Med sikkerhet i tankene
De siste dagene har et nylig avdekket sikkerhetsproblem på FotoKnudsens kundesider skapt oppsikt i mediene. Kodesvakheten åpnet for at hvem som helst kunne få tilgang til andre kunders opplastede bilder – en selvfølgelig uheldig situasjon for begge parter.
Midt oppi det hele kommer det som alltid ulike uttalelser - de som prøver å forsvare seg og forklare hvordan dette problemet kunne skje og de som kritiserer FotoKnudsen for heller laber sikkerhet. Og er det ikke klassisk hvordan manglende kunnskap gjør saken, om mulig, enda mer pinlig?
Dette skriver programmer.no i sin omtale av saken. De vedlagte tallene gjør selvfølgelig at alt ser mye verre ut enn det er. Og selv om jeg personlig ikke har noen anelse om hvordan systemet er bygget opp i detalj, vet vi følgende ut i fra uttalelser fra vedkommende som oppdaget problemet og FotoKnudsen selv: Hver kunde har sin egen unike ID som vises i adresselinjen når de ulike albumene vises. Som så mye annet på nettet er adresselinjen noe som er åpent for redigering for hvem som helst og derfor må valideres tilstrekkelig. Og det er her det morsomme kommer inn og som gjør saken enda mer pinlig for de ansvarlige. Valideringen ble nemlig gjennomført slik som det var tenkt ved hjelp av Javascript! Alle med litt datakunnskaper vet at Javascript er client-side; det vil si at jeg som besøkende kan deaktivere støtten for dette i nettleseren min og på den måten omgå sikkerhetssjekken og dermed få tilgang til andre kunders album.
Dette er rett og slett en skrekkelig måte å validere innkommende informasjon på som lett kan manipuleres og viser rett og slett at FotoKnudsen bør få nettsidene sine sjekket av noen mer dyktige sikkerhetseksperter før de føler seg trygge. Jeg tør faktisk gå så langt som å påstå at det, teknisk sett, ville vært bedre om det ikke var noe validering i det hele tatt fremfor denne løsningen. Alle kan glemme seg og ikke validere input, men det er verre når man går for de lettvindte løsningene som ingen tjener på i lengden ...
Les også: http://itpro.no/art/8897.html.
Comments (7)
Å validere en input med javascript må være noe av det latterligste jeg har vært med på. Utrolig skuffende at en bedrift med så mange kunder kan gjøre en så enormt stor feil.
Faktisk så tror jeg ikke de validerte input i det hele tatt. Slik jeg har forstått det ble et Javascript kjørt dersom man forsøkte å åpne en kundeside med en annen ID enn sin egen som forsøkte å lukke nettleservinudet. Ved å deaktivere Javascript ville man med andre ord kommet rett inn.
“Jeg tør faktisk gå så langt som å påstå at det, teknisk sett, ville vært bedre om det ikke var noe validering i det hele tatt fremfor denne løsningen.”
Nja, nja. Det stopper iallfall de dummeste brukerne, så å si at det er verre enn ingenting er jo ikke helt presist, eller hva?
Joda, men sjansen er stor for at vedkommende som snoker i systemet skjønner hva som skal til for å komme rundt når man først har skjønt hvordan systemet er bygget opp.
Denne feilen som ble oppdaget forteller oss at den som har laget systemet dems ikke har peiling på sikkerhet, med andre ord kan vi gå utifra at fotoknudsen nesten garantert har flere sikerherhetshull.
Jeg måtte nesten bare sjekke ut litt, fant ut at http://www.reaktor.no/ har laget cms til fotoknudsen.
[Fjernet av admin: Ikke bruk nettsiden min til å spre valideringsproblemer på andres nettsteder. Send de en e-post]
Write Comment
Om «Andersson Online»
Dette er Espen Anderssons lekeplass på Internett. Jeg studerer webkommunikasjon på NITH og arbeider deltid som systemutvikler for NordkappNett AS og webutvikler for Nexus Consulting AS. Bloggens hovedfokus er rettet mot kultur- og teknologirelaterte temaer, med hyppige avstikkere innom musikken og journalistikkens verden.
Categories
- Film- og musikkanmeldelser (185)
- Generelt IT-stoff (138)
- Egosentrisk (55)
- Kulturprat (78)
- Ukategoriserte skriblerier (53)
Latest comments
- Audun Wangen – «Viktigheten av klare feilmel…»
- David Steinsland – «Quantum of Solace (2008)»
- Martin Bekkelund – «Quantum of Solace (2008)»
- Espen Andersson – «Quantum of Solace (2008)»
- Audun Wangen – «Quantum of Solace (2008)»
Sist sette filmer
Auf der anderen Seite (2007)
Fatih Akin
Stardust (2007)
Matthew Vaughn
Hotaru no haka (1988)
Isao Takahata
Kiss Kiss Bang Bang (2005)
Shane Black
Les Diaboliques (1955)
Henri-Georges Clouzot
Sist avspilte låter fra last.fm
Youngstown
Bruce Springsteen
Spilt nå nettopp- Independence Day (live)
Bruce Springsteen
I dag klokka 17:28:27 
Factory
Bruce Springsteen
I dag klokka 17:26:07
Blogroll
- Arne Hjorth Johansen
- Asbjørn Ness
- Astrid Sann Evensen
- Audun Lade Sæther
- Bloggrevyen
- Captain Charisma
- Cavey
- Erlend Klakegg Bergheim
- Espen Iversen
- Filmantrop
- Fred Ut, Sønn
- Ivar Hagen
- Jonas Larsen
- Jorunn D. Newth
- Kyrre Baker
- Lasse G. Dahl
- Martin Bekkelund
- Nils J. Nesse
- Stian Andreassen
- Trond Johansen
- Yngve Thoresen
Stuseset og over dette. At en så stor bedrift som fotoknudsen bruker noen som er så dårlig på å programmere/scripte. Er jo 13-åringer på NWF som ville skjønt at å validere med js ikke er en så lur ting.