mboost-dp1
Pixabay
Det der med at dokumenteret, at man IKKE har haft indbrud. Er den ikke lid svær?
Det lyder lidt som et projekt chefen har givet til sin teenagesøn som er lidt ferm med it. Det er jo ikke fordi en Zoo vælter sig i penge :-)
Derudover, så kan jeg godt tvivl på, at der står noget i deres kundedatabase, som man ikke kan købe af FB, google eller en hvilken som helst anden databroker :-)
Det lyder lidt som et projekt chefen har givet til sin teenagesøn som er lidt ferm med it. Det er jo ikke fordi en Zoo vælter sig i penge :-)
Derudover, så kan jeg godt tvivl på, at der står noget i deres kundedatabase, som man ikke kan købe af FB, google eller en hvilken som helst anden databroker :-)
Hvorvidt Søren Louv-Jansen ender med at blive politianmeldt for at finde hullet, som tidligere har været eksemplet, vides endnu ikke.
Se, kejseren har ingen tøj på! .. neej hvor pinligt, se at få smidt den dreng i fængsel.
Jeg begriber ikke at man politianmelder den slags (ikke at det nødvendigvis sker i denne sag). Man burde give hackere en dusør i stedet for, hvis de vælger at offentliggøre sikkerhedsproblemer i stedet for at udnytte dem og slå mønt på det.
#1 Resultatet af virksomhedernes arrogance og fremgangsmetoder med anmeldelser, gør bare at folk ikke længerer gider advare dem, hvilket efterlader hullerne åbne til personer med mindre heldige intentioner.. Så kan de jo så tude når de til den tid risikerer sagsanlæg og bøder selv, i stedet for at få lukket hullerne.
Personlig erfaring fra Yousee (ikke at de er indblandet i denne sag), var en nabo som blot ringede ind og fik ændret vores wifi-kode.. Flere gange.. På en erhvervsløsning.. Rigtig flot sikkerhed, hvor mange flere informationer de har givet ud, aner vi ikke.
Personlig erfaring fra Yousee (ikke at de er indblandet i denne sag), var en nabo som blot ringede ind og fik ændret vores wifi-kode.. Flere gange.. På en erhvervsløsning.. Rigtig flot sikkerhed, hvor mange flere informationer de har givet ud, aner vi ikke.
Præcis som KMD så tager de nok bare chancen og politianmelder den arme gut
Problemet er så at med KMD vælger man ikke selv om de har ens oplysninger
Problemet er så at med KMD vælger man ikke selv om de har ens oplysninger
Jeg meldte for længe siden en dansk side til Datatilsynet, fordi de havde en fejl i deres login.
Nogle gange blev man bare logget ind som en tilfældig bruger, når man åbnede siden, og havde så adgang til alt (navn, evt. adresse, telefon, mail, private beskeder, ændre kode osv.) - ingen kortoplysninger eller andet "vigtigt" (medmindre der var noget i private beskeder).
Dette gjorde jeg efter at siden flere gange havde ignoreret alle henvendelser - gennem næsten et år.
Der gik så næsten fire måneder mere, før jeg fik et svar tilbage, om at Datatilsynet havde "udtalt kritik" af sidens behandling af oplysninger og givet et påbud om at få deres login lavet.
Så blev login fjernet fra siden, og kom tilbage et par uger senere med beskeden "nu er alt godt" - men det var så stadig ligesom før.
Forfra igen med henvendelser der blev ignoreret - indtil lige inden jeg ville skrive til Datatilsynet igen. Så forsvandt login, igen, med beskeden "grundet opdateringer er login midlertidigt fjernet" - og nu har siden været stille i tre måneder..
TL;DR
Hvis man melder ting til Datatilsynet, tager det åbenbart utrolig lang tid - og er helt uden opfølgning..
Nogle gange blev man bare logget ind som en tilfældig bruger, når man åbnede siden, og havde så adgang til alt (navn, evt. adresse, telefon, mail, private beskeder, ændre kode osv.) - ingen kortoplysninger eller andet "vigtigt" (medmindre der var noget i private beskeder).
Dette gjorde jeg efter at siden flere gange havde ignoreret alle henvendelser - gennem næsten et år.
Der gik så næsten fire måneder mere, før jeg fik et svar tilbage, om at Datatilsynet havde "udtalt kritik" af sidens behandling af oplysninger og givet et påbud om at få deres login lavet.
Så blev login fjernet fra siden, og kom tilbage et par uger senere med beskeden "nu er alt godt" - men det var så stadig ligesom før.
Forfra igen med henvendelser der blev ignoreret - indtil lige inden jeg ville skrive til Datatilsynet igen. Så forsvandt login, igen, med beskeden "grundet opdateringer er login midlertidigt fjernet" - og nu har siden været stille i tre måneder..
TL;DR
Hvis man melder ting til Datatilsynet, tager det åbenbart utrolig lang tid - og er helt uden opfølgning..
Bestilligesstymmmet til Bio i Aalborg har noglelunde samme fejl. Jeg ved ikke om den er rettet.
Se også: https://wiki.iptables.dk/Sikkerhedsproblemer_hos_E...
Se også: https://wiki.iptables.dk/Sikkerhedsproblemer_hos_E...
#5 Næste skridt er vel så bare at meldte det til EU som brud på GDPR i stedet?
Men måske starte med først at melde det til dem som styrer hjemmesiden... selvom det så måske kan få en anmeldt til politiet. Burde egentlig være strafbart at prøve at anmelde folk for at finde sikkerhedshuller. Det er jo altså ikke 90erne vi lever i længere og vores lovsystem burde være blevet mere klar på denne slags...
Men måske starte med først at melde det til dem som styrer hjemmesiden... selvom det så måske kan få en anmeldt til politiet. Burde egentlig være strafbart at prøve at anmelde folk for at finde sikkerhedshuller. Det er jo altså ikke 90erne vi lever i længere og vores lovsystem burde være blevet mere klar på denne slags...
kblood (8) skrev:Men måske starte med først at melde det til dem som styrer hjemmesiden...
zymes (6) skrev:Dette gjorde jeg efter at siden flere gange havde ignoreret alle henvendelser - gennem næsten et år.
Det hjalp ingenting at melde det ejeren, fik en enkelt gang et svar i retning af "modtaget". Derfor jeg prøvede at gå videre til at starte med :p
larsp (2) skrev:Hvorvidt Søren Louv-Jansen ender med at blive politianmeldt for at finde hullet, som tidligere har været eksemplet, vides endnu ikke.
Se, kejseren har ingen tøj på! .. neej hvor pinligt, se at få smidt den dreng i fængsel.
Jeg begriber ikke at man politianmelder den slags (ikke at det nødvendigvis sker i denne sag). Man burde give hackere en dusør i stedet for, hvis de vælger at offentliggøre sikkerhedsproblemer i stedet for at udnytte dem og slå mønt på det.
Sn3akr (3) skrev:#1 Resultatet af virksomhedernes arrogance og fremgangsmetoder med anmeldelser, gør bare at folk ikke længerer gider advare dem, hvilket efterlader hullerne åbne til personer med mindre heldige intentioner.. Så kan de jo så tude når de til den tid risikerer sagsanlæg og bøder selv, i stedet for at få lukket hullerne.
kblood (8) skrev:
Men måske starte med først at melde det til dem som styrer hjemmesiden... selvom det så måske kan få en anmeldt til politiet. Burde egentlig være strafbart at prøve at anmelde folk for at finde sikkerhedshuller. Det er jo altså ikke 90erne vi lever i længere og vores lovsystem burde være blevet mere klar på denne slags...
Der er en del sager hvor virksomheder har anmeldt den slags og det virker noget malplaceret da der ikke har været nogle onde hensigter bag.
Men jeg tror at lovliggørelse vil være en katastrofe for IT sikkerhed.
Hacking vil blive ren win win.
Ondsindet hacker forsøger at hacke bank X uden held og bliver opdaget. Politiet banker på hans dør men får at vide "jeg testede bare sikkerheden - skrid".
Ondsindet hacker forsøger at hacke bank X med held men bliver opdaget lige før han overfører 100 millioner til en bankkonto i udlandet. Politiet banker på hans dør men får at vide "jeg testede bare sikkerheden - skrid".
Ondsindet hacker forsøger at hacke bank X med held og overfører 100 millioner til en bankkonto i udlandet og bliver opdaget. Politiet banker på hans dør men han er ikke hjemme, fordi han sidder i en flyver på vej mod et land uden udleveringsaftale.
Det er virkelig skræmmende så ofte man hører om brud på sikkerheden, og om hvor lemfældigt systemer er lavet.
Lærer programmører ikke noget om sikkerhed i dag? Fra allerførste gang jeg lavede en hjemmeside, dengang internet var så nyt at dr.dk blot et par måneder inden havde lavet deres hjemmeside, tænkte jeg sikkerhed ind.
Da jeg lavede min første .asp side, tænkte jeg sikkerhed ind (og ja, vi er stadig mange, mange år tilbage i de glade midt-halvfemsere)
Og nu er jeg bare full blown paranoia security freak når jeg laver hjemmesider for andre, fx hvis nogen forsøger at logge på med "admin" username, bliver de blokeret for tid og evighed!!
Lærer programmører ikke noget om sikkerhed i dag? Fra allerførste gang jeg lavede en hjemmeside, dengang internet var så nyt at dr.dk blot et par måneder inden havde lavet deres hjemmeside, tænkte jeg sikkerhed ind.
Da jeg lavede min første .asp side, tænkte jeg sikkerhed ind (og ja, vi er stadig mange, mange år tilbage i de glade midt-halvfemsere)
Og nu er jeg bare full blown paranoia security freak når jeg laver hjemmesider for andre, fx hvis nogen forsøger at logge på med "admin" username, bliver de blokeret for tid og evighed!!
#13
Jeg tror ikke at udviklere er ved mindre om sikkerhed idag end for 25 år siden - snarere tværtimod.
Men matematikken er imod.
Lad os sige at vi for 25 år siden havde 10000 web apps af gennemsitlig 5000 linier med gennemsnitlig 1 grov sikkerhedsfejl per 100000 linier. Så er det forventede antal grove sikkerhedsfejl 500. Hvis 5% bliver fundet af ondsindede hackere så er det 25 om året.
Hvis vi idag har 10 millioner web apps af gennemsnitlig 50000 linier med gennemsnitlig 1 grov sikkerhedsfejl per 200000 linier. Så er det forventede antal grove sikkerhedsfejl 2.5 million. Hvis 5% bliver fundet af ondsindede hackere så er det 125000 om året.
Hvis mine fiktive tal var rigtige så havde udviklere som lavede halvt så mange grove sikkerhedsfejl alligevel resulteret i 5000 gange så mange successfulde hackinger.
Jeg tror ikke at udviklere er ved mindre om sikkerhed idag end for 25 år siden - snarere tværtimod.
Men matematikken er imod.
Lad os sige at vi for 25 år siden havde 10000 web apps af gennemsitlig 5000 linier med gennemsnitlig 1 grov sikkerhedsfejl per 100000 linier. Så er det forventede antal grove sikkerhedsfejl 500. Hvis 5% bliver fundet af ondsindede hackere så er det 25 om året.
Hvis vi idag har 10 millioner web apps af gennemsnitlig 50000 linier med gennemsnitlig 1 grov sikkerhedsfejl per 200000 linier. Så er det forventede antal grove sikkerhedsfejl 2.5 million. Hvis 5% bliver fundet af ondsindede hackere så er det 125000 om året.
Hvis mine fiktive tal var rigtige så havde udviklere som lavede halvt så mange grove sikkerhedsfejl alligevel resulteret i 5000 gange så mange successfulde hackinger.
#14
Du har en fornuftig pointe. Det hele er ekskaleret voldsomt siden dengang vi (jeg formoder du også er et 70'er barn ;-) var ung.. yngre.
Men synes også bare man får opfattelsen at sikkerhed ikke er SÅ voldsomt på tapetet, at den ene sikkerheds-paranoid-geek der er på holdet måske bliver set lidt ned på, for hvordan kan fx ZOO få programmeret "fortløbende kundekommer og predefineret postnummer som kodeord (man ikke kunne ændre)", hvordan kunne den kode overhovedet få liv? Hvorfor var der ikke nogen der råbte op?
Nogen gange tror jeg at tiden er en faktor. Tingene går så hurtigt at der ikke er så meget "tid" til at "sikkerhedsificere" det.
Du har en fornuftig pointe. Det hele er ekskaleret voldsomt siden dengang vi (jeg formoder du også er et 70'er barn ;-) var ung.. yngre.
Men synes også bare man får opfattelsen at sikkerhed ikke er SÅ voldsomt på tapetet, at den ene sikkerheds-paranoid-geek der er på holdet måske bliver set lidt ned på, for hvordan kan fx ZOO få programmeret "fortløbende kundekommer og predefineret postnummer som kodeord (man ikke kunne ændre)", hvordan kunne den kode overhovedet få liv? Hvorfor var der ikke nogen der råbte op?
Nogen gange tror jeg at tiden er en faktor. Tingene går så hurtigt at der ikke er så meget "tid" til at "sikkerhedsificere" det.
#15
Der er naturligvis inkompetente web udviklere. Nogle værktøjer idag er så nemme at bruge at enhver kan bruge dem - med det resultat at enhver bruger dem. PHP verdenen lever med en hel del af disse.
Men jeg tror at de fleste web udviklere godt ved hvad de burde gøre. Og de får det gjordt rigtigt næsten altid. Men "næsten altid" er ikke "altid".
Skrappe deadlines der får udviklere til at haste for at nå deadline er sikkert en af de helt store syndere.
Men udviklere er også mennesker og selvom konteksten er fin, så kan udviklere have en dårlig dag - babyen har grædt hele natten, de har skændtes med konen over morgenmaden, deres kollega er sygemeldt så de skal laves to personers arbejde - og nu skal de lige programmer bruger login check.
Og moderne web applikationer ofte meget store og komplekse. Det er svært at teste det hele uden at det bliver sindsygt dyrt i test. Med en stor kode base (millioner af linier af kode), så er det håbløst at lave code review af det hele. Der er faktisk gode værktøjer til at lave automatiseret check, men de er dyre og ikke så udbredte igen.
Der er naturligvis inkompetente web udviklere. Nogle værktøjer idag er så nemme at bruge at enhver kan bruge dem - med det resultat at enhver bruger dem. PHP verdenen lever med en hel del af disse.
Men jeg tror at de fleste web udviklere godt ved hvad de burde gøre. Og de får det gjordt rigtigt næsten altid. Men "næsten altid" er ikke "altid".
Skrappe deadlines der får udviklere til at haste for at nå deadline er sikkert en af de helt store syndere.
Men udviklere er også mennesker og selvom konteksten er fin, så kan udviklere have en dårlig dag - babyen har grædt hele natten, de har skændtes med konen over morgenmaden, deres kollega er sygemeldt så de skal laves to personers arbejde - og nu skal de lige programmer bruger login check.
Og moderne web applikationer ofte meget store og komplekse. Det er svært at teste det hele uden at det bliver sindsygt dyrt i test. Med en stor kode base (millioner af linier af kode), så er det håbløst at lave code review af det hele. Der er faktisk gode værktøjer til at lave automatiseret check, men de er dyre og ikke så udbredte igen.
#16
Du virker som en insider "tell-me-about-it"-erfaring omkring programmering og korte deadlines :-)
Men ja, du har ret, der er mange faktorer der kan spille ind men hvor økonomien/tiden nok er en afgørende faktor.
Du virker som en insider "tell-me-about-it"-erfaring omkring programmering og korte deadlines :-)
Men ja, du har ret, der er mange faktorer der kan spille ind men hvor økonomien/tiden nok er en afgørende faktor.
#21
Det var omkring det tidspunkt jeg fik min C64 og straks gik igang med at lære programmering. Som 12 årig.
Sikke tider... Husker du den ballon man kunne programmere med en masse DATA numre, som var med i manualen til 64'eren?.. nostalgi on...
Det var omkring det tidspunkt jeg fik min C64 og straks gik igang med at lære programmering. Som 12 årig.
Sikke tider... Husker du den ballon man kunne programmere med en masse DATA numre, som var med i manualen til 64'eren?.. nostalgi on...
arne_v (23) skrev:
Jeg startede på en CDC Cyber maskine med NOS styre system,
Og det er en lidt usædvanelig maskine:
60 bit integers
60 bit single precision floating point
120 bit double precsion floating point
18 bit ord adresser
6 bit characters
Og et lidt usædvaneligt styre system:
ingen directories
kun midlertidige og permanente filer
Og en meget picky Fortran V (77) compiler:
en blank linie efter sidste END var en fatal fejl
arne_v (24) skrev:
Og det er en lidt usædvanelig maskine:
60 bit integers
60 bit single precision floating point
120 bit double precsion floating point
18 bit ord adresser
6 bit characters
Og one's complement ikke two's complement for integers.
Hvilket betyder at der er både +0 og -0.
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund