Προγραμματισμός στο διαδίκτυο

Διομήδης Σπινέλλης
Τμήμα Διοικητικής Επιστήμης και Τεχνολογίας
Οικονομικό Πανεπιστήμιο Αθηνών
dds@aueb.gr

Αρχιτεκτονική του παγκόσμιου ιστού

Ο παγκόσμιος ιστός (world wide web) είναι υλοποιημένες σύμφωνα με το μοντέλο πελάτη-υπηρέτη (client-server).
Υπηρέτες ακούν για εντολές του πρωτοκόλλου HTTP στη θύρα TCP 80 και απαντούν ανάλογα με το περιεχόμενο της εντολής.
Οι απαντήσεις είναι συνήθως υπερκείμενο (hypertext) δομημένο σύμφωνα με το πρότυπο HTML.
Παραπομπές σε άλλες σελίδες ή περιεχόμενο γίνονται με την τυποποιημένη χρήση των Uniform Resource Locators (URL).
Τόσο ο πελάτης, όσο και ο υπηρέτης μπορούν να προσαρμόσουν δυναμικά το περιεχόμενο μιας σελίδας.

Προσδιορισμός στοιχείων με URI

Ο προσδιορισμός στοιχείων στο πρωτόκολλο HTTP γίνεται με τη χρήση των Uniform Resource Identifiers. Αυτά ορίζονται από την παρακάτω γραμματική (RFC 2068):

  URI            = ( absoluteURI | relativeURI ) [ "#" fragment ]

  absoluteURI    = scheme ":" *( uchar | reserved )

  relativeURI    = net_path | abs_path | rel_path

  net_path       = "//" net_loc [ abs_path ]
  abs_path       = "/" rel_path
  rel_path       = [ path ] [ ";" params ] [ "?" query ]

  path           = fsegment *( "/" segment )
  fsegment       = 1*pchar
  segment        = *pchar

  params         = param *( ";" param )
  param          = *( pchar | "/" )
  scheme         = 1*( ALPHA | DIGIT | "+" | "-" | "." )
  net_loc        = *( pchar | ";" | "?" )

  query          = *( uchar | reserved )
  fragment       = *( uchar | reserved )

  pchar          = uchar | ":" | "@" | "&" | "=" | "+"
  uchar          = unreserved | escape
  unreserved     = ALPHA | DIGIT | safe | extra | national

  escape         = "%" HEX HEX
  reserved       = ";" | "/" | "?" | ":" | "@" | "&" | "=" | "+"
  extra          = "!" | "*" | "'" | "(" | ")" | ","
  safe           = "$" | "-" | "_" | "."
  unsafe         = CTL | SP | <"> | "#" | "%" | "<" | ">"
  national       = <any OCTET excluding ALPHA, DIGIT,
		   reserved, extra, safe, and unsafe>

Η χρήση τους επιτρέπει τον προσδιορισμό άλλων σελίδων τοπικά, σε άλλα μηχανήματα, καθώς και ερωτήσεων:

http://kerkis.math.aegean.gr/~dspin/
http://www.altavista.com/cgi-bin/query?pg=q&text=yes&q=link%3akerkis%2emath%2eaegean%2egr%2f%7edspin+%2dhost%3akerkis%2emath%2eaegean%2egr&stq=10&c9k

Σημαντικά προβλήματα ασφάλειας που μπορούν να προκύψουν είναι τα παρακάτω:

Το σύστημα DNS που μετατρέπει τα ονόματα σε διευθύνσεις δεν είναι ασφαλές
Οποιοσδήποτε μπορεί να δημιουργήσει ένα URI. Δεν πρέπει η ασφάλειά μας να βασίζεται σε "κρυμμένα" αρχεία ή στη χρήση συγκεκριμένων URI.
Με τον προσδιορισμό άλλων θυρών μπορεί ένα "αθώο" URI να "μιλήσει" σε άλλο πρωτόκολλο (όχι HTTP) με καταστροφικά αποτελέσματα.
Όταν ένα URI περιέχει συνθηματικό αυτό δεν μπορεί να είναι εμπιστευτικό.

Το πρωτόκολλο HTTP

Το πρωτόκολλο HTTP υποστηρίζει τις παρακάτω μεθόδους επικοινωνίας:

GET
HEAD
POST
PUT
DELETE
TRACE

Παράδειγμα:

GET /pub/WWW/TheProject.html HTTP/1.1
Host: www.w3.org

Βασικά προβλήματα ασφάλειας που έχουν σχέση με το HTTP είναι τα παρακάτω:

Τρόπος αυθεντικοποίησης

Κατάχραση του ημερολογίου (log). Παράδειγμα στοιχείων που φυλάσσονται στο ημερολόγιο του εξυπηρετητή:

bar.xs4all.nl - - [18/Jul/1996:13:10:29 +0300] 
	"GET /welcomes.gif HTTP/1.0" 200 1226 http://www.foo.com/ 
	"Mozilla/2.0 (Macintosh; I; PPC) via Squid Cache version 1.0.1" "-"
bar.xs4all.nl - - [18/Jul/1996:13:10:45 +0300] 
	"GET /foo/foo.gif HTTP/1.0" 200 1754 http://www.foo.com/ 
	"Mozilla/2.0 (Macintosh; I; PPC) via Squid Cache version 1.0.1" "-"
bar.xs4all.nl - - [18/Jul/1996:13:14:03 +0300] 
	"GET /major.gif HTTP/1.0" 20 0 1071 http://www.foo.com/ 
	"Mozilla/2.0 (Macintosh; I; PPC) via Squid Cache version 1.0.1" "-"
foobar.slip.cc.uq.oz.au - - [18/Jul/1996:15:32:10 +0300] 
	"GET /epy/epysm.gif HTTP/1.0" 200 1352 http://www.foo.com/epy/41/www/paper.htm 
	"Mozilla/2.01Gold (Win 95; I)" "-"
foobar.slip.cc.uq.oz.au - - [18/Jul/1996:15:32:47 +0300] 
	"GET /epy/41/www/paper.htm HTTP/1.0" 200 27325 http://www.altavista.digital.com/cgi-bin/query?pg=q&what=web&fmt=.&q=%2B%22drawing%22+%2B%22niam%22 
	"Mozilla/2.01Gold (Win95; I)" "-"
foobar.slip.cc.uq.oz.au - - [18/Jul/1996:15:32:54 +0300] 
	"GET /epy/41/www/figp4.gif HTTP/1.0" 200 1608 http://www.foo.com/epy/41/www/paper.htm 
	"Mozilla/2.01Gold (Win95; I)" "-"

Μεταφορά ευαίσθητων δεδομένων
Μεταφορά αρχείων που δε θα έπρεπε
Αποκάλυψη προσωπικών στοιχείων
πλαστογραφία DNS (DNS spoofing)
Χρήση του ίδιου εξυπηρετητή από πολλές οντότητες

Διασφάλιση συναλλαγών HTTP

Συναλλαγές που χρησιμοποιούν HTTP μπορούν να ασφαλιστούν ως προς την εμπιστευτικότητα και την ακεραιότητα σε τρία διαφορετικά επίπεδα:

Κάτω από το πρωτόκολλο HTTP μέσω SSL ή IPSEC
Επεκτείνοντας το πρωτόκολλο HTTP (π.χ. secure HTTP)
Πάνω από το πρωτόκολλο HTTP με λ.χ. με εξειδικευμένες εφαρμογές σε Java που κρυπτογραφούν τα μηνύματα.

Περιγραφή σελίδων με HTML

H HTML είναι μια εφαρμογή της SGML για την περιγραφή σελίδων στο Web. Περιοχές του κειμένου σημειώνονται με ετικέτες (tags). Κάθε ετικέτα περιλαμβάνει το όνομά της και παραμέτρους. Οι ετικέτες γράφονται ως εξής:

<όνομα ετικέτας παράμετροι>

Μια περιοχή του κειμένου μπορεί να σημειωθεί ως εξής:

<ετικέτα>
περιοχή που σημειώνεται
</ετικέτα>

Βασικές ετικέτες που υποστηρίζει η HTML είναι οι παρακάτω:

HTML: περιγραφή ολόκληρης σελίδας
HEAD: επικεφαλίδα της σελίδας
BODY: κείμενο της σελίδας
H1-H6: επικεφαλίδες του κειμένου
P: αλλαγή παραγράφου
UL: λίστα με τελείες
OL: αριθμημένη λίστας
LI: στοιχείο λίστας
BR: αλλαγή γραμμής
HR: οριζόντια γραμμή
IMG: εικόνα
A: (anchor) σημείο πρόσβασης από ή σε υπερκείμενο
PRE: προστοιχειοθετημένο κείμενο
DL, DT, DD: λίστα περιγραφών, περιγραφές
I: πλάγιοι χαρακτήρες
B: έντονοι χαρακτήρες

Παράδειγμα σελίδας:

<!doctype html public "-//IETF//DTD HTML//EN">
<HTML>
<HEAD>
<TITLE>Τίτλος της σελίδας</title>

<META NAME="GENERATOR" CONTENT="thread.pl">
<META NAME="AUTHOR" CONTENT="Diomidis Spinellis">
<META HTTP-EQUIV="Content-type" CONTENT="text/html; charset=ISO-8859-7">
<LINK REV="made" HREF="mailto:dspin@aegean.gr"> 
<LINK REL="ToC" HREF=".././web/index.htm">
<LINK REV="Subdocument" HREF=".././web/index.htm">
<LINK REL="previous" HREF=".././web/http.htm">
<LINK REL="next" HREF=".././web/cgi.htm">

</HEAD>

<BODY> <H1>Επικεφαλίδα πρώτου επιπέδου</H1><HR>
Κείμενο που περιέχει ένα σημείο κατάληξης υπερκειμένου
<a name="G42"> (<em>με έντονο κείμενο</em>)</a> 
και μια λίστα:
<ul>
<li> στοιχείο 1
<li> στοιχείο 2
</ul>

<p>
Νέα παράγραφος με ένωση υπερκειμένου στο
<A HREF="http://www.aegean.gr">Πανεπιστήμιο Αιγαίου</A>

<HR>
</BODY>

</HTML>

Προβλήματα ασφάλειας που σχετίζονται με την HTML είναι τα εξής:

Χρήση προβληματικών URI μέσω εικόνων ή anchors.
Οι μέθοδοι αποστολής στοιχείων μέσω HTTP και SMTP δε διασφαλίζουν την εμπιστευτικότητά τους.

Web browser control

Ένας τρόπος πρόσβασης στο Web μέσα από την εφαρμογή μας είναι με τη χρήση του Web Browser Control (προσθήκη από το Project - Components).
Το όργανο που εμφανίζεται είναι ένας πλήρης Web browser τον οποίο μπορούμε να τοποθετήσουμε μέσα σε φόρμες της εφαρμογής μας.
Η ιδιότητα του οργάνου Application μας επιτρέπει τον έλεγχο της εφαρμογής του browser.
Για εμφανίσουμε μια συγκεκριμένη σελίδα χρησιμοποιούμε τη μέθοδο Navigate2 όπως στο παρακάτω παράδειγμα:
```
Private Sub Command1_Click()
	WebBrowser1.Navigate2("http://www.cnn.com")
End Sub
```

Internet transfer control

Ένας δεύτερος τρόπος πρόσβασης στο Web μέσα από την εφαρμογή μας είναι με τη χρήση του Internet Transfer Control (προσθήκη από το Project - Components).
Το όργανο αυτό δεν εμφανίζεται όταν εκτελείται η εφαρμογή μας, αλλά μας επιτρέπει την πρόσβαση σε περιεχόμενο δικτυακών τόπων μέσα από το πρόγραμμα.
Για διαβάσουμε το περιεχόμενο μιας συγκεκριμένης σελίδας χρησιμοποιούμε τη μέθοδο OpenURL που επιστρέφει μια συμβολοσειρά με τα περιεχόμενα της σελίδας όπως στο παρακάτω παράδειγμα:
```
Private Sub Command1_Click()
Dim weather As String
	weather = Inet1.OpenURL("http://www.ntua.gr/weather")

	MsgBox "Wind speed is " + Mid(weather, InStr(weather, "beaufort") - 2, 1) + " beaufort", vbOKOnly, "Current wind speed"
End Sub
```
Προσοχή: τα περιεχόμενα της σελίδας είναι - στην καλύτερη περίπτωση - κωδικοποιημένα σε HTML.
Αν τα περιεχόμενα της σελίδας είναι πολλά πρέπει να χρησιμοποιήσουμε τις μεθόδους Execute και GetChunk για να τη διαβάσουμε σε τμήματα.
Η μέθοδος GetHeader επιτρέπει την πρόσβαση στις επικεφαλίδες HTTP.

Βιβλιογραφία

T. Berners-Lee and D. Connolly. RFC 1866: Hypertext Markup Language — 2.0, November 1995.
T. Berners-Lee, L. Masinter, and M. McCahill. RFC 1738: Uniform Resource Locators (URL), December 1994.
R. Fielding, J. Gettys, J. Mogul, H. Frystyk, T. Berners-Lee, et al. RFC 2068: Hypertext transfer protocol — HTTP/1.1, January 1997.
Stefanos Gritzalis and Diomidis Spinellis. Addressing threats and security issues in World Wide Web technology. In Proceedings CMS '97 3rd IFIP TC6/TC11 International joint working Conference on Communications and Multimedia Security, pages 33–46, Athens, Greece, September 1997. IFIP, Chapman & Hall.
Gary McGraw and Edward W. Felten. Securing Java. Wiley, 1999.
Aviel D. Rubin, Daniel Geer, and Marcus J. Ranum. Web Security Sourcebook. John Wiley & Sons, 1997.

Περιεχόμενα