mboost-dp1
SXC - fadaguiga
Jeg synes nu overskriften passer perfekt til resumeet. Og så er jeg i øvrigt helt enig med sikkerhedsekspertens udtalelse.
Faktisk ser jeg lidt for ofte fejl i "apati-kategorien". Jeg siger "man kan blot prøve sig frem med forskellige id'er i URL'en, og på den måde finde ting du tror du har spærret for. Det er ikke nok at lade være med at linke" - og så kommer svaret "det er der da ingen der gør, hvorfor skulle de det?" Well...
Faktisk ser jeg lidt for ofte fejl i "apati-kategorien". Jeg siger "man kan blot prøve sig frem med forskellige id'er i URL'en, og på den måde finde ting du tror du har spærret for. Det er ikke nok at lade være med at linke" - og så kommer svaret "det er der da ingen der gør, hvorfor skulle de det?" Well...
#4
Generelt set er der for lidt programmører, der foretager tjek på alle sider. Fx med at tjekke om en bruger stadig er logget ind, når vedkommende sender et indlæg, personen har siddet og skrevet. For mange tjekker kun om brugeren er logget ind, når siden skal vises, men ikke når indhold sendes.
Generelt set er der for lidt programmører, der foretager tjek på alle sider. Fx med at tjekke om en bruger stadig er logget ind, når vedkommende sender et indlæg, personen har siddet og skrevet. For mange tjekker kun om brugeren er logget ind, når siden skal vises, men ikke når indhold sendes.
Jeg mindes faktisk en sag i england, hvor der var én fyr der fik straf for at ændre i url'en på samme måde som her.
Gik under "injection" og "intentional hacking".
Tror dog ikke ligefrem nogen ville blive dømt for sådan noget i danmark, men stadig en tanke. Det er teoritisk set "trial and error" hacking.
Gik under "injection" og "intentional hacking".
Tror dog ikke ligefrem nogen ville blive dømt for sådan noget i danmark, men stadig en tanke. Det er teoritisk set "trial and error" hacking.
6 skrev:Jeg mindes faktisk en sag i england, hvor der var én fyr der fik straf for at ændre i url'en på samme måde som her.
Hvilket umiddelbart lyder absurt.
Jeg bruger af og til min logiske sans til at gætte urler, i stedet for at rode rundt i menuer og søgemaskiner. Hvis siden jeg så kommer ind på er hemmelig, så kan jeg sgu ikke gøre for at den er offentlig tilgængelig alligevel.
Hvis man så ved at det ikke skulle have været offentligt tilgængeligt, så er det strakt noget andet. Ikke hacking, men heller ikke helt uskyldigt.
Man anklager jo heller ikke en vindueskigger for at hacke gardinerne, hvis beboeren har glemt at lukke dem.
Typisk begynder fejl for en programmør... tænker ikke over at tilgangen til en side kan ske fra andet end linking han selv har lavet..
Så kan man så spørge sig selv hvordan FCM ikke har sørget for at købe fra et professionelt firma?
Så kan man så spørge sig selv hvordan FCM ikke har sørget for at købe fra et professionelt firma?
http://www.lynxvermoe.dk/
Det er vist dem, der har lavet den... :P
"Vi var med fra Internettets start og har udarbejdet hundredvis af hjemmesider til store som små virksomheder..." :-)
Det er vist dem, der har lavet den... :P
"Vi var med fra Internettets start og har udarbejdet hundredvis af hjemmesider til store som små virksomheder..." :-)
11 skrev:#7
Uden at vide det, så synes jeg at have hørt det er ulovligt..?
Uanset, så er det er ikke hacking.
Det KAN også være ulovligt at gætte URL'er. Spørgsmålet er vel først og fremmest intentionen. Her vidste de åbenbart godt at de så ting, som ikke skulle have været offentliggjort.
Normalt kan man godt se forskel på et udstillingsvindue og et soveværelsesvindue. Det ulovlige og uetiske handler hverken om gardiner eller vinduer (eller urler eller dårlig kode) - det handler om hvad man gør med de muligheder man har - hvorvidt man handler med ond hensigt.
Det er ikke (SQL) injection.
Jeg vil ikke engang kaldet det manglende input validering.
Det er et design problem - man har tilsyneladende defineret publisering som værende at smide et link på forsiden. Det er ikke godt nok for et CMS.
----
Hvis dem der indtaster den URL er klar over at det skaffer dem adgang til materiale som de ikke bør have adgang til, så kan det rubriceres som hacking og potentielt være strafbart.
Jeg vil ikke engang kaldet det manglende input validering.
Det er et design problem - man har tilsyneladende defineret publisering som værende at smide et link på forsiden. Det er ikke godt nok for et CMS.
----
Hvis dem der indtaster den URL er klar over at det skaffer dem adgang til materiale som de ikke bør have adgang til, så kan det rubriceres som hacking og potentielt være strafbart.
17 skrev:Der står ingen steder i resuméet, at FCM frygtede, det var et hackerangreb.
Der står heller ikke noget der indikerer det modsatte.
"Midtjyderne blev opmærksomme på problemet, da pressemeddelelsen om, at klubbens træner stopper slap ud til pressen flere timer før, at den skulle have været offentliggjort."
Hvis du var en af disse "midtjyder", ville du ikke også frygte hackerangreb? Alternativet må vel være at vide, at sikkerheden er så grum, at man kan vade direkte ind i det hemmelige område.
Eller er der en journalist-regel om at alt hvad der står i en overskrift ikke betyder noget, og at evt. reel information derfor skal gentages i artiklen?
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund