Website bar slecht beveiligd, melden?

Leuk dat je dat allemaal post hier maar haal alsjeblieft die link uit de e-mail weg voor een aantal kwaadwillige mensen ook daadwerkelijk de stommiteiten van die webbeheerder misbruiken

Ik zou trouwens gewoon de e-mail versturen. Het is het beste wat je kan doen

[ Voor 19% gewijzigd door Admiral Freebee op 01-11-2005 20:30 ]

euhh, is wel het wel zo slim om de link uit je mail hier te plaatsen?

Ik denk dat je dit wel evne moet melden.

Ik weet ook niet of het slim is, om hier de link te posten, je weet maar nooit.......

[ Voor 0% gewijzigd door TheovdS op 01-11-2005 20:31 . Reden: spuit 11 ]

Y0ur1 schreef op dinsdag 01 november 2005 @ 20:31:
Dat was ook een domme zet van mij! Ik ga er vanuit dat tweakertjes niet zo stout zijn om er mee aan de haal te gaan.

Je hebt ook stoute tweakertjes.

Y0ur1 schreef op dinsdag 01 november 2005 @ 20:31:
Dat was ook een domme zet van mij! Ik ga er vanuit dat tweakertjes niet zo stout zijn om er mee aan de haal te gaan.

Ik zag dat je me voor was met editten, anders had ik het sowieso gedaan. Tweakers zijn net mensen, er zitten ook verkeerde tussen

Verder is het wel zo netjes om een brakke beveiliging te melden, ik zie ook niet in wat erop tegen is. Ervaring heb ik niet met dit soort zaken. Verder is het aan het bedrijf wat het met jouw opmerking wilt doen.

ze hebben wel een kleine piek in de bezoekersaantallen nu

Idd misschien wel zo netjes om het even te melden. Ik zou het voor de zekerheid wel even via een 'anoniem' hotmail-adresje oid doen, want als het echt noobs zijn dan gaan ze je toch aanklagen vanwege hacken ofzo

Palomar schreef op dinsdag 01 november 2005 @ 20:39:
Idd misschien wel zo netjes om het even te melden. Ik zou het voor de zekerheid wel even via een 'anoniem' hotmail-adresje oid doen, want als het echt noobs zijn dan gaan ze je toch aanklagen vanwege hacken ofzo

Lijkt me niet, als ze serieus zijn komen ze er toch wel achter van wie dat komt, en jezelf verbergen komt al meteen louche over.

Overigens heb ik net ook een veiligheidslek gevonden, maar dan iets serieuzer van aard. Meer in de richting van wachtwoord van hun database met klanten, orders, ... Ik zit nu ook met de vraag, stel dat ze me aanklagen...

dingstje schreef op dinsdag 01 november 2005 @ 20:46:
[...]
Overigens heb ik net ook een veiligheidslek gevonden, maar dan iets serieuzer van aard. Meer in de richting van wachtwoord van hun database met klanten, orders, ... Ik zit nu ook met de vraag, stel dat ze me aanklagen...

Lijkt me niet bij iets dat zo slecht in elkaar zit, je moet bijna je best doen om niet iets doms tegen te komen...

dingstje schreef op dinsdag 01 november 2005 @ 20:46:
[...]

Lijkt me niet, als ze serieus zijn komen ze er toch wel achter van wie dat komt, en jezelf verbergen komt al meteen louche over.

Overigens heb ik net ook een veiligheidslek gevonden, maar dan iets serieuzer van aard. Meer in de richting van wachtwoord van hun database met klanten, orders, ... Ik zit nu ook met de vraag, stel dat ze me aanklagen...

Zijn jullie naar zulke 'dingen' opzoek ofzo

theovds schreef op dinsdag 01 november 2005 @ 20:51:
[...]

Zijn jullie naar zulke 'dingen' opzoek ofzo

Sommige mensen testen gewoon graag dingen... (zonder als doel te hebben de boel te slopen natuurlijk )

Wat zijn de voor- en nadelen voor jou?

Ik kan alleen maar nadelen bedenken op het moment

waarom wil je het zo graag melden? hoop je er stiekem toch nog een beloning uit te halen? Zo nee dan kun je ook gewoon een anonieme brief sturen, dan loop je geen risico dat ze je dingen gaan verwijten.

Y0ur1 schreef op dinsdag 01 november 2005 @ 20:28:
....
Ik heb absoluut geen verkeerde intensies maar op deze manier kan ik wel alles aanpassen.
...

Dat mailtje is.... uhm, intens?

Je hebt de kans dat ze het helemaal niet positief oppikken en je vriendelijk doch dringend verzoeken met je neus uit hun zaken te blijven.

[ Voor 100% gewijzigd door Recoil op 02-11-2005 13:40 ]

Ik zou het gewoon melden. Als je dankbaar zijn krijg je er misschien nog wel wat voor.
En wat kunnen ze doen? Hadden ze het maar beter moeten beveiligen. Het is nu niet echt dat je ze gehackt hebt ofzo. Je bent gewoon normaal ingelogd.

MADG0BLIN schreef op woensdag 02 november 2005 @ 13:42:
Ik zou het gewoon melden. Als je dankbaar zijn krijg je er misschien nog wel wat voor.
En wat kunnen ze doen? Hadden ze het maar beter moeten beveiligen. Het is nu niet echt dat je ze gehackt hebt ofzo. Je bent gewoon normaal ingelogd.

Als een deur openstaat of toevallig ook met jou sleutel opengaat, heb je er toch ook niets te zoeken?
als ik jou was zou ik gewoon een anonieme brief sturen. Volgens mij zouden ze nl als ze willen jou kunnen aanklagen voor computervredebreuk (ofzo iets)
zie ook hier: http://www.ejure.nl/wetten/dossier_id=171/id=13/show.html

[ Voor 7% gewijzigd door Mr_x007 op 02-11-2005 13:50 ]

Mr_x007 schreef op woensdag 02 november 2005 @ 13:48:
Als een deur openstaat of toevallig ook met jou sleutel opengaat, heb je er toch ook niets te zoeken?

Nee, maar dan is het wel zo fijn dat aan de beheerder van de deur te melden, zodat 'ie de deur af kan sluiten of het slot kan veranderen.

Als je je deur open laat staan, ben je ook niet verzekerd natuurlijk

Ik heb een beetje het zelfde probleem...

Ik heb bij een groot Amerikaans bedrijf een CSS bug ontdekt, maar ik ben er een beetje huiverig voor om het te melden. Zij bieden diensten aan voor bloggers, maar hebben op hun site nergens emailadressen staan mbt abuse of security risk.

Mr_x007 schreef op woensdag 02 november 2005 @ 13:48:
[...]


Als een deur openstaat of toevallig ook met jou sleutel opengaat, heb je er toch ook niets te zoeken?

In dit geval zit de deur wel dicht, alleen de sleutel ligt op een bekende plek.
annonieme brief lijkt mij ook het slimste om te doen, ook al denk ik niet dat ze je snel zullen aanklagen.

Mr_x007 schreef op woensdag 02 november 2005 @ 13:48:
[...]


Als een deur openstaat of toevallig ook met jou sleutel opengaat, heb je er toch ook niets te zoeken?

Maar ik was toch elke keer blij als mensen aanbelde omdat ik mijn sleutels weer eens op de deur had laten staan......

Mr_x007 schreef op woensdag 02 november 2005 @ 13:48:
[...]


Als een deur openstaat of toevallig ook met jou sleutel opengaat, heb je er toch ook niets te zoeken?
als ik jou was zou ik gewoon een anonieme brief sturen. Volgens mij zouden ze nl als ze willen jou kunnen aanklagen voor computervredebreuk (ofzo iets)
zie ook hier: http://www.ejure.nl/wetten/dossier_id=171/id=13/show.html

Nee klopt. Maar als ik eerlijk ben zou ik dan de deur dicht doen.
Maar ok, ik ga misschien uit van de te goede mens...
Dit valt toch gewoon onder fatsoen.

LuCarD schreef op woensdag 02 november 2005 @ 13:59:
Ik heb bij een groot Amerikaans bedrijf een CSS bug ontdekt, maar ik ben er een beetje huiverig voor om het te melden. Zij bieden diensten aan voor bloggers, maar hebben op hun site nergens emailadressen staan mbt abuse of security risk.

ehm, wat voor soort bug is dat dan dat, nooit van gehoord dat een stukje css kan zorgen voor een security issue
Overigens kan je vaak adressen als webmaster@domein.tld of abuse@domein.tld proberen

Tsja, gewoon melden dit. Dat ze je aanklagen lijkt me echt 100% onzin.

Ik heb onlangs op www.racefreaks.nl een behoorlijke bug in hun reactiesysteem ontdekt. Uiteraard even een mailtje gestuurd, niks van gehoord. Erg slecht en ondankbaar, maar ja. Toch zou ik het in het vervolg weer melden, wel zo behulpzaam.

Y0ur1 schreef op woensdag 02 november 2005 @ 15:04:
Voor dit soort verwarring wordt het meestal XSS genoemd, cross-site attack...

maar natuurlijk
overigens is het cross-site-scripting, vandaar dus die css afkorting waarvoor altijd xss gebruikt wordt ivm de verwarring die ik zojuist ook had

Erkens schreef op woensdag 02 november 2005 @ 15:12:
[...]

maar natuurlijk
overigens is het cross-site-scripting, vandaar dus die css afkorting waarvoor altijd xss gebruikt wordt ivm de verwarring die ik zojuist ook had

XSS of CSS wat maakt het uit..... Allebei gevaarlijk

Hillie schreef op woensdag 02 november 2005 @ 13:55:
[...]


Nee, maar dan is het wel zo fijn dat aan de beheerder van de deur te melden, zodat 'ie de deur af kan sluiten of het slot kan veranderen.

Melden dat de deur open staat, is 1 ding.. maar mijn deur proberen te openen is trespassing

Lethalis schreef op woensdag 02 november 2005 @ 15:39:
Melden dat de deur open staat, is 1 ding.. maar mijn deur proberen te openen is trespassing

Helaas is dat in de computerwereld niet zo makkelijk te scheiden. Als ik test/test inklop, kijk ik of de deur open staat, helaas ben ik ook gelijk binnen al dat zo blijkt te zijn. Moet ik dat dan maar gewoon niet proberen en dat alleen de kwaadwillenden laten doen?

Gerco schreef op woensdag 02 november 2005 @ 17:48:
[...]

Helaas is dat in de computerwereld niet zo makkelijk te scheiden. Als ik test/test inklop, kijk ik of de deur open staat, helaas ben ik ook gelijk binnen al dat zo blijkt te zijn. Moet ik dat dan maar gewoon niet proberen en dat alleen de kwaadwillenden laten doen?

Het antwoord is heel eenvoudig: dat moet je inderdaad niet proberen. Je gaat toch ook niet in een straat alle deuren langs om te voelen of ze op slot zijn?

tomatoman schreef op woensdag 02 november 2005 @ 20:21:
[...]
Het antwoord is heel eenvoudig: dat moet je inderdaad niet proberen. Je gaat toch ook niet in een straat alle deuren langs om te voelen of ze op slot zijn?

als er een sleutel naast die deur ligt ga ik echt wel proberen of die sleutel het doet op dat slot, daarna zou ik hem met een briefje in de brievenbus doen

Ik heb dit ook een keer meegemaakt. Echter ik kreeg in de betreffende map FTP - gegevens en CMS toestanden te zien. Heb toen via een anonymous proxy een berichtje met een hint geplaatst wat ze moesten doen om het op te lossen (zoiets als 'zet ff een index.html in de map / pas je htaccess bestand aan'). Dat hebben ze toen ook gedaan gelukkig

LuCarD schreef op woensdag 02 november 2005 @ 13:59:
Ik heb een beetje het zelfde probleem...

Ik heb bij een groot Amerikaans bedrijf een CSS bug ontdekt, maar ik ben er een beetje huiverig voor om het te melden. Zij bieden diensten aan voor bloggers, maar hebben op hun site nergens emailadressen staan mbt abuse of security risk.

XSS bug bedoel je, een verwarring met Stylesheets is snel gemaakt .
Ik zou het gewoon melden, postmaster@ adressen en webmaster@ komen bijna altijd wel aan.
Anders het algemene adres gebruiken, en er in de titel zetten: Security Leak found...

[ Voor 8% gewijzigd door AW_Bos op 03-11-2005 14:13 ]

Erkens schreef op woensdag 02 november 2005 @ 20:28:
als er een sleutel naast die deur ligt ga ik echt wel proberen of die sleutel het doet op dat slot, daarna zou ik hem met een briefje in de brievenbus doen

Ik zou toch eerst even aanbellen of in de achtertuin kijken ofzo, voor hetzelfde geld is die persoon net even wat pakken in de schuur en heeft zijn sleutels op de deur laten zitten oid

Gerco schreef op donderdag 03 november 2005 @ 14:34:
[...]

Ik zou toch eerst even aanbellen of in de achtertuin kijken ofzo, voor hetzelfde geld is die persoon net even wat pakken in de schuur en heeft zijn sleutels op de deur laten zitten oid

ja duh, maar dat is ook een van de redenen waarom je dit soort dingen niet kan vergelijken

AW_Bos schreef op donderdag 03 november 2005 @ 14:13:
[...]

XSS bug bedoel je, een verwarring met Stylesheets is snel gemaakt .
Ik zou het gewoon melden, postmaster@ adressen en webmaster@ komen bijna altijd wel aan.
Anders het algemene adres gebruiken, en er in de titel zetten: Security Leak found...

admin@websitesnaam.** en websitesnaam@websitesnaam.** willen ook nog weleens helpen.

In mijn internet verleden heb ik ook weleens enkele sites gevonden met lekken. Deze netjes gemeld aan de betreffende site. De meeste sites waren erg dankbaar voor het melden ervan. De andere sites gaven geen reply, maar hebben wel het probleem gefixt.

Dus gewoon een mail sturen met uitleg over het probleem en waar je het gevonden hebt. En indien je weet hoe het op te lossen is zou ik dit ook meesturen. Door de oplossing mee te sturen laat je namelijk zien dat je er verstand van hebt en dat wil een bedrijf/website graag zien. Een vriend van me is op deze manier zelfs aan een website security-job gekomen

Gewoon melden dit soort zaken, is wel zo sociaal.

Gerco schreef op woensdag 02 november 2005 @ 17:48:
[...]

Helaas is dat in de computerwereld niet zo makkelijk te scheiden. Als ik test/test inklop, kijk ik of de deur open staat.

Nee, dan probeer je al binnen te komen.

Moet ik dat dan maar gewoon niet proberen en dat alleen de kwaadwillenden laten doen?

Ik zie dit als de verantwoordelijkheid van de website eigenaar. Of mijn deur veilig is, is mijn verantwoordelijkheid, niet de jouwe

Toen ik mijn auto aantrof vanochtend dacht ik meteen weer aan dit topic

Lethalis schreef op donderdag 03 november 2005 @ 15:32:
Nee, dan probeer je al binnen te komen.

tja, maar op internet is het zo dat je bij bijna elke website wel een login ofzo hebt, hoe moet een toevallige bezoeker nu weten of hij daar wel of niet een account heeft?

Ik zie dit als de verantwoordelijkheid van de website eigenaar. Of mijn deur veilig is, is mijn verantwoordelijkheid, niet de jouwe

tja, maar als je even bedenkt dat de meeste website eigenaars de site niet zelf hebben geschreven en er vanuit gaan dat het allemaal veilig is...
Om toch maar weer een stom voorbeeld aan te halen, heb jij het slot van je deur zelf gemaakt en uitvoerig getest, of heb je hem in een winkel gekocht waarbij gezegt is dat deze veilig was en moeilijk open te breken?

Erkens schreef op donderdag 03 november 2005 @ 15:48:
[...]

tja, maar op internet is het zo dat je bij bijna elke website wel een login ofzo hebt, hoe moet een toevallige bezoeker nu weten of hij daar wel of niet een account heeft?

Dit is een non-argument.

tja, maar als je even bedenkt dat de meeste website eigenaars de site niet zelf hebben geschreven en er vanuit gaan dat het allemaal veilig is...

Dan wordt het de verantwoordelijkheid van de website bouwer.

Om toch maar weer een stom voorbeeld aan te halen, heb jij het slot van je deur zelf gemaakt en uitvoerig getest, of heb je hem in een winkel gekocht waarbij gezegt is dat deze veilig was en moeilijk open te breken?

In dat geval ligt de verantwoordelijkheid ook bij de fabrikant (of de winkel).

In alle gevallen is het in ieder geval niet jouw verantwoordelijkheid. Als jij mijn deurslot gaat 'testen' dan is dat 'poging tot inbraak'

Erkens schreef op donderdag 03 november 2005 @ 15:48:
tja, maar als je even bedenkt dat de meeste website eigenaars de site niet zelf hebben geschreven en er vanuit gaan dat het allemaal veilig is...
Om toch maar weer een stom voorbeeld aan te halen, heb jij het slot van je deur zelf gemaakt en uitvoerig getest, of heb je hem in een winkel gekocht waarbij gezegt is dat deze veilig was en moeilijk open te breken?

Ik denk dat je van een IT-professional op zijn minst mag verwachten dat ie dat heeft onderzocht en getest. Dat je het niet zelf maakt wil niet zeggen dat je jezelf er niet in moet verdiepen. Verschil is dat jij als burger niet betaald wordt om je eigen sloten te controleren, terwijl een webmaster (in een commerciele setting dus) wel ingehuurd is voor die taak. Dan is het een kwestie van noodzakelijke competenties voor het werk.

Overigens ben ik het met Gerco eens dat het sleutel/slot verhaal in de IT nogal wazig is. Als ik test/test invoer en ik kom ermee binnen, dan heb ik de sleutel toch? Ik heb geen slot hoeven forceren of misbruik moeten maken van een openstaande deur. Ik heb netjes de sleutel in het slot gestoken en ik kwam ermee binnen.

Natuurlijk weet je praktisch gesproken wel dat de sleutel nooit expliciet aan je gegeven is (wat dus expliciet het geven van toegang symboliseert), maar juridisch lijkt het me een lastig zaakje. Als je niet binnen had mogen komen, waarom had je dan de sleutel? Mag de webmaster lekker bewijzen dat ie jou nooit expliciet een sleutel heeft gegeven.

[ Voor 27% gewijzigd door Not Pingu op 03-11-2005 16:04 ]

Ik vind dit meer een Beveiliging & Virussen topic, dus even een tikje daarheen

Gunp01nt schreef op donderdag 03 november 2005 @ 16:01:
[...]
Overigens ben ik het met Gerco eens dat het sleutel/slot verhaal in de IT nogal wazig is. Als ik test/test invoer en ik kom ermee binnen, dan heb ik de sleutel toch? Ik heb geen slot hoeven forceren of misbruik moeten maken van een openstaande deur. Ik heb netjes de sleutel in het slot gestoken en ik kwam ermee binnen.

Natuurlijk weet je praktisch gesproken wel dat de sleutel nooit expliciet aan je gegeven is (wat dus expliciet het geven van toegang symboliseert), maar juridisch lijkt het me een lastig zaakje. Als je niet binnen had mogen komen, waarom had je dan de sleutel? Mag de webmaster lekker bewijzen dat ie jou nooit expliciet een sleutel heeft gegeven.

Huisvredebreuk:
Het binnendringen in een woning tegen de wil van de bewoner is strafbaar, tenzij in de gevallen waar de wet het toelaat of op bevel van de overheid. Er worden twee gevallen onderscheiden in de wet :
- m.b.v. bedreiging of geweld OF
- d.m.v. braak, inklimming of valse sleutel.

In de praktijk is ook niet te bewijzen waar een 'valse sleutel' vandaan komt, maar het blijft huisvredebreuk. Waarom zou het in de IT anders zijn? Als nergens op papier staat dat jij recht hebt op toegang tot de betreffende server (hetzij door een dienstverband, hetzij door een lidmaatschap), heb jij daar niks te zoeken.

Dit soort dingen kun je gewoon melden, maar lieft dan wel semi-anoniem via webmail account via de proxy va de provider. (je bent met moeite dan echt nog wel te achterhalen, maar alleen door mensen die dat heel graag willen)

Want je zou niet de eerste zijn die als gevolg het melden van een beveilings probleem opeens een heleboel moet uitleggen.

tenzij je uiteraard je brood met beveiliging verdient. Dan is het juist wel handing (andermans) gaten te melden met je naam en bedrijfsnaam. Levert weer naamsbekendheid op.

leuk_he schreef op donderdag 03 november 2005 @ 16:26:
tenzij je uiteraard je brood met beveiliging verdient. Dan is het juist wel handing (andermans) gaten te melden met je naam en bedrijfsnaam. Levert weer naamsbekendheid op.

Ook dan kun je aangeklaagd worden voor inbraak. Persoonlijk vind ik het nogal een struisvogelmethode van beveiligen: "als we verbieden de beveiliging te doorbreken, doet niemand het". Helaas, dan doen alleen kwaadwillenden het nog en de goedbedoelende mensen zullen niet eens meer proberen mensen te waarschuwen die geen idee hebben, met als resultaat meer hacks.

Als je mensen die, min-of-meer toevallig, op een beveiligingsprobleem stuiten gaat afstraffen door ze aan te klagen omdat je je eigen incompetentie niet aankan, moet je niet raar opkijken als de volgende keer je logs en/of systeem gedelete worden door een kwaadwillende.

Ik heb best een paar loginsysteempjes en dynamische websites gemaakt. Ik ben van mening dat die veilig zijn, anders had ik ze niet online gezet. Mocht er iemand toch een beveiligingsprobleem in ontdekken, sla ik mezelf voor mijn kop omdat ik niet genoeg getest heb en fix ik het probleem, ik ga niet de goedwillende melder zitten aanklagen, dat is toch van de zotte?

[ Voor 21% gewijzigd door Gerco op 04-11-2005 12:54 ]

Melden wordt niet altijd op prijs gesteld... helaas. Er zijn genoeg mensen die eerlijk zijn en het graag willen melden. 'k Vind het dan ook jammer dat niet iedereen dat positief opvat, vooral als er geen schade aangericht is.

TRON schreef op vrijdag 04 november 2005 @ 12:31:
Melden wordt niet altijd op prijs gesteld... helaas. Er zijn genoeg mensen die eerlijk zijn en het graag willen melden. 'k Vind het dan ook jammer dat niet iedereen dat positief opvat, vooral als er geen schade aangericht is.

Het punt is natuurlijk dat er moeilijk is aan te tonen of er schade is aangericht (nu en in de toekomst).
idd, erg jammer, want ze moeten juist blij zijn met de eerlijke mensen die het melden en niks kwaads willen (of geld eraan willen verdienen)