mboost-dp1

newz.dk

Fri adgang til avisen.dk’s artikler og blog-indlæg

- Via Avisen.dk -

Nyhedsavisens online pendant, avisen.dk, har vist sig at have et meget stort sikkerhedshul. Så stort, at det har været muligt at ændre i så godt som alt indhold på siden. Det opdagede bloggeren Michael Lykke i weekenden.

I sit oprindelige indlæg på avisen.dk kunne Lykke fortælle, hvordan det var muligt ikke bare at rette i egne indlæg på egen blog, men også alle andre indlæg, og tilmed i en hvilken som helst blog på siden.

I dag kom det så frem, at det også var muligt at rette i alle artikler på hjemmesiden, hvilket jf. ComON har fået udviklere på siden til at arbejde på højtryk for at udbedre fejlen.





Gå til bund
Gravatar #1 - bjerh
27. aug. 2007 13:00
Hvilken 17 årig knægt har de fået til at skrive deres kode? Sådan noget må bare IKKE ske. Det er godt nok pinligt!
Gravatar #2 - buch
27. aug. 2007 13:09
#1
Om man er 17 eller 36 giver det samme. Det der betyder noget er hvor god man er til at kode og ikke alderen, så forstår ikke hvor du vil hen med det der!


Fri adgang til artikler er vel det der i daglig tale bare kaldes vidensdeling.
Gravatar #3 - TYBO
27. aug. 2007 13:13
Det er jo bare open source :)
Gravatar #4 - bjerh
27. aug. 2007 13:18
#2.. Hvor jeg vil hen med det er at hovedrystende fejl typisk findes ved sider, hvor programmøren ikke er så erfaren. Typisk en teenager, som laver sider i sin fritid.

Ikke et ondt ord om unge fremtidige programmører. Men det kan til tider være en god ide at søge hjælp hos et firma istedet, om man har et stort projekt der skal sættes i værk. :)

Og om man er 17 eller 36 har ikke nogen betydning, nej. Men om man er begyndt om 17 eller 36 årig har en STOR betydning. Jeg syntes bare det virker yderst sjusket at man på den måde kan få adgang til hele deres netværk.
Gravatar #5 - buch
27. aug. 2007 13:24
#4
Men hvis den 17 årige har programeret siden personen sked i flyverdragten, og den 36 årige kun har været i marken 4 år så ved jeg godt hvem jeg ville vælge.

Min pointe er at du kan ikke bedømme nogen ud fra deres alder, men at det hele handler om erfaring og evner.

Du kan jo også vende den om at se på gamle folk der kører bil.

De har muligvis kørt bil i mange år, men det er ikke betydende med at de kører bedre bil end andre :)
Gravatar #6 - Swarms
27. aug. 2007 13:43
#5 Dårlig sammenligning, ældres hjerner og krop virker ikke på samme niveau som den gjorde før.

Indrøm nu bare du blev såret fordi du er 89'er, men hvad fanden, det er jeg jo også.
Gravatar #7 - bjerh
27. aug. 2007 13:49
#5.. Narj.. Men det er så også andre faktorer der spiller ind, hvilket gør at de alligevel ikke bliver bedre billister. Hvis der var deres job at køre bil, tror jeg nok de ville være bedre jo ældre de blev. Så længe deres krop ikke blev i dårligere stand.

Men nu skal vi jo også tænke lidt over det. Der er jo ikke nogle børn der lærer programmering. Hvis en 21-22 årig med fin uddannelse, der havde programmeret i 4 år, og som tilmed havde en virksomhed han arbejde i, så ville jeg da lige så gerne bruge ham som en der havde programmeret i 4 år siden han var 32.

Men vi er jo enige nu. Jo ældre, jo bedre. Og jeg snakkede jo også blot om de typiske problemfyldte produkter som teenageejede enmandsfirmaer leverer, og hvorfor en mere professionel løsning derfor ofte er bedre.
Gravatar #8 - Magten
27. aug. 2007 13:53
#7 "Jo ældre jo bedre" <- Uenig.. Hvorfor skulle man være bedre fordi man er ældre? En på 22 som har programmeret i 4 år kan da sagtens være lige så god som ham på 36 der har programmeret i 4 år...?
Gravatar #9 - buch
27. aug. 2007 13:59
#6
Følte mig nu ikke truffet, for jeg kan ikke kode :)
Gravatar #10 - avizion
27. aug. 2007 14:06
Gad vide om avisen.dk har fået teksten "beta" på _før_ eller efter weekenden? :)

Det er desværre ikke et enkeltstående tilfælde, men det er langt fra alle sager der når at komme offentlighedens søgelys inden fejlen er begravet og længe glemt.

Jeg kender til flere virksomheder der har udviklet store systemer, hvor indtil flere fatale fejl har sneget sig ind i produktionskoden.

En meget udbredt fejl er f.eks. SQL injection, hvor det i værste fald kan lade sig gøre at udnytte hullet til at ændre / slette alle tabeller (felter) i en given database. Det er altså ikke bare felter der direkte er tilgængelige online, men også alt bagvedliggende - så som brugerinformation, statistikker - og hvis vi skal komme ind på et skrækeksempel, så er det nok når firmaet kun har 1 database til at styre flere systemer. Sådan lækkes løninformation og andre personlige data, når systemet er designet elendigt - for ikke at sige uacceptabelt.

Om dette er måden avisen.dk kan udnyttes på ved jeg ikke. Det kan også være et simpelt URL attack, som nok er endnu mere udbredt - da det er langt mere simpelt at udføre for nysgerrige personer (som desværre nogen gange er ondsindet).

Og ja, alder != erfaring... erfaring == erfaring.
Gravatar #11 - avizion
27. aug. 2007 14:10
...fortsat

Jeg er forresten ikke ondsindet - men da min hobby er webudvikling (og tidligere job) er jeg naturligvis nysgerrig. Jeg tester mine egne systemer meget grundigt, og af samme årsag prøver jeg at holde mig lidt opdateret mht. udnyttelse af onlinesystemer m.v.

At sådan noget kan lade sig gøre på så store hjemmesider er jo bare direkte flovt. Mere er der vist ikke at sige til det...
Gravatar #12 - sinc
27. aug. 2007 14:20
Det er helst sådan nogle ting der skulle fanges i beta test fasen ..men som der også nævnes der kan jo komme fejl ind i alle system, hvis der ikke er ordenlig/grundig testing. Det er desværre den testing del "nogle" springer lettere over pga det er kedeligt ;).
Gravatar #13 - madsensen
27. aug. 2007 14:30
på comon skriver de, at det skyldes manglende kontrol af artikel-id ved redigering. Dvs de har glemt at kontrollere ejerskabet af artiklen, inden de tillader en bruger at overskrive indholdet
Gravatar #14 - avizion
27. aug. 2007 14:36
De lukkede for hullet omkring kl. 12 i dag.

http://www.comon.dk/index.php/news/show/id=32392
Gravatar #15 - martinonline
27. aug. 2007 16:45
#1 og #4.

Alder er ikke lig klogskab.
En 10årig kan sagtens være klogere end en 35årig på nogle punkter.
Der findes mange dumme voksne og unge som er meget klogere.
Selfølgelig findet det omvendst også.
Gravatar #16 - arne_v
27. aug. 2007 17:13
#2

Uddannelse, erfaring og modenhed reducerer antallet af brølere.

En alder på 34 år er ingen garanti for at disse egenskaber findes, men en alder på 17 år er en garanti for at de ikke findes.
Gravatar #17 - byteeater
27. aug. 2007 17:16
#15 Nej, men med alderen kommer erfaringen og den kan vise sig at være meget afgørende.
Der er vel ingen tvivl om at man bliver bedre til at uvikle jo mere erfaring man får og med alderen får man også en mere professionel tilgang - generelt er man mere omhyggelig.

Noget andet er at det burde være fanget i testfasen, men det er jo ikke altid testeren har den "hacker" fantasi.

#5 Nu siger statistikkerne jo faktisk at unge ikke er så gode til at køre bil, netop pga. deres manglende erfaring.
Gravatar #18 - forkz
27. aug. 2007 17:46
Hmmm.... Sjovt at der bare ikke er nogen kommercielle virksomheder der kan finde ud af at kode :P

Også arto har en enkelt, eller flere, "spændene" fejl... ...jeg har i hvert fald fundet den ene. Sidder bare og overvejer hvad jeg skal gøre med den.

Mmm... Phish for dinner ^^
Gravatar #19 - avizion
27. aug. 2007 18:19
#17: At testeren ikke har fantasi som en "hacker" kan jeg godt skrive under på. Det har jeg oplevet adskillige gange selv.

Jeg bliver både imponeret men ikke mindst forskrækket når jeg ser de huller de blotlægger på meget kort tid. Ting jeg slet ikke havde overvejet kunne være et problem.

Heldigvis lærer jeg af mine fejl, og så er vi tilbage til alder og erfaring - for selvfølgelig hænger disse to sammen... på sin vis.

Det kræver en helt speciel tankegang, at kunne misbruge et system så systematisk - noget jeg nok aldrig lærer 100%. Jeg håber dog at de erfaringer jeg har gjort mig gennem 10+ år er med til at sikre en hvis kodekvalitet, men det er ingen garanti. Også denne subkultur er altid under udvikling, så det er med at følge med, hvis man skal gøre sig nogen forhåbning om at være bare nogenlunde forberedt.

</rant>
Gravatar #20 - ajust
27. aug. 2007 20:35
#18 Forskellen er, at på Arto er det fair nok, fordi ingen nørder med respekt for sig selv, vil nogensinde nærme sig den hjemmeside :).
Gravatar #21 - forkz
27. aug. 2007 20:40
#18: Det sker alligevel ind i mellem...
Statistisk set ville man kunne rekvirrere halvfems procent af de passwords der er der inde, og det ville, i realiteten, være nok til at man kunne lukke siden ned.

Og jeg kan da så alligevel fortælle dig, at der er et par hardcore kodere/programmørere derinde, og en del Linux-brugere (både af de "nemme" og "svære" distrobutioner).

Jeg kan egenligt ikke sætte mig ind i tankegangen om at, bare fordi man er nørd går man ikke på arto.
Gravatar #22 - Acro
27. aug. 2007 21:27
Problemet med unge programmører er sjældent den kode, der produceres. Det er i stedet mangel på indsigt. Hvor mange på 17 år gider at læse om designmønstre, arkitektur og andre teoretiske ting ved systemudvikling? Jeg kender ikke ret mange, og jeg gad bestemt ikke selv. Koden kan dog sagtens være fin nok som udgangspunkt, men den mangler i mange tilfælde store dele af det, der burde være fanget i en omfattende analyse. Når det er sagt, så gælder det dog ikke kun "børn". Det gælder også de personer, der koder som et fritidsarbejde. Det er nemlig også de færreste af den type mennesker, der gider at kende til teorierne. Der er jo en årsag til, at samfundet har brug for dataloger...
Gravatar #23 - bugger
27. aug. 2007 22:30
I tyverne går evnen til indlæringen ned ad bakke... så er det at man på leve på det de gamle kalder erfaring ;)
Gravatar #24 - Windcape
27. aug. 2007 23:07
#2

Uddannelse, erfaring og modenhed reducerer antallet af brølere.

En alder på 34 år er ingen garanti for at disse egenskaber findes, men en alder på 17 år er en garanti for at de ikke findes.

Forkert eller manglede uddanelse på enkelte punkter skaber en person der tror hans side er sikker, men ikke laver det sikker.

En 17åring kan have ligeså meget, eller mere pratisk erfaring end end 34årig, og modenhed inden for IT er tit ignorance overfor det at skulle "lære noget nyt" hvor man føler sig erfaren.

Under alle omstændigheder så er sikkerhedsfejl af denne her format (noob fejl, so to say), baseret på manglede erfaring. Hvilket jeg kender en god stak unge som har bevist at have den nødvendige erfaring for at lave sådanne fejl.

Og specielt inden for webudvikling, vil jeg mener at erfaring tæller langt mere end alder. Og en 17årig som koder 10 timer om dagen og lærer af sine fejl er da absolut mere pålidelig end en medarbejder som stykker kode sammen i Visual Studio, og ikke gør forsøg på at udvide sin viden overhovedet.
Gravatar #25 - Windcape
27. aug. 2007 23:10
Det er i stedet mangel på indsigt. Hvor mange på 17 år gider at læse om designmønstre, arkitektur og andre teoretiske ting ved systemudvikling? Jeg kender ikke ret mange, og jeg gad bestemt ikke selv.

Nogle gør (blandet andet mig selv).

Hvor mange webintegratorer ved overhovedet hvad de begreber er ? Og det er faktisk en uddanelse som er målrettet at bygge hjemmesider (latterlig uddanelse, men stadigvæk en uddanelse).

Eller et datamatiker som har lært at kode applications, hans viden kan ikke umidbart skaleres over på web, da man også skal have viden om clientside quirks osv.

Det er jo tydeligt at se på newz.dk's nuværende kode at forfatterne stadig ikke har fattet hvordan IE6 behandler <?xml- ?> og hvorfor XHTML ikke findes. Og her forventede man endda erfarne nørder gjorde man ikke ?
Gravatar #26 - mireigi
28. aug. 2007 00:10
Nu skal i jo passe på at hele debatten om ældre vs unge programmører ikke kører helt af sporet. I er jo alle, tilsyneladende, fanget af begrebet "erfarring". Men der findes andre slags erfarring end blot lige erfarring inden for fx C#.

En på 37 der har programmeret C# i 4 år er måske lige så erfarren indenfor dette sprog som en på 17 der også har 4 års erfarring med dette sprog. Men hvis den 37-årige tidligere har programmet i fx COBOL, Java eller Delphi vil han have langt større erfarringen inden for udviklingen af systemet. Så kan det godt være at hans kode ikke er lige så smart eller avanceret som det den 17-årige kan skrive, men pga hans erfarring med andre sprog forstår han at bruge mere simpel kode mere effektivt.

#25 - thedeathart:
Er selv lige startet på Datamatikerens 4. semester og det meste af semestret kommer vi til at beskæftige os med integrerede systemer, internet applikationer og distribuerede systemer i en skønsom blanding sammen med ASP.NET. Så ved ikke lige hvor du vil hen med dine clientside quirks? Dem får vi også noget viden om svjv.
Gravatar #27 - ReyMan
28. aug. 2007 00:30
Alle under 37 er onde
Gravatar #28 - arne_v
28. aug. 2007 01:13
#24

En 17åring kan have ligeså meget, eller mere pratisk erfaring end end 34årig,


En 17 årig kan jo ligesom per definition ikke have meget erfaring. Det kan en 34 årig have.

(meget erfaring er >10 års erfaring)

og modenhed inden for IT er tit ignorance overfor det at skulle "lære noget nyt" hvor man føler sig erfaren.

Under alle omstændigheder så er sikkerhedsfejl af denne her format (noob fejl, so to say), baseret på manglede erfaring.


Et eksempel på modenhed er at have erkendt at alle fra noob til veteran laver fejl og at man derfor skal have en process som fanger de fejl.

Og specielt inden for webudvikling, vil jeg mener at erfaring tæller langt mere end alder. Og en 17årig som koder 10 timer om dagen og lærer af sine fejl er da absolut mere pålidelig end en medarbejder som stykker kode sammen i Visual Studio, og ikke gør forsøg på at udvide sin viden overhovedet.


Som sagt er det lidt svært for en 17 årig at have 10 års erfaring.

Og en frase som "koder 10 timer om dagen" giver mig associationer til en der sidder og skriver kode 10 timer om dagen. Og så kan jeg garantere for at kvaliteten er i bund. Det er også ret ligegyldigt om folk bruger VS eller notepad. Indtastning af kode er en lille del af det at producere (kvalitets) software - en lille del af "software engineering", hvis skal snakke udenbysk.
Gravatar #29 - el_barto
28. aug. 2007 06:16
Tjae...lyder som en designfejl i koden fra starten af. Det burde slet ikke være nødvendigt at teste koden for så indlysende sikkerhedsbrister.

Men igen, det er hvad der sker når køber CMS hos et reklamebureau...
Gravatar #30 - Acro
28. aug. 2007 21:41
#29 el_barto:
Det var alligevel noget af et postulat. De fleste reklamebureauer forhandler rent faktisk ordentlige produkter, fordi de fleste PHP-nørder på 17-år ikke rigtigt har mulighed for at komme inden for den vej. Til gengæld finder man det dårligste software i CMS-branchen hos de gymnasiestuderende, der samtidig vil gøre karriere som selvstændige, fordi de har lavet deres eget websted og mener, at de så også kan lave andres.
Gravatar #31 - el_barto
29. aug. 2007 11:38
#30
Jep, men jeg mener det sgu ;)

CMS skal du købe hos et firma der hovedsagligt beskæftiger sig med webudvikling.

Det system avisen.dk bruger er så vidt jeg ved Community Server (http://communityserver.org), videreudviklet af det firma hvor de har købt det (HelloWeb, det gamle Juul&Stejle) der mest af alt er et reklamebureau.

Community Server er i sig selv sikkert et fint system, det er bare smadret af nogen der ikke ved hvad de laver.
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login