Neomluvitelná nedbalost

Ještě než se vypravím do slovenského městečka Čenčice (odhadem kolem sta obyvatel, jinak tam chcípl pes – a to velmi pravděpodobně rukou šíleného souseda, jehož brokovnice se podepsala i na look & feelu silniční značky ohraničující území vesnice), kde nedobrovolně strávím příštích sedm dní (a to již podesáté), chtěl bych se s Vámi podělit o krátký popis událostí, které se mi přihodily pár dní zpět. Možná se nad nimi zasmějete, smíchy zapláčete, nebo mě definitivně odsoudíte k usmažení se v pekle (jako už tolik jiných, že ;-))

Jako vždy a jako všechno to začalo ráno. Nejprv se do toho namočila RSS čtečka, když mi oznámila, že na ábíčku se objevil článek s titulkem cat ~/.bashrc >> abclinuxu, jehož účelem, jak možná tušíte, je podělit se s komunitou o svůj vypiplaný a na míru ušitý ~/.cokolivrc. A protože se moc rád dělím, okamžitě jsem svůj ~/.zshrc nahrál na FTP a do komentářů hodil odkaz.

Před nedávnem mě meba ukecal, abych zkusil CurlFtpFS, což je náramně užitečná utilitka, která připojí libovolný adresář na Vašem FTP do kteréhokoliv adresáře na Vašem disku. Jinak řečeno, v adresáři ~/FTP můžete mít připojeno FTP Vašeho webu, takže budete moci pracovat se soubory na FTP i v programech, které FTP nepodporují. Bylo by to dokonalé, kdyby to fungovalo a kdyby to neztratilo spojení při každém vytvoření nebo smazání souboru. Takže šel celý Curl i se svým FTPFS do /dev/null.

CurlFtpFS mi však nechal v systému časovanou bombu, která měla zanedlouho vybouchnout. Protože jsem člověk trpělivý (alespoň většinou), hrál jsem si s nefunkčním FTPFS až nepřiměřeně dlouho, tak dlouho, že mě omrzelo psát pořád do příkazové řádky své uživatelské jméno, heslo, server, adresář, znáte to. Inu, nenapadlo mě nic snazšího a nic nebezpečnějšího, než-li přidat do svého ~/.zshrc tyto dva řádky:

alias cfm="curlftpfs ftp://milanvit:mojetajnéheslo@ftp.milanvit.net /home/milan/FTP"
alias cfu="curlftpfs -u /home/milan/FTP"

Přihořívá? A teď k tomu ještě připočtěte fakt, že používám jen tři různé hesla, neboť víc si jich nejsem schopen (a ochoten) zapamatovat. Z toho už kouká slušná polízanice, že?

Kuriózní je, že jsem na to ani nepřišel sám, začal jsem jednat až na dum8d0govo a otazníkoho upozornění (mockrát díky, chlapi!) Mráz po zádech mi ovšem přejel, když jsem si uvědomil, oč jsem mohl přijít – přes PayPal o celou částku na notebook, přes Drupalí CVS by mohl útočník udělat paseku v CVS, o smazaných webech na mém FTP ani nemluvím a ten Jabber účet by taky zamrzel. Zkrátka sranda veliká. Teď už je snad vše v pořádku, až na tři nejmenované servery, kterým změna hesla buď nefunguje, nebo ji vůbec neposkytují.

Mimochodem, uvažte, jak by situace vypadala, pokud by všechny servery podporovaly autentifikaci uživatele přes technologii OpenID, o níž jsem nedávno sepsal pár řádků. Byla by to tvrdá sázka, vše nebo nic – stihneš si změnit heslo všude (přitom na dvě kliknutí) dřív než útočník? Brali byste tuhle hru štěstí? Sám nevím… Možná ano.

Teď, když mám všechna hesla vyměněna, můžu hlasem politika konstatovat, že se vlastně nic nestalo a jsem rád, že se mi tahle příhoda stala právě teď. Už pár týdnů jsem totiž o výměně hesel uvažoval, a to v souvislosti se znepokojivými událostmi týkajících se pofiderního serveru Linkuj.cz.

A co Vy, neurazíte se, zeptám-li se, jestli se Vám někdy nestalo něco podobného?