mboost-dp1
unknown
hvis det er muligt at snyde systemet til at udlevere et password til en person der ikke skal have adgang til det password, så er det da et sikkerhedshul i mine øjne.
men at man så også lige _gætter_ handle samt faktura nummer på et domæne man har lyst til, såe.. jah, bare begynd at gætte :)
men at man så også lige _gætter_ handle samt faktura nummer på et domæne man har lyst til, såe.. jah, bare begynd at gætte :)
Det er da skræmmende at det er så let for folk med dårlige hensigter at komme frem til personlige oplysninger.
Dertil kommer det at Dk Hostmasters ikke opfatter et -hvad jeg vil kalde, enormt sikkerhedsproblem, som et sikkerhedshul.
Det er da foruroligende at et professionelt firma, kan håntere noget så gennemgående uprofessionelt.
Dertil kommer det at Dk Hostmasters ikke opfatter et -hvad jeg vil kalde, enormt sikkerhedsproblem, som et sikkerhedshul.
Det er da foruroligende at et professionelt firma, kan håntere noget så gennemgående uprofessionelt.
Hvor svært er det at lave et script der åbner den givne side med alle tænkelige fakturanumre og brugerid.. ikke særligt svært, når man kender længden på de givne variabler og hvilke tegn de kan indeholde. Man leder jo heller ikke kun efter 1 hit - man vil jo få mange resultater, selv om man ikke kan nå et check af alle de mulige kombinationer.
Derudover har DK Hostmaster sikkert heller ikke et check på hvor mange forsøg man bruger på åbne den ønskede side, som man bør have på en normal login side.
Jeg vil da sige det er et overordentlig stort sikkerhedshul, som bare skal rettes ASAP. Det er jo security by obscurity - problemet er bare, at det slet ikke er særligt obskurt.
Derudover har DK Hostmaster sikkert heller ikke et check på hvor mange forsøg man bruger på åbne den ønskede side, som man bør have på en normal login side.
Jeg vil da sige det er et overordentlig stort sikkerhedshul, som bare skal rettes ASAP. Det er jo security by obscurity - problemet er bare, at det slet ikke er særligt obskurt.
Det burde da være relativ let at fixe, f.eks. ved at bruge sessions til at gemme kontonummeret og faktura nummeret i, i stedet for at bruge et _GET call. Bare sådan generelt _GET er en dårlig ide når det gælder sensitive data.
Ville man ikke kunne gøre det med alle tjenester på nettet der kræver login?
Det kræver trods alt (såvidt jeg har forstået) at man gætter BÅDE kontonummer OG password!
Problemet var jo at en person selv havde lagt sine egne loginoplysninger ind på sin egen hjemmeside, hvorefter man kunne finde dem på google. Sådan stupiditet kan umuligt være DK-Hostmasters problem.
Det kræver trods alt (såvidt jeg har forstået) at man gætter BÅDE kontonummer OG password!
Problemet var jo at en person selv havde lagt sine egne loginoplysninger ind på sin egen hjemmeside, hvorefter man kunne finde dem på google. Sådan stupiditet kan umuligt være DK-Hostmasters problem.
#8
Sådan som jeg læser det så er det kun brugerens handle du skal vide på forhånd.. I din relation til "alle loginbaserede tjenester på nettet", så kræver det faktisk kun brugernavnet - og en nogenlunde forstand omkring hvordan et fakturanr hos dk-hostmaster ser ud. (Mange er vel selv kunde, så det burde ikke være så svært).
Så det *kan* som jeg ser det faktisk godt være dk-hostmasters problem, i og med at deres faktura tilsyneladende ikke er specielt godt gemt væk i deres system.
Det er nok meget normalt, hvis det er en pdf, der henvises til - eller hvad ved jeg. :)
At dk-hostmaster ikke selv mener det er et problem er en lille smule underligt. Lad os håbe de får lukket af for det alligevel, men bare ikke vil indrømme at det er en fejl.
Sådan som jeg læser det så er det kun brugerens handle du skal vide på forhånd.. I din relation til "alle loginbaserede tjenester på nettet", så kræver det faktisk kun brugernavnet - og en nogenlunde forstand omkring hvordan et fakturanr hos dk-hostmaster ser ud. (Mange er vel selv kunde, så det burde ikke være så svært).
Så det *kan* som jeg ser det faktisk godt være dk-hostmasters problem, i og med at deres faktura tilsyneladende ikke er specielt godt gemt væk i deres system.
Det er nok meget normalt, hvis det er en pdf, der henvises til - eller hvad ved jeg. :)
At dk-hostmaster ikke selv mener det er et problem er en lille smule underligt. Lad os håbe de får lukket af for det alligevel, men bare ikke vil indrømme at det er en fejl.
#8: Det er svært at udelukke at andre tjenester ikke har samme problem, men ud over den detalje at et faktura-nummer er til at gætte, så er problemet jo at man kan foretage et login til følsomme data ved en simpel url-redirect.
Du ser ikke mange steder hvor dette er muligt, da et simpelt check på referrer ville kunne fikse det. (dog ville den omtalte hjemmeside miste sin funktionalitet)
At han havde lagt sin egen pinkode ud på nettet burde jo kun være et sikkerhedsproblem for hans egne følsomme data, men nu ser det jo ud til at dk-hostmaster har muliggjort "fast-user-switching" ;-)
Du ser ikke mange steder hvor dette er muligt, da et simpelt check på referrer ville kunne fikse det. (dog ville den omtalte hjemmeside miste sin funktionalitet)
At han havde lagt sin egen pinkode ud på nettet burde jo kun være et sikkerhedsproblem for hans egne følsomme data, men nu ser det jo ud til at dk-hostmaster har muliggjort "fast-user-switching" ;-)
#8 Du har misforstået noget. DK-Hostmaster har en "faktura selvbetjenings ting" Hvor du vha. dit Handle og dit fakturanummer kan se dine fakturaer. Problemet for mit vedkomne er at DKhostmaster er så dumme (Ja du læste dumme), at de smider pinkoden til at logge ind med på deres fakturaer. Det er i sig selv et sikkerhedshul at skrive koder ned på papir! Hvis du f.eks. efterlader en DK-Hostmaster faktura et sted ved et uheld, indeholder fakturaen nok info til at en hvilkensomhelst person kan gå ind og ændre alt mht. dit domæne! Jeg stemmer for at DKhostmaster fjerner pinkoderne fra deres fakturaer :P (fjolser... tsk tsk...)
#8 Du har misforstået noget. DK-Hostmaster har en "faktura selvbetjenings ting" Hvor du vha. dit Handle og dit fakturanummer kan se dine fakturaer. Problemet for mit vedkomne er at DKhostmaster er så dumme (Ja du læste dumme), at de smider pinkoden til at logge ind med på deres fakturaer. Det er i sig selv et sikkerhedshul at skrive koder ned på papir! Hvis du f.eks. efterlader en DK-Hostmaster faktura et sted ved et uheld, indeholder fakturaen nok info til at en hvilkensomhelst person kan gå ind og ændre alt mht. dit domæne! Jeg stemmer for at DKhostmaster fjerner pinkoderne fra deres fakturaer :P (fjolser... tsk tsk...)
Det er lidt det samme som hvis ens bank skrev pinkoden til ens Dankort på alle kontoudtog :P
Det er lidt det samme som hvis ens bank skrev pinkoden til ens Dankort på alle kontoudtog :P
handle's er offentligt tilgængelige, og faktura nr. er til at hitte ud af.
Så det er kun faktura nr. man skal bruge - derefter vil man kunne få adgang da pinkoden står på fakturaen.
Så det er kun faktura nr. man skal bruge - derefter vil man kunne få adgang da pinkoden står på fakturaen.
Altså strategien er jo idiotisk. Men sikkerheden er vel fair nok - det er vel ikke et hul men en svaghed.
Men jeg forstår ikke hvorfor at man som bruger skal passe nu på ikke bare to ting (handle og pin) men også på fakturaen...
Det er jo liiiidt kritisabelt at lægge så mange oplysninger ud på en faktura og det gør rent teknisk at fakturaen bliver mindst lige så vigtig som pin-koden.
Når man handler i føtex så står ens pinkode heller ikke på den lille dankort-kvittering man modtager - det ville være forygt hvis den gjorde, - og man må som bruger hos DKHostmaster bare vænne sig til at holde evt fil-kvitteringer godt skjult.
OffTopic: Og så er jeg i øvrigt efterhånden godt og grundig træt af DKHostmasters log-in-system der konstant spørger efter pin og handle hver gang man trykker på en menu...
Men jeg forstår ikke hvorfor at man som bruger skal passe nu på ikke bare to ting (handle og pin) men også på fakturaen...
Det er jo liiiidt kritisabelt at lægge så mange oplysninger ud på en faktura og det gør rent teknisk at fakturaen bliver mindst lige så vigtig som pin-koden.
Når man handler i føtex så står ens pinkode heller ikke på den lille dankort-kvittering man modtager - det ville være forygt hvis den gjorde, - og man må som bruger hos DKHostmaster bare vænne sig til at holde evt fil-kvitteringer godt skjult.
OffTopic: Og så er jeg i øvrigt efterhånden godt og grundig træt af DKHostmasters log-in-system der konstant spørger efter pin og handle hver gang man trykker på en menu...
tja... jeg kan så se at jeg ikke er ramt... for der ligger sgu slet ingen fakturaer i min... og i øvrigt HAR man jo muligheden for at skifte pinkode... det vil jo så være fornuftigt at gøre hver gang man modtager en faktura, så er vi ovre det problem ;)
Det største hul er da at vores idiotiske politikere har fjernet retten til et privatliv ved at tvinge alle some har et domæne til at have deres address oplyst - "Nå, der var nok nogen som var uforsigtige at skrive de tog på ferie, så kan vi lige så deres addresse op og røve deres hus" - almindelige mennesker har lov at have hemmeligt telefon nummer, det burde det også for websider - politiet kan naturligvis få det med dommer kendelse, men det rager ikke andre.
#5
Ja, det hedder bruteforce. Hvorfor så ikke bare gå igang med adgangskoderne, og gætte sig frem til dem?
Synes ikke det er et alvorligt sikkerhedshul. Når man logger ind skal man bruge handle og adgangskode - her er adgangskode ukendt. Når man vil udnytte sikkerhedshullet her, skal man bruge handle og fakturanummer - her er fakturanummer ukendt. Hvor er forskellen? Om man skal gætte sig frem til en adgangskode eller et fakturanummer? Big deal!
Ja, det hedder bruteforce. Hvorfor så ikke bare gå igang med adgangskoderne, og gætte sig frem til dem?
Synes ikke det er et alvorligt sikkerhedshul. Når man logger ind skal man bruge handle og adgangskode - her er adgangskode ukendt. Når man vil udnytte sikkerhedshullet her, skal man bruge handle og fakturanummer - her er fakturanummer ukendt. Hvor er forskellen? Om man skal gætte sig frem til en adgangskode eller et fakturanummer? Big deal!
#18 ved fejlindtastning 3 gange vil pinkoden blive blokeret. Se https://www.dk-hostmaster.dk/index.php?id=6
Jeg har fået svar fra DK Hostmaster på min henvendelse til dem. Svaret kan ses her: http://asger.dk/2007/07/14/svar-fra-dk-hostmaster
Spørgsmålet fra min side er om det ikke er nemmere at gætte pinkoden end fakturanummeret!?
Hvis jeg ikke husker helt galt så er det 4 TAL langt, det må give omkring 10.000 muligheder - Jeg kunne forestille mig at der er flere fakturanumre at gætte end det, selvom man måske kan indgrænse det til at være indenfor et interval ved at se på udløbsdatoen for domænet.
Et eller andet sted er det vel bare et spørgsmål om at DK-hostmaster enten fjernet pinkoden fra onlinefakturaer, og/eller begrænser antal opslag fra et bestemt IP til x (fejl) i timen og/eller til x forsøg på et bestemt handle i timen.
Hvis jeg ikke husker helt galt så er det 4 TAL langt, det må give omkring 10.000 muligheder - Jeg kunne forestille mig at der er flere fakturanumre at gætte end det, selvom man måske kan indgrænse det til at være indenfor et interval ved at se på udløbsdatoen for domænet.
Et eller andet sted er det vel bare et spørgsmål om at DK-hostmaster enten fjernet pinkoden fra onlinefakturaer, og/eller begrænser antal opslag fra et bestemt IP til x (fejl) i timen og/eller til x forsøg på et bestemt handle i timen.
Jeg har altid forholdt mig stærk kritisk overfor at DK Hostmaster skrev pin koden på kundens faktura.
Dengang jeg i forbindelse med mit arbejde havde med en hel del .dk domæner at gøre, kontaktede jeg DK Hostmaster for at få dem til at fjerne pin koden fra vores faktura, men uden held. Jeg kan ikke huske hvilken begrundelse de gav, men det var nærmest til grin. Det stod tydeligt for mig, at de ikke havde (og stadig ikke har) begreb om sikkerhed.
Dengang jeg i forbindelse med mit arbejde havde med en hel del .dk domæner at gøre, kontaktede jeg DK Hostmaster for at få dem til at fjerne pin koden fra vores faktura, men uden held. Jeg kan ikke huske hvilken begrundelse de gav, men det var nærmest til grin. Det stod tydeligt for mig, at de ikke havde (og stadig ikke har) begreb om sikkerhed.
Så ser det ud til at hullet er lukket nu. Det tyder på der er sat en spærring på, som gør at man højst kan forsøge at hente en faktura 3 gange i døgnet, med forkert fakturanummer.
Er der nogen der ved om Google forbeholder sig ret til at indeksere links fra e-mails i deres Gmail service? og om de faktisk gør det?
hmm.... gad vide om www.dk-hostmaster.dk/?admin=true virker til at få fuld adgang til DK hostmaster.. Deres sikkerheds niveau tyder jo på at det teoretisk kunne være muligt.. ;)
Godt arbejde asger, det fik dem til at rette op på svagheden, det havde dog været bedst hvis de gad fjerne pinkoden helt fra fakturaen.
Men det som Lotte Seheim skriver tilbage ang. sikkerheds-niveuet kun vil være på et vist niveau fordi det er en 45 kr. service er da en katastrofal udmelding og endnu en gang viser det hvor amatøragtige dk-hostmaster er.
Men det som Lotte Seheim skriver tilbage ang. sikkerheds-niveuet kun vil være på et vist niveau fordi det er en 45 kr. service er da en katastrofal udmelding og endnu en gang viser det hvor amatøragtige dk-hostmaster er.
Men det som Lotte Seheim skriver tilbage ang. sikkerheds-niveuet kun vil være på et vist niveau fordi det er en 45 kr. service er da en katastrofal udmelding og endnu en gang viser det hvor amatøragtige dk-hostmaster er.Awah? Det må jeg se... Har du et link.
Sikke en klam arrogant kælling. Det er hvad monopol gør ved service.
#31 Asger har fået et svagt svar fra dk-hostmaster: http://asger.dk/2007/07/14/svar-fra-dk-hostmaster
Der i gør Lotte Seheim opmærksom på at deres sikkerhed er matchende de 45 kr. som de tager for "produktet".... dog modsiger hun sig selv senere henne og nu har de også delvist rettet hullet.
Men hele deres holdning er alt for vag og ikke specielt betryggende.
Der i gør Lotte Seheim opmærksom på at deres sikkerhed er matchende de 45 kr. som de tager for "produktet".... dog modsiger hun sig selv senere henne og nu har de også delvist rettet hullet.
Men hele deres holdning er alt for vag og ikke specielt betryggende.
Men det som Lotte Seheim skriver tilbage ang. sikkerheds-niveuet kun vil være på et vist niveau fordi det er en 45 kr. service er da en katastrofal udmelding og endnu en gang viser det hvor amatøragtige dk-hostmaster er.
Dvs. at man ved at betale et beløb der er højere end 45kr, kan få en sikkerhed som matcher?
Hvis ikke så er hendes udtalelse da fuldstændig ude i skoven.
Man kan ikke affeje en sikkerhedsfejl med at det er fordi at kunderne betaler så lidt, hvis de ikke har mulighed for at betale for ordentlig sikkerhed...
Derudover ville det så også være under al kritik hvis sikkerheden afhang af hvor meget man betalte årligt..
Så kort sagt:
Lotte, du er til grin....
#34 Jo men det forhindrer desværre ikke et angreb, hvor det hul der nu er lukket, blev udnyttet.
Jeg føler lidt at DK Hostmaster prøver at bagatellisere, det jeg mener der har været et hul i sikkerheden. Jeg har derfor prøvet at beskrive, det jeg ser som et muligt angreb på en domæneejer. Det kan læses her:
http://asger.dk/2007/07/17/eksempel-pa-angreb-mod-...
Det er vigtigt at have for øje, at der i eksemplet antages at domænet har samme login til fuldmægtig og betaler. Om det er normalt at det er tilfældet ved jeg ikke, men det er sådan det er, hvis man ikke selv aktivt har foretaget en ændring. Kom gerne med spørgsmål eller indvendinger til det jeg beskriver.
Jeg føler lidt at DK Hostmaster prøver at bagatellisere, det jeg mener der har været et hul i sikkerheden. Jeg har derfor prøvet at beskrive, det jeg ser som et muligt angreb på en domæneejer. Det kan læses her:
http://asger.dk/2007/07/17/eksempel-pa-angreb-mod-...
Det er vigtigt at have for øje, at der i eksemplet antages at domænet har samme login til fuldmægtig og betaler. Om det er normalt at det er tilfældet ved jeg ikke, men det er sådan det er, hvis man ikke selv aktivt har foretaget en ændring. Kom gerne med spørgsmål eller indvendinger til det jeg beskriver.
DK Hostmaster har nu udsendt en pressemeddelelse, hvor de afviser at der har været et sikkerhedshul. Se det her: http://asger.dk/2007/07/17/dk-hostmaster-afviser-s...
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund