id: Гость   вход   регистрация
текущее время 11:48 18/07/2018
Вступить во владение (создано 18/01/2009 14:02), редакция от 03/09/2009 09:08 (автор: Гость) Печать
Категории: политика, сайт проекта, разное
https://www.pgpru.com/Черновики/Статьи/Сервисметоквремени/ПолучениеметкивременипоУРЛ
создать
просмотр
редакции
ссылки

Получение метки времени по УРЛ

< Все документы:
Оглавление документа:

Просьба обо всех выявленных ошибках сообщать любым доступным способом (например писать на данной странице).


Тестирование по адресу http://timemarker.org/ru/URLStamp.aspx.

Идея


Клиент передает url страницы сайта, чтобы иметь возможность впоследствии доказать что было размещено на данной странице в данное время.


Реализация


Пользователь получает архив следующей структуры:


Где data_from_uri.type это информация, которую система (timeMarker.org) получила по указанному пользователем адресу.
Это может быть любой файл или HTML код Интернет страницы.


MarkerURI.pgp служит для связи получинных данных с адресом, по которому эти данные были получены.


Файл Marker.pgp – это «метка времени» вычисленная на основе файла data.zip.


Замечания


Сервис принимает любые сертификаты SSL как правильные. Иначе, например, https страницы этого сайта не проходили бы проверку…


Возможно стоит придумать какой-то более красивый выход чем принимать любые сертификаты.


 
— SATtva (18/01/2009 17:18)   профиль/связь   <#>
комментариев: 11528   документов: 1036   редакций: 4052
Как правило, изображения и другие внедрённые объекты являются составной частью содержания страницы, голый html с текстом в их отсутствие бессмыслен. Встречное предложение:

1. Сервис открывает запрошенный url.
2. Если это html/xml, сервис загружает все внедрённые объекты (таблицы стилей, графика, может быть флэш).
3. Всё это добро пакуется в один архив, которые, в свою очередь, и подписывается и возвращается пользователю.
— Гость (19/01/2009 03:57)   <#>
Вопрос или дополнение
Расскажите что вы заверите если страница формируется динамически на оснвании javascript и пользовательских данных? :)
мой первый комментарий здесь.. привет всем..
— SATtva (19/01/2009 20:07)   профиль/связь   <#>
комментариев: 11528   документов: 1036   редакций: 4052
Так можно дойти до абсурда. А если нужные данные лежат в запароленном разделе сайта?
— Гость (20/01/2009 02:50)   <#>
#хотелось бы получать метку времени на http-запрос, заданный клиентом. Можно даже, опционально, через анонимизирующую сеть. Просто выдаётся подпись на <запрос, ответ, время>, и пусть сам клиент думает, как ему использовать эти данные (если был указан динамический сайт)

Хотелось бы возможность иметь заверенные меткой времени "скриншоты" интернет-страниц, чтобы можно было доказать, что на них было то что было. Для этого клиент даёт вам ссылку на интересующую его страницу.

Чтобы уменьшить риск от специально "заточенных" под этот сервис (и сайт, с которого посылается "аудиторский" запрос) сайтов, можно использовать анонимизирущую сеть. Впрочем, клиент сам может составить цепочку "прокси" в запросе, если приходящий от сервиса ответ его не удовлетворит.

Случай динамических сайтов, выдающих на один и тот же запрос разный ответ пусть заботит самого клиента – вы подписываетесь только за один запрос.

# Если беспокоит трафик, можно подтверждать хэш, но это сузит функциональность, так как многие сайты динамически меняют рекламные баннеры. (Можно ещё использовать регулярные выражения, как в Privoxy :)

# +1, это очень нужная и полезная возможность.

# Хотелось бы вводить в web-интерфейсе адрес страницы, а в ответ получать её содержимое+время, подписанное ключом сервиса.

# > А как быть с изображениями, вы же сами считаете возможность заверять изображения (скриншоты) полезной.

Сервис делает скриншот в формате gif или png и вычисляет SHA512 от картинки. Хеш и урл с которого снят скриншот записываются в поле для пользовательских данных.

# В такой реализации мало смысла – какой смысл иметь хеш изображения, если самого изображения нет? В качестве альтернативы можно сохранять весь HTML код страницы...

# Само изображение возвращается сервисом вместе с подписью. Сохранять html код страницы не советую, так как в нем может содержаться вредоносный контент, и ваша подпись под ним может навести на вас неприятности. Также следует озаботиться безопасностью процесса получения скриншота, так как эксплоиты не дремлют.

# Если под изображением понимать сгенерированное браузером изображение страницы на экране монитора, то это интересная идея, но только большинство страниц не умещаются на экране и нужна прокрутка :(

# Изображение тоже может быть носителем вируса – некоторые пользователи не устанавливают обновления.

Лучше подписывать всё и во избежании недопронимания писать предупреждение о возможном нежелательном контенте и снятия с себя ответственности за содержание подписанного.

Только хэш бессмысленен, если страница хоть немного меняется, а такие сейчас не редкость.

# Если изображение делается вашим сервисом, то вы можете гарантировать отсутствие в нем вирусов.
Хотя идея делать скриншоты действительно не очень, так как реализация может быть черезвычайно сложной и нести опасность для самого сервиса. Лучше сохранять все содержимое страницы в один .mht файл и подписывать его.

# Имея сервис удостоверения присутствия в текущий момент времени страницы по указанному интернет адресу, можно получить и подтверждение владения информацией, просто указав на свою интернет-страницу с хэшем. Одна задача сводится к другой. :)

# cНасчет информации на сайтах, очень расплывчато все.
Делать сгриншот — я даже не представляю как. И потом информация может быть на раскрывающихся вкладках на JS.

Копировать весь код страницы проще и лучше, но как быть если нужная информация подгружается c использованием Ajax?

# В качестве запроса принимать от пользователя программу на javaScript

# Имхо достаточно сохранять все содержимое страницы в один .mht файл. Лучше иметь такую возможность, чем вобще никакой.
Такой сервис был бы крайне полезен. Типичный случай применения – доказать факт корыстной модерации на форуме. Для этого нужно иметь завереные копии страниц форума до поста, содержимого поста и страниц форума после его удаления.
С помощью обычного timestamp сервиса можно доказать обладание какой-либо информацией в определенное время, но возможности доказать наличие этой информации по определенной ссылке пока не предоставляет никто.

# .mht поддерживают кто-нибудь, кроме MSIE? (Знаю, что в сущности это просто Multipart MIME, который можно открыть в мэйл-клиенте, но, согласитесь, тупо — открывать веб-документ как почту. Firefox формат не понимает.)

# Новые версии браузера Opera поддерживают.

# files, the Mozilla Archive Format (MAF) Firefox extension can help you. Once installed in Firefox, this extension lets you save Web pages in the open-source. MAFF format. It can also read and write. MHT files, which IE users can open.

# А разве IP или тем более DNS-запись является доказательством аутентичности сервиса?
Ну были шутники, которые используя атаки на DNS, выводили пользователям даже крупных сервисов подставные сайты.
Можно утверждать, что если страница с содержимым поста не заверена подписью модератора или хотя бы не был заверен https:// сайт вместе с отпечатком сертификата, то метка времени была поставлена на подставной сайт.

# Такого доказательства во многих случаях будет более чем достаточно.
К сохраняемой информации о сайте полезно будет добавить IP сервера и информацию о SSL сертификате (если он имеется).

# А надо ясно написать, что удостоверяется не то, что где-то что-то было, а то что это было видно с сайта удостоверяющего сервиса.

# Формат в котором сохраняются страницы должен быть совместим с любым броузером. Похоже что лучше просто паковать все файлы в .zip архив.

# Намного лучше — опять же, не будет вопросов с семантикой. Имена должны быть исходные с соответствующей структурой каталогов. С иных доменов вложения, на мой взгляд, включать не стоит.

# — ntldr (28/12/2007 18:58)


К сожалению не знаю как реализовать скриншот броузера безопасным образом. Дело в том, что timestamp сервис черезвычайно критичен к безопасности, а безопасность большинства броузеров далеко не идеальна. Как вариант можно реализовать запуск броузера из под отдельной пользовательской учетки, но это не спасет от наличия в ОС дыр на повышение привилегий.
Если timestamp сервис обретет популярность, то рано или поздно он обязательно будет взломан через броузер, так как 0day уязвимости в них открываются каждый месяц.
— Гость (28/12/2007 19:17)

не знаю как реализовать скриншот броузера безопасным образом
А виртуализаторы чем плохи? Под какой-нибудь ОpenBSD.
— Гость (28/12/2007 19:23)

не знаю как реализовать скриншот броузера безопасным образом
Браузер запускать на одном физическом сервере, а базу данных хранить на другом. В крайности пострадает небольшая цепочка до обнаружения эксплоита.
— ntldr (28/12/2007 19:23)

Если виртуализировать всю ось, то это будет медленно. Тем более, что потребуется восстановление исходного состояния диска вм после снятия скриншота (ведь мало ли что могло туда записаться через похаканый броузер).
Если виртуализировать среду для одного приложения, то это не безопасно.
— Гость (29/12/2007 18:54)
Если виртуализировать всю ось, то это будет медленно. Тем более, что потребуется восстановление исходного состояния диска вм после снятия скриншота (ведь мало ли что могло туда записаться через похаканый броузер).

Да бросьте вы, виртуализаторы нынче быстрые, ось можно минимизировать (чтобы только браузер запускала), да и диск можно виртуальный (в оперативной памяти) сделать.

Даде лучше три диска – на одном идет обработка запроса, а на второй в это время копируется первоначальный образ (с уже запущенным браузером) с третьего. Потом первый и второй меняются местами.

Но вот только что по этому поводу скажет хостинг-провайдер...
— SATtva (29/12/2007 20:54, исправлен 29/12/2007 20:56)

Вообще это странное обсуждение, по-моему. До сих пор нет формализации протокола, нет чётко обозначенного списка решаемых протоколом задач, нет модели угрозы, нет готовой спецификации формата. А вы уже о языке реализации спорите. Если сделать всё вышеперечисленное, то язык вообще не будет играть роли: каждый может писать на том, что нравится или больше подходит. Главное, что в этом случае у всех всё будет работать и работать будет одинаково.

Браузер запускать на одном физическом сервере, а базу данных хранить на другом. В крайности пострадает небольшая цепочка до обнаружения эксплоита.


После этого сервис можно закрывать, поскольку доверия к нему больше не будет.


Делать виртуальную машину ради одной этой функции мне видится ошибочным: корректную настройку получить будет чрезвычайно трудно, к тому же это с высокой вероятностью привяжет к специфическому ПО. Да и слабо я себе представляю заверение такого скриншота: здесь уже отмечалось, что мало текстовых страниц уместится в одном окне браузера. Если уж хочется что-то подобное, достаточно загрузить и заверить html, ибо графика, как правило, почти никогда не несёт смысловой нагрузки и на динамических сайтах меняется реже.
— Гость (30/12/2007 07:25)

мало текстовых страниц уместится в одном окне браузера.

Нужно либо плагин для снятия образа всей страницы, либо склеивать на крайний случай.
достаточно загрузить и заверить html, ибо графика, как правило, почти никогда не несёт смысловой нагрузки и на динамических сайтах меняется реже.
Это всё придумывается из-за AJAX. В простых случаях конечно лучше html.
— Alex_B (30/12/2007 22:43)
мало текстовых страниц уместится в одном окне браузера.
О каком окне браузера идет речь?

Это всё придумывается из-за AJAX
Да и это не выход, не даром поисковики не индексируют сайты поностью на Ajax или flash. Что если информация подгружается только при определенных действиях пользователя (например на кнопку нажать)...
— Гость (31/12/2007 03:13)

Что если информация подгружается только при определенных действиях пользователя (например на кнопку нажать)...
Вот пусть сам пользователь в запросе (на javaScript) и задаёт нужные ему действия.
— Гость (31/12/2007 12:22) <#>

Вот пусть сам пользователь в запросе (на javaScript) и задаёт нужные ему действия.
Т.е. я пишу скрипт который заменяет содержимое, скажем блока div с каким-нибудь id, на произвольную информацию. Иду на такой сервис и он все это проделывает и дает мне доказательство...

Впринципе можно не слишком беспокоиться насчет ajax, поисковиков же это не заботит.

— ntldr (31/12/2007 15:23)

Гораздо проще и безопаснее будет сохранять все содержимое страницы в .zip архив.
— Гость (01/01/2008 03:36) <#>

Т.е. я пишу скрипт который заменяет содержимое, скажем блока div с каким-нибудь id, на произвольную информацию. Иду на такой сервис и он все это проделывает и дает мне доказательство...
Только скрипт запроса тоже ведь будет входить в подписанное.
— SATtva (02/01/2008 20:20)
Т.е. я пишу скрипт который заменяет содержимое, скажем блока div с каким-нибудь id, на произвольную информацию. Иду на такой сервис и он все это проделывает и дает мне доказательство...

Только скрипт запроса тоже ведь будет входить в подписанное.

Добро пожаловать в мир XSS-атак.
— serzh (07/01/2008 10:57)

http://browsershots.org/

Описание с сайта:
Browsershots делает скриншоты вашего сайта в разных браузерах. Это бесплатный open-source сервис, созданный Johann C. Rocholl. Когда вы отправляете нам адрес свого сайта, он добавляется в очередь. Несколько различных компьютеров откроют ваш сайт в своих браузерах. Затем они сделают скриншоты и загрузят их на центральный сервер.


В результате работы получаем zip архив.
— ntldr (07/01/2008 11:16)
Интересно, если ему дать ссылку на 0day эксплоит для IE....
— SATtva (07/01/2008 11:22) профиль/связь <#>

Впечатляет. Здесь системные требования к машине (машинам), делающих сами скриншоты, а здесь — инструкция по запуску такого скрипта без центрального сервера.
— Гость (20/01/2009 11:50)   <#>
По моему всё просто: пользователь самостоятельно делает интересующий его скриншот на сервисе подобном http://browsershots.org/ и отсылает ссылку на картинку службе меток времени, которая просто удостоверяет, какая ей видна картинка по данному адресу в данное время.
— SATtva (22/02/2009 20:23)   профиль/связь   <#>
комментариев: 11528   документов: 1036   редакций: 4052
Возможно стоит придумать какой-то более красивый выход чем принимать любые сертификаты.

Как вариант: на обновлённой странице timeMarker'а, где пользователю предлагается забрать архив с выданной меткой, приводить также диагностику соединения сервиса с целевым сайтом, в частности, выдавать SHA-1-отпечаток SSL-сертификата, по которому выполнялось соединение. Пользователь при желании может самостоятельно зайти на сайт и проверить, тот же самый ли сертификат передавался ему и достоверен ли он.
— Alex_B (23/02/2009 14:47)   профиль/связь   <#>
комментариев: 143   документов: 31   редакций: 143

Не думаю что html совсем уж бессмыслен, обычно главную информационную нагрузку несет текст, который картинками выводить не принято. Конечно было бы лучше что бы пользователь получал всю страницу. Пока, если важно зафиксировать факт присутствия картинки или другого объекта на странице можно запросить от сервиса два архива
– один с HTML содержимым
– второй с картинкой


Спасибо!
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3