אמא שלך שברה את המיילים

06/01/2023

חלק מהכיף בלשדרג את כל תשתית האתר הוא לחשוף באגים נסתרים, כלומר באגים שהיו גם בגירסה הקודמת, אבל משום מה בגלל שינויים במקומות אחרים היה קצת יותר קשה לראות אותם. אלה מכם ומכן שרגילים לקרוא את הבלוג דרך האימייל ודאי שמו לב שבשבוע האחרון פוסטים לא הגיעו. ייתכן ובטעות חשבתם שזה בגלל שיצאתי לחופש והרובוט יצא איתי, או שחשבתם שלקחתי גם פסק זמן מפירסום. לצערי הסיבה שונה לגמרי וקשורה לכותרת הפוסט.

אם תקראו את הפוסט הזה מהאתר תראו שמשמאל לפוסט יש תיבת רישום שם אתם יכולים להכניס את כתובת המייל שלכם כדי לקבל פוסטים חדשים ישירות למייל. בגירסה הקודמת של האתר התיבה היתה input מסוג email:

<input type="email" />

אבל בגירסה החדשה (עד אתמול) היא היתה מסוג טקסט:

<input type="text" />

עכשיו תיאורטית זה לא אמור להשפיע על שום דבר - הרי ממילא כל האקר חובב יודע לפתוח את כלי הפיתוח של הדפדפן עם F12 ולשנות את ה type של התיבה. אבל מאיזושהי סיבה כל עוד התיבה היתה מסוג email (וגם קצת אחרי), אף אחד לא ניסה לשלוח בה טקסט חופשי.

עד לפני שבוע בערך.

באותו בוקר מישהו או מישהי שחמדו לצון החליטו לכתוב את הטקסט ״אמא שלך״ בתור כתובת האימייל. לא משהו שהיה אמור לשבור שום דבר, אבל "אמור" זאת לא דרך לכתוב קוד.

מסתבר שספריית mailgun_rails בה אני משתמש כדי לשלוח את המיילים רגישה לכתובות אימייל לא חוקיות. כששלחתי דרכה למיילגאן את רשימת הכתובות להפצה של הפוסט היומי, הקוד התרסק כי "אמא שלך" היא לא כתובת מייל תקנית. הבאג ישן ומפורט בריטהאב כאן: https://github.com/jorgemanrubia/mailgun_rails/issues/48

שלושה לקחים מהסיפור הזה ששווה גם לכם ליישם:

  1. כשנתקלים בבאג כזה תמיד יש התלבטות איפה מתקנים אותו, וזה מאוד מפתה לתקן את הבאג בכניסה, כלומר להוסיף וולידציה ולא לשמור כתובת מייל שאינה חוקית בבסיס הנתונים. עשיתי את זה וזה חשוב. אבל התיקון האמיתי הוא להוסיף את הוולידציה ביציאה, כלומר אחרי ששולפים את כל הכתובות מבסיס הנתונים ומכינים את כל המידע למיילגאן, ובדיוק שניה לפני הקריאה לפונקציה ששולחת מייל, יש לסנן החוצה את כל הכתובות הלא חוקיות. בתיאוריה לא אמורות להיות כאלה כי אנחנו חוסמים אותן בכניסה, בפועל כלל אצבע טוב הוא לבצע וולידציה תמיד לפני פעולה מסוכנת (כי אתם לא יודעים אם בעתיד מישהו לא ישנה או יעדכן קוד שישפיע על נתונים שנכנסים למערכת).

  2. יש מספיק כלים אוטומטיים שיודעים לשלוח קלט Fuzzy לכל השדות באתר. שימוש בכלי כזה היה מגלה לי את הבאג כבר לפני שנים.

  3. הבאג הזה נמצא במערכת מפברואר 2017, ממש מהגירסה הראשונה של מנגנון שליחת הפוסטים במייל. לקח לו כמעט שש שנים להתגלות. כל הזמן הזה המנגנון היה פגיע למתקפות Denial Of Service מאוד פשוטות על מנגנון המיילים (כל מה ש"האקר" היה צריך לעשות זה להירשם עם הכתובת "אמא שלך" לקבלת פוסטים במייל). רק בגלל שקוד עובד לא אומר שהוא נכון.

נ.ב. אתמול אחרי שמצאתי את הבעיה וסידרתי אותה הפוסט נשלח ב-8 עותקים. אני לא יודע אם זה פשוט תוצאה של התקלה שיצרה סוג של פקק במערכת, או שהתיקון שלי יצר באג חדש. אם אתם מקבלים את המייל הזה יותר מפעם אחת קבלו את התנצלותי. אני במקביל ממשיך לעקוב כדי לוודא שהכל חוזר לעבוד כמו שצריך ומודה לכם על הסבלנות.