konkretnie opisane w dokumentacji, to administratorzy (czy osoby/firmy wdrażające) nie wykonały kroku opisywanego od początku informatyki jako RTFM.
Tych którzy złapali się za głowę czytając powyższy tekst odsyłam do dokumentacji.
Nie da rady. Tyle roboty, że nie ma czasu taczki załadować. :):)
Dobra, dobra, dawaj konkrety! :)
Którrym serwerm administrujesz? Podaj adres swojego serwera to dostaniesz konkrety :)
„Wiem, że od razu niektórzy czytelnicy pomyślą – „wina esri, słabe oprogramowanie”” Tak, tak właśnie niektórzy czytelnicy myślą. To może inaczej – a możesz podać Krzysztofie przykład dobrze zabezpieczonego Arcgis Servera oferującego na zewnątrz coś więcej niż tylko kafelki ?
Co to znaczy „dobrze zabezpieczony”? Przed czym? Przeglądaniem? Pobieraniem? Nieautoryzowanym wyświetlaniem (np. ukrytych warstw)?
W sumie przed każdą ewentualnością można zabezpieczyć serwer, oczywiście nie w 100%, bo co do tego nigdy nie ma pewności. Ale próbować można.
Hmm, kierując się tym opisem pooglądałem sobie nasz serwer i faktycznie, o paru rzeczach trzeba jeszcze pomyśleć. Zupełnie nie spodziewałem się, że takie haczyki mogą tam się znaleźć, bo na szkoleniach które dostaliśmy razem z programem nie było o tym słowa.