mboost-dp1
unknown
#150 Der er nu stadig et hidden felt, men altså ikke noget der beskytter det helt store på newz' ej heller! Jeg bruger f.eks. et lille script til at rette en rating jeg måtte have givet ved en fejl.
Lol! Lagde lige mærke til at cliche annoncerer på flere kendte danske hjemmesider med at deres Webhotel er et af de mest sikre og stabile i Danmark.. :D Vil sige at min webserver er mere sikker end deres :P
jeg har lige fået en e-mail fra cliche.dk da jeg skrev til dem om nyheden her.
de skrev tilbage følgende:
Hej Casper
Du kan her læse den officielle udtalelse fra Cliche.dk
------
Officiel kommentar omkring de 2 artikler på Newz.dk :
--start--
Overskrift:
Generel sikkerhedsbrist opfundet af Newz.dk var rent opspind.
Teaser:
Newz.dk opfandt en sikkerhedsbrist og kørte hetz mod Cliche Webhotel.
Derefter fandt de ud af at de fleste webhoteller rent faktisk giver
mulighed for at se c:/winnt for kunder.
--
Brødtekst:
Siden newz.dk bragte artiklerne om, at vi skulle have generel manglende
sikkerhed, har vi undersøgt sagen til bunds. Sikkerhed er en vigtig
ting, og noget som vi prioriterer meget højt. De sidste par dage har vi
måske endda kunne karakteriseres som fanatiske.
Overordnet skal det skrives at Cliches hostingcenter er blandt de 3
største hostingcentre i Danmark, målt på antal domæner vi servicerer.
Vores 2 hostinglokaler består af en serverpark der løbende er blevet
testet for sikkerhedbrister både af vores egne inhouse teknikere og af
eksternt sikkerhedsfirma. Når man kører service for så mange mennesker
som Cliche gør i Danmark, Norge, Sverige og andre lande, er det klart at
man ikke blot ser bort fra sikkerhed. Den er en del af vores
konkurrenceparametre, og vi er stolte af at have et så højt
sikkerhedsniveau som vi har. Vores fokus på sikkerhed, i forbindelse med
disse artikler, er endda blevet skærpet.
Desværre er de artikler som Newz.dk har bragt mangelfulde og usande.
Folk skulle åbenbart misforstå og tro at der var en slags
sikkerhedsbrist, hvilket ikke var tilfældet. Der blandes 5 ting sammen,
og kommenteres med usammenhængende kommentarer, så man glemmer fokus:
Hvad er det reelt der er kompromitteret af folks private data på vores
webservere? Intet!
Newz.dk bringer nyhederne ret sensationsagtige, og skjuler vigtige
detaljer omkring, hvad det er de reelt mener er en sikkerhedsbrist, og
hvad folk skulle kunne bruge den til.
Newz.dk skriver at kunder på en Windowsserver hos Cliche kan sabotere
andre kunders hjemmesider. Dette er forkert. Man kan som kunde browse i
dele af operativsystemet på en Microsoft Windows webservserver, hvis de
installerer et script, og modificerer det. Dette er standard, men ikke
en sikkerhedsbrist. Der kan med Microsofts foreskrevne opsætning, som
90% af alle webhoteller benytter, browses i netop dette directory, da
det SKAL være muligt for IIS for at fungere optimalt.
Vi har på nuværende tidspunkt analyseret OM det reelt er et
sikkerhedsproblem, at man kan læse c:/winnt, og risikoen må vurderes som
ekstrem lav. Men for at komme kritikken i møde, da kunder med denne
artikel kunne foranlediges til at tro, at der reelt var et problem, er
vi igang med at programmere lidt, så det for fremtiden ikke skulle kunne
lade sig gøre. Dette vil blive implementeret når vi er færdige. Vi vil
dog gøre opmærksom på at det mere er reglen end undtagelsen, at man kan
browse dele af operativsystemet på en Microsoft Windows webserver via et
modificeret script på et Webhotel.
Selv om man kan se dele af operativsystemet på en Microsoft Windows
webserver, har man kun rettigheder til at læse disse standardfiler der
er i dette. Det er således ikke at tage som et decideret sikkerhedshul,
nærmere en mulighed for at studere det directory som ens webservice
benytter.
Dermed falder Newz.dks artikel helt igennem, og må antages som
sladderjournalistik af værste skuffe. Dette verificeres også af flere
kommentarer under artiklerne.
Newz.dk kommenterer selv en af artiklerne ved at skrive om en 2 1/2 år
gammel passwordliste med 360 domæners password. Sikkerhedsbristen
dengang, skyldtes at vi, da Cliche blev overtaget, overtog en Windows
webserver med et alvorligt sikkerhedshul, samt et system med ukrypterede
data. Dette blev straks lukket da vi fik information om at en ondsindet
hacker havde postet hele listen på usenet. Disse domæner fik dengang
skiftet password, men enkelte har dog senere skiftet password til det
gamle igen, hvilket gjorde at disse igen virkede. Vi har nu igen
gennemgået og skiftet disse til nye, hvilket selvfølgelig har forvirret
disse kunder og afstedkommet nogle få blev sure, men vi håber de kan
forstå nødvendigheden af at et password der er offentliggjort ikke må
bruges mere.
Derudover skriver Newz.dk, at vores versioner af PHP er for gamle og
dermed usikre. Nu går det for alvor galt med Newz.dk´s forståelse for
det, at køre webhotel. At en version af PHP, der er opdateret med de
officielle sikkerhedsopdateringer skulle være usikker, må stå for deres
egen regning, da det kommer an på om funktionerne der er omfattet af
fejlrettelser, er tilgængelige for brugere.
Igen, for at der ikke skal være tvivl om at vi imødekommer kundernes
mulige behov, har vi fremskyndet en komplet PHP-opdatering af vore
Apache webservere.
Så alt i alt har Newz.dk vel med artiklerne skudt sig selv lidt i foden,
og gået over til at skrive sladderartikler uden at undersøge tingene ret
grundigt. De kører øjensynligt hetz mod ET webhotel, når der er tale om
at 90% har denne opsætning. Derudover gør de sig selv til grin ved at
skrive at det skulle være et alvorlig sikkerhedsproblem. Et
sikkerhedsproblem er hvis data af privat karakter er umiddelbart
kompromitterbare. Her er der tale om harmløse data, de er ikke
umiddelbart tilgængelige uden at man er kunde på serveren, har et script
og modificerer dette, samt at man stadig kun kan se filerne, ikke skrive.
Uanset hvad, så må det antages at være sløsede sladderartikler, hvis
eneste formål har været, for de 2 forfattere og ex-kunder, at få hævn
overfor Cliche Webhotel. De har ikke gennemtænkt hvilke konsekvenser det
ville have, hvis der virkelig var en sikkerhedsbrist, med hensyn til de
mange tusinde kunder der kunne være ramt. De har ikke ringet for at få
en kommentar, ej heller bedt om lov til at forsøge hacking af vores
domæneliste. De har blot gjort dette.
Vores firmapolitik omkring at poste indlæg på usenet og andre offentlige
steder, har siden år 2001 været, at det gør vi ikke. De falske
kommentarer der således er bragt af Newz.dk til deres artikler, som om
de er fra Cliche.dk, er ikke engang fjernet.
Med venlig hilsen
Morten Bonavent
Adm. Dir.
Cliche.dk A/S
http://www.cliche.dk
Venlig hilsen
Karina Lennet
Support
Cliche.dk A/S
de skrev tilbage følgende:
Hej Casper
Du kan her læse den officielle udtalelse fra Cliche.dk
------
Officiel kommentar omkring de 2 artikler på Newz.dk :
--start--
Overskrift:
Generel sikkerhedsbrist opfundet af Newz.dk var rent opspind.
Teaser:
Newz.dk opfandt en sikkerhedsbrist og kørte hetz mod Cliche Webhotel.
Derefter fandt de ud af at de fleste webhoteller rent faktisk giver
mulighed for at se c:/winnt for kunder.
--
Brødtekst:
Siden newz.dk bragte artiklerne om, at vi skulle have generel manglende
sikkerhed, har vi undersøgt sagen til bunds. Sikkerhed er en vigtig
ting, og noget som vi prioriterer meget højt. De sidste par dage har vi
måske endda kunne karakteriseres som fanatiske.
Overordnet skal det skrives at Cliches hostingcenter er blandt de 3
største hostingcentre i Danmark, målt på antal domæner vi servicerer.
Vores 2 hostinglokaler består af en serverpark der løbende er blevet
testet for sikkerhedbrister både af vores egne inhouse teknikere og af
eksternt sikkerhedsfirma. Når man kører service for så mange mennesker
som Cliche gør i Danmark, Norge, Sverige og andre lande, er det klart at
man ikke blot ser bort fra sikkerhed. Den er en del af vores
konkurrenceparametre, og vi er stolte af at have et så højt
sikkerhedsniveau som vi har. Vores fokus på sikkerhed, i forbindelse med
disse artikler, er endda blevet skærpet.
Desværre er de artikler som Newz.dk har bragt mangelfulde og usande.
Folk skulle åbenbart misforstå og tro at der var en slags
sikkerhedsbrist, hvilket ikke var tilfældet. Der blandes 5 ting sammen,
og kommenteres med usammenhængende kommentarer, så man glemmer fokus:
Hvad er det reelt der er kompromitteret af folks private data på vores
webservere? Intet!
Newz.dk bringer nyhederne ret sensationsagtige, og skjuler vigtige
detaljer omkring, hvad det er de reelt mener er en sikkerhedsbrist, og
hvad folk skulle kunne bruge den til.
Newz.dk skriver at kunder på en Windowsserver hos Cliche kan sabotere
andre kunders hjemmesider. Dette er forkert. Man kan som kunde browse i
dele af operativsystemet på en Microsoft Windows webservserver, hvis de
installerer et script, og modificerer det. Dette er standard, men ikke
en sikkerhedsbrist. Der kan med Microsofts foreskrevne opsætning, som
90% af alle webhoteller benytter, browses i netop dette directory, da
det SKAL være muligt for IIS for at fungere optimalt.
Vi har på nuværende tidspunkt analyseret OM det reelt er et
sikkerhedsproblem, at man kan læse c:/winnt, og risikoen må vurderes som
ekstrem lav. Men for at komme kritikken i møde, da kunder med denne
artikel kunne foranlediges til at tro, at der reelt var et problem, er
vi igang med at programmere lidt, så det for fremtiden ikke skulle kunne
lade sig gøre. Dette vil blive implementeret når vi er færdige. Vi vil
dog gøre opmærksom på at det mere er reglen end undtagelsen, at man kan
browse dele af operativsystemet på en Microsoft Windows webserver via et
modificeret script på et Webhotel.
Selv om man kan se dele af operativsystemet på en Microsoft Windows
webserver, har man kun rettigheder til at læse disse standardfiler der
er i dette. Det er således ikke at tage som et decideret sikkerhedshul,
nærmere en mulighed for at studere det directory som ens webservice
benytter.
Dermed falder Newz.dks artikel helt igennem, og må antages som
sladderjournalistik af værste skuffe. Dette verificeres også af flere
kommentarer under artiklerne.
Newz.dk kommenterer selv en af artiklerne ved at skrive om en 2 1/2 år
gammel passwordliste med 360 domæners password. Sikkerhedsbristen
dengang, skyldtes at vi, da Cliche blev overtaget, overtog en Windows
webserver med et alvorligt sikkerhedshul, samt et system med ukrypterede
data. Dette blev straks lukket da vi fik information om at en ondsindet
hacker havde postet hele listen på usenet. Disse domæner fik dengang
skiftet password, men enkelte har dog senere skiftet password til det
gamle igen, hvilket gjorde at disse igen virkede. Vi har nu igen
gennemgået og skiftet disse til nye, hvilket selvfølgelig har forvirret
disse kunder og afstedkommet nogle få blev sure, men vi håber de kan
forstå nødvendigheden af at et password der er offentliggjort ikke må
bruges mere.
Derudover skriver Newz.dk, at vores versioner af PHP er for gamle og
dermed usikre. Nu går det for alvor galt med Newz.dk´s forståelse for
det, at køre webhotel. At en version af PHP, der er opdateret med de
officielle sikkerhedsopdateringer skulle være usikker, må stå for deres
egen regning, da det kommer an på om funktionerne der er omfattet af
fejlrettelser, er tilgængelige for brugere.
Igen, for at der ikke skal være tvivl om at vi imødekommer kundernes
mulige behov, har vi fremskyndet en komplet PHP-opdatering af vore
Apache webservere.
Så alt i alt har Newz.dk vel med artiklerne skudt sig selv lidt i foden,
og gået over til at skrive sladderartikler uden at undersøge tingene ret
grundigt. De kører øjensynligt hetz mod ET webhotel, når der er tale om
at 90% har denne opsætning. Derudover gør de sig selv til grin ved at
skrive at det skulle være et alvorlig sikkerhedsproblem. Et
sikkerhedsproblem er hvis data af privat karakter er umiddelbart
kompromitterbare. Her er der tale om harmløse data, de er ikke
umiddelbart tilgængelige uden at man er kunde på serveren, har et script
og modificerer dette, samt at man stadig kun kan se filerne, ikke skrive.
Uanset hvad, så må det antages at være sløsede sladderartikler, hvis
eneste formål har været, for de 2 forfattere og ex-kunder, at få hævn
overfor Cliche Webhotel. De har ikke gennemtænkt hvilke konsekvenser det
ville have, hvis der virkelig var en sikkerhedsbrist, med hensyn til de
mange tusinde kunder der kunne være ramt. De har ikke ringet for at få
en kommentar, ej heller bedt om lov til at forsøge hacking af vores
domæneliste. De har blot gjort dette.
Vores firmapolitik omkring at poste indlæg på usenet og andre offentlige
steder, har siden år 2001 været, at det gør vi ikke. De falske
kommentarer der således er bragt af Newz.dk til deres artikler, som om
de er fra Cliche.dk, er ikke engang fjernet.
Med venlig hilsen
Morten Bonavent
Adm. Dir.
Cliche.dk A/S
http://www.cliche.dk
Venlig hilsen
Karina Lennet
Support
Cliche.dk A/S
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund