Vefstjori.is geymir lykilorð

[Viktor]

ég er búinn að lesa snöggt í gegnum þráðinn og er að reyna að ná tímaröð atvikanna.
Gúrú! áttaðir þú þig á gallanum í kerfinu og auglýstir hann alheimi strax eða reyndir þú að hafa samband við vefstjórann fyrst?

Finnst það einmitt vera soldið ábyrgðarmál hvernig þessu er háttað til að einmitt koma í veg fyrir að einhverjir misforvitnir geti reynt að svala hakkaraþörf sinni á svona lélegum síðum. Reyna allavega að leyfa viðkomandi aðilum að fá 5 mín breather til að taka síðuna niður eða breyta.

Ef þeir svo sinna því ekki þá má auðvitað setja instant pressu á þá og þeir neyðast til að að taka síðuna alveg niður (ef þeir hafa vit í kollinum)

What?
Síðan hvenær er hægt að ætlast til þess að notendur vefsíða séu eftirlitsaðilar fyrir þá vefi sem þeir heimsækja?
Gúru ber enga ábyrgð á þessari vefsíðu og sem óánægður kúnni er fullkomlega eðlilegt að skapa umræðu um það sem betur má fara.

Fyrirtæki á Íslandi eru MJÖG aftarlega er kemur að öryggismálum á netinu, og þetta er svo fullkomið dæmi um það. Þetta er ekki í lagi.

[dori]

Það er reyndar almenn kurteisi að láta eiganda/rekstaraðila/höfund fyrst vita þegar þú rekst á öryggisgalla í hugbúnaði. En eins og Gúrú bendir á þá er þetta ekki eins og það hafi verið eitthvað "óvart" þarna. Það hlýtur að vera hluti af kerfishönnuninni (jafn rangt og það er) að geyma lykilorðin í plaintext því að annars myndi þessi möguleiki að fá lykilorðið sent ekki ganga upp. Hefði kannski verið kurteisi að láta þá vita fyrst en... meh... ekkert sem þú átt efni á að vera reiður yfir.

Allt yfirklór með að þetta sé "dulkóðað" er bull. Þetta er væntanlega einhver "LAMP" vél einhversstaðar sem geymir bæði gagnagrunninn með dulkóðuðu (að þeirra sögn) lykilorðin og kóðann sem dulkóðar þau og afkótar. Álíka öruggt og að geyma útidyralykilinn í bandi sem hangir í lásnum.

[machinefart]

Þetta er það sem getur gerst þegar verktakar eða minni fyrirtæki (sem oft skortir reynslu) undirbjóða önnur fyrirtæki í svona verkefni. Ég er viss uma að yfirmenn eldsmiðjunnar hafi ætlað að spara sér aur og valið ódýrasta aðilann, þetta var hann, megi þeir njóta

Við getum verið reiðir og kastað skít út um alla veggi eins og við viljum, staðreyndin er þó sú að þetta tíðkast sennilega á fullt fullt af öðrum stöðum, sérstaklega á íslenskum vefsíðum. Öryggismál eru ekki spennandi heldur fídusar og útlit. Ágætis sýnidæmi af hverju það er mælt með að maður semji ný lykilorð fyrir hvern aðgang sem maður stofnar.

Sjálfur er ég ekki nægilega duglegur en nota þó nokkur lykilorð, og aðal lykilorðið aðeins á síðum sem ég bæði treysti og tel nauðsyn til að hafa það lykilorð á.

[inservible]

Þetta er enginn galli, þetta er hreinlega illa hannað og algjörlega þeirra vandamál. Hefði þetta hinsvegar verið galli sem hann viðurkenndi vefstjóri að svo væri ekki þá erum við að tala um kurteisi og að tilkynna þetta til þeirra fyrst annars ekki.

[KermitTheFrog]

Minnir mig nú bara á þetta

[rango]

Er einhver búinn að hafa samband við eldsmiðjuna beint?
Á ég að senda þeim tölvupóst?

[Gúrú]

Er einhver búinn að hafa samband við eldsmiðjuna beint?
Á ég að senda þeim tölvupóst?

Ég er nokkuð viss um að "þeir hjá Vefstjori.is setji inn tilkynningu" hjá þeim. Enda gríðarlega heiðarlegt batterí með réttu aðferðafræðina á hreinu sama hvað þeir leggja fyrir sig.

[rango]

Er einhver búinn að hafa samband við eldsmiðjuna beint?
Á ég að senda þeim tölvupóst?

Ég er nokkuð viss um að "þeir hjá Vefstjori.is setji inn tilkynningu" hjá þeim. Enda gríðarlega heiðarlegt batterí með réttu aðferðafræðina á hreinu sama hvað þeir leggja fyrir sig.

Einhvernveginn grunar mér að eldsmiðjan gæti verið ósammála ummælum daniels hérna.

[krat]

Er einhver búinn að hafa samband við eldsmiðjuna beint?
Á ég að senda þeim tölvupóst?

Ég er nokkuð viss um að "þeir hjá Vefstjori.is setji inn tilkynningu" hjá þeim. Enda gríðarlega heiðarlegt batterí með réttu aðferðafræðina á hreinu sama hvað þeir leggja fyrir sig.

Ironic much ?

[rango]

Er einhver búinn að hafa samband við eldsmiðjuna beint?
Á ég að senda þeim tölvupóst?

Ég er nokkuð viss um að "þeir hjá Vefstjori.is setji inn tilkynningu" hjá þeim. Enda gríðarlega heiðarlegt batterí með réttu aðferðafræðina á hreinu sama hvað þeir leggja fyrir sig.

Ironic much ?

Ég er ekki alveg að fatta þig, Hann sagði bara í raun að lykilorðin væru plaintext.
Ég gróf upp það að þeir væru ekki að escapa SQL kóðan, Og það hefði líklega keyrt þannig í nokkur ár.

Ætli ég fari ekki í það að tilkynna eldsmiðjunni þetta, Ef þú klikkar á einföldum hlut eins og að escapa SQL beiðnir þá er spurning hvort restin sé örugg líka.

[gRIMwORLD]

Gúrú! áttaðir þú þig á gallanum í kerfinu og auglýstir hann alheimi strax eða reyndir þú að hafa samband við vefstjórann fyrst?

Þetta er svo fáránleg spurning sem á engan rétt á sér.

Þetta er ekki eitthvað CVE sem ég uppgötvaði og tilkynnti öllum, fyrirtækinu og forriturum þess óafvitandi.

Þetta er eiginleiki sem var skrifaður (senda lykilorð í SMS) inn í fáránlegt kerfi (geyma plaintext lykilorð) sem var hannað visvítandi.

Þetta er ekkert sem að væri neinar fréttir fyrir þá sem að hönnuðu kerfið svona. Sbr. að láta BMW vita af þessum framrúðum þeirra.

Reyna allavega að leyfa viðkomandi aðilum að fá 5 mín breather til að taka síðuna niður eða breyta.

Eftir margar vikur af því að hafa lykilorðið mitt í plaintext mér óafvitandi sem á aldrei að gerast
fær fólkið sem hannaði kerfið svona óöruggt, meðvitað skv. því sjálfu, og það án þess að vara mann við engan helvítis breather.

Ó hey, manstu þegar ég phishaði lykilorðið þitt þegar ég fékk að gera vefsíðuna fyrir Eldsmiðjuna?
Heh það er samt allt í lagi því ég vissi að það væri óörugg vefsíða þegar ég gerði hana.

Svo spyr ég þig: Hvað gerði þetta fólk eftir að það var látið vita? Baðst það afsökunar? Rétti það úr málunum?
Fylgdi það almennum viðbragðsreglum? Hlustaði það á aðvaranir?

Nei. Það kom vel bökuð steypa af hlutleysu sem þjónaði engum tilgangi nema þeim að láta alla vita að hér væri ófagfólk á ferð.

Ekki hérna til að skapa illdeilur og þú hefur auðvitað allan rétt á að vera heitt í hamsi yfir þessu. Ég stend þó við mína skoðun að ef einhver verður var við galla eða hreinlega hættulega kóðun þá er ættu fyrstu viðbrögð að vera að hafa samband við ábyrgðaraðila og biðja þá að lagfæra hið snarasta eða hreinlega taka síðu niður. Heldur þú að einu notendur síðunnar séu lesendur spjallsins? Ef um alvarlegan öryggisgalla er að ræða sem hafa með persónuupplýsingar að gera þá er hægt að hafa samband við yfirvöld.

[Gúrú]

Heldur þú að einu notendur síðunnar séu lesendur spjallsins?

Nei. En það er sure as shit ekki á minni ábyrgð að tilkynna öllum notendum Eldsmidjan.is um að traust þeirra hafi verið svikið.

Ég skil ekki hvernig þú telur þessi prinsip þín yfirfærast yfir á þetta mál.

Hvaða yfirvöld ætlarðu t.d. að hafa samband við? Það er engin reglugerð sem bannar þessa svínslega óöruggu uppsetningu.

Þú ert nánast bara að bulla og ég veit ekki alveg hverju ég á að svara þér með.

[Viktor]

Hvaða yfirvöld ætlarðu t.d. að hafa samband við? Það er engin reglugerð sem bannar þessa svínslega óöruggu uppsetningu.

Þarna hittirðu naglann á höfuðið.
Það að þessi síða sé illa hönnuð er í raun aukaatriði í þessu dæmi. Þetta er umræða sem íslensk fyrirtæki verða að sjá.

Það þarf að búa til reglur um þetta og helst þyrfti að vera sér deild innan lögreglunnar sem sæi um svona mál. Það verður líklega ekki gert fyrr en eftir 50 ár eða svo, en á meðan þetta er ekki rætt þá gerist nákvæmlega ekkert.

[krat]

Hvaða yfirvöld ætlarðu t.d. að hafa samband við? Það er engin reglugerð sem bannar þessa svínslega óöruggu uppsetningu.

Þarna hittirðu naglann á höfuðið.
Það að þessi síða sé illa hönnuð er í raun aukaatriði í þessu dæmi. Þetta er umræða sem íslensk fyrirtæki verða að sjá.

Það þarf að búa til reglur um þetta og helst þyrfti að vera sér deild innan lögreglunnar sem sæi um svona mál. Það verður líklega ekki gert fyrr en eftir 50 ár eða svo, en á meðan þetta er ekki rætt þá gerist nákvæmlega ekkert.

En á meðan getur Gúrú uppfært notendur þessara síðu sem vita hva flestir að þetta sé ekki í lagi og koma þar að leiðandi boðskapnum áfram og mistökinn verða vondandi ekki endurtekinn á dýrkeyptari kostnað.

[depill]

Æi varla nennti að commenta. En ég er í FB grúbbum varðandi öryggi og forritun og reglulega kemur þetta upp. Og reglulega kemur einhver og virðist halda að hann sé gáfaðari en allir hinir og það sé öryggi í obsecurity. Þ.e. það sé betra að roll your own authentication + auth + user management heldur en að nota library eða framework sem eru til í öllum tungumálum.

Sýnist það vera í gangi hér. Algjör óþarfi að vera alltaf að finna upp hjólið

[gardar]

Hvaða yfirvöld ætlarðu t.d. að hafa samband við? Það er engin reglugerð sem bannar þessa svínslega óöruggu uppsetningu.

Þarna hittirðu naglann á höfuðið.
Það að þessi síða sé illa hönnuð er í raun aukaatriði í þessu dæmi. Þetta er umræða sem íslensk fyrirtæki verða að sjá.

Það þarf að búa til reglur um þetta og helst þyrfti að vera sér deild innan lögreglunnar sem sæi um svona mál. Það verður líklega ekki gert fyrr en eftir 50 ár eða svo, en á meðan þetta er ekki rætt þá gerist nákvæmlega ekkert.

Æji nei plís, ekki ríkisstofnun og reglugerðir.

[krat]

Æi varla nennti að commenta. En ég er í FB grúbbum varðandi öryggi og forritun og reglulega kemur þetta upp. Og reglulega kemur einhver og virðist halda að hann sé gáfaðari en allir hinir og það sé öryggi í obsecurity. Þ.e. það sé betra að roll your own authentication + auth + user management heldur en að nota library eða framework sem eru til í öllum tungumálum.

Sýnist það vera í gangi hér. Algjör óþarfi að vera alltaf að finna upp hjólið

æji þannig þetta er bara í lagi.

[rapport]

Hvaða yfirvöld ætlarðu t.d. að hafa samband við? Það er engin reglugerð sem bannar þessa svínslega óöruggu uppsetningu.

Þarna hittirðu naglann á höfuðið.
Það að þessi síða sé illa hönnuð er í raun aukaatriði í þessu dæmi. Þetta er umræða sem íslensk fyrirtæki verða að sjá.

Það þarf að búa til reglur um þetta og helst þyrfti að vera sér deild innan lögreglunnar sem sæi um svona mál. Það verður líklega ekki gert fyrr en eftir 50 ár eða svo, en á meðan þetta er ekki rætt þá gerist nákvæmlega ekkert.

Lög og reglur Persónuverndar ná yfir þetta...

Skilgrening á persónuupplýsingum:

Persónuupplýsingar: Sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi.

Þegar búið er að vennsla fornafn, eftirnafn og símanúmer þá er þetta orðið persónugreinanlegt, ef það er kennitala þá er þetta persónugreinanlegt....

II. KAFLI
Öryggiskerfi
3. gr.
Ábyrgðaraðila ber að útbúa öryggiskerfi til að tryggja vernd persónuupplýsinga.

Það þarf ekki að kafa dýpra....

Það er svo ofboðslaga margt að hjá ríkinu sjálfu að þar á bæ óttast menn held ég mest að öllu að svona vinnubrögð komist fyrir sjónir almennings...

[CendenZ]

Vandamálið er einmitt grunnurinn sem depill bendir á, egó forritara.

[krat]

Hvaða yfirvöld ætlarðu t.d. að hafa samband við? Það er engin reglugerð sem bannar þessa svínslega óöruggu uppsetningu.

Þarna hittirðu naglann á höfuðið.
Það að þessi síða sé illa hönnuð er í raun aukaatriði í þessu dæmi. Þetta er umræða sem íslensk fyrirtæki verða að sjá.

Það þarf að búa til reglur um þetta og helst þyrfti að vera sér deild innan lögreglunnar sem sæi um svona mál. Það verður líklega ekki gert fyrr en eftir 50 ár eða svo, en á meðan þetta er ekki rætt þá gerist nákvæmlega ekkert.

Lög og reglur Persónuverndar ná yfir þetta...

Skilgrening á persónuupplýsingum:

Persónuupplýsingar: Sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi.

Þegar búið er að vennsla fornafn, eftirnafn og símanúmer þá er þetta orðið persónugreinanlegt, ef það er kennitala þá er þetta persónugreinanlegt....

II. KAFLI
Öryggiskerfi
3. gr.
Ábyrgðaraðila ber að útbúa öryggiskerfi til að tryggja vernd persónuupplýsinga.

Það þarf ekki að kafa dýpra....

Það er svo ofboðslaga margt að hjá ríkinu sjálfu að þar á bæ óttast menn held ég mest að öllu að svona vinnubrögð komist fyrir sjónir almennings...

En hver er refsi ramminn ?

[rapport]

En hver er refsi ramminn ?

40. gr. Stöðvun vinnslu o.fl.
Persónuvernd getur mælt fyrir um stöðvun vinnslu persónuupplýsinga, þar á meðal söfnunar, skráningar eða miðlunar, mælt fyrir um að persónuupplýsingar verði afmáðar eða skrám eytt, í heild eða að hluta, bannað frekari notkun upplýsinga eða lagt fyrir ábyrgðaraðila að viðhafa ráðstafanir sem tryggja lögmæti vinnslunnar. Við mat á því hvort og þá hvaða úrræðum skuli beitt skal Persónuvernd m.a. taka tillit til þeirra atriða sem greinir í 2. mgr. 35. gr.
Komi í ljós að fram fer vinnsla persónuupplýsinga sem brýtur í bága við ákvæði laga þessara eða reglur settar samkvæmt þeim er Persónuvernd heimilt að fela lögreglustjóra að stöðva til bráðabirgða starfsemi viðkomandi og innsigla starfsstöð hans þegar í stað.
Sinni aðili ekki fyrirmælum Persónuverndar skv. 1. mgr. getur hún afturkallað leyfi sem hún hefur veitt samkvæmt ákvæðum laga þessara þar til úr hefur verið bætt að hennar mati.
41. gr. Dagsektir.
Ef ekki er farið að fyrirmælum Persónuverndar skv. 10., 25., 26. eða 40. gr. getur hún ákveðið að leggja dagsektir á þann sem fyrirmælin beinast að þar til úr hefur verið bætt að mati Persónuverndar. Sektir geta numið allt að 100.000 kr. fyrir hvern dag sem líður eða byrjar að líða án þess að fyrirmælum Persónuverndar sé fylgt.
Ef ákvörðun Persónuverndar um dagsektir er skotið til dómstóla byrja dagsektir ekki að falla á fyrr en dómur er endanlegur. Dagsektir renna í ríkissjóð og má án undangengins dóms gera aðför til fullnustu þeirra.
42. gr. Refsingar.
Brot á ákvæðum laga þessara og reglugerða settra samkvæmt þeim varða fésektum eða fangelsi allt að þremur árum nema þyngri refsing liggi við samkvæmt öðrum lögum. Sama refsing liggur við ef ekki er farið að fyrirmælum Persónuverndar.
Nú er brot framið í starfsemi lögaðila og má þá gera lögaðilanum fésekt skv. II. kafla A almennra hegningarlaga.
43. gr. Bætur.
Hafi ábyrgðaraðili eða vinnsluaðili unnið með persónuupplýsingar í andstöðu við ákvæði laga þessara, reglna eða fyrirmæla Persónuverndar skal ábyrgðaraðili bæta hinum skráða það fjárhagslega tjón sem hann hefur orðið fyrir af þeim völdum. Ábyrgðaraðila verður þó ekki gert að bæta tjón sem hann sannar að hvorki verður rakið til mistaka né vanrækslu af hans hálfu eða vinnsluaðila.

[krat]

En hver er refsi ramminn ?

40. gr. Stöðvun vinnslu o.fl.
Persónuvernd getur mælt fyrir um stöðvun vinnslu persónuupplýsinga, þar á meðal söfnunar, skráningar eða miðlunar, mælt fyrir um að persónuupplýsingar verði afmáðar eða skrám eytt, í heild eða að hluta, bannað frekari notkun upplýsinga eða lagt fyrir ábyrgðaraðila að viðhafa ráðstafanir sem tryggja lögmæti vinnslunnar. Við mat á því hvort og þá hvaða úrræðum skuli beitt skal Persónuvernd m.a. taka tillit til þeirra atriða sem greinir í 2. mgr. 35. gr.
Komi í ljós að fram fer vinnsla persónuupplýsinga sem brýtur í bága við ákvæði laga þessara eða reglur settar samkvæmt þeim er Persónuvernd heimilt að fela lögreglustjóra að stöðva til bráðabirgða starfsemi viðkomandi og innsigla starfsstöð hans þegar í stað.
Sinni aðili ekki fyrirmælum Persónuverndar skv. 1. mgr. getur hún afturkallað leyfi sem hún hefur veitt samkvæmt ákvæðum laga þessara þar til úr hefur verið bætt að hennar mati.
41. gr. Dagsektir.
Ef ekki er farið að fyrirmælum Persónuverndar skv. 10., 25., 26. eða 40. gr. getur hún ákveðið að leggja dagsektir á þann sem fyrirmælin beinast að þar til úr hefur verið bætt að mati Persónuverndar. Sektir geta numið allt að 100.000 kr. fyrir hvern dag sem líður eða byrjar að líða án þess að fyrirmælum Persónuverndar sé fylgt.
Ef ákvörðun Persónuverndar um dagsektir er skotið til dómstóla byrja dagsektir ekki að falla á fyrr en dómur er endanlegur. Dagsektir renna í ríkissjóð og má án undangengins dóms gera aðför til fullnustu þeirra.
42. gr. Refsingar.
Brot á ákvæðum laga þessara og reglugerða settra samkvæmt þeim varða fésektum eða fangelsi allt að þremur árum nema þyngri refsing liggi við samkvæmt öðrum lögum. Sama refsing liggur við ef ekki er farið að fyrirmælum Persónuverndar.
Nú er brot framið í starfsemi lögaðila og má þá gera lögaðilanum fésekt skv. II. kafla A almennra hegningarlaga.
43. gr. Bætur.
Hafi ábyrgðaraðili eða vinnsluaðili unnið með persónuupplýsingar í andstöðu við ákvæði laga þessara, reglna eða fyrirmæla Persónuverndar skal ábyrgðaraðili bæta hinum skráða það fjárhagslega tjón sem hann hefur orðið fyrir af þeim völdum. Ábyrgðaraðila verður þó ekki gert að bæta tjón sem hann sannar að hvorki verður rakið til mistaka né vanrækslu af hans hálfu eða vinnsluaðila.

Takk fyrir, mjög áhugavert.

[rapport]

En svo má líka vel vera að annað öryggi hjá þeim sé arfaslakt...

[CendenZ]

Hafið samt í huga að það er engin villa eða galli í kerfinu þeirra, það er nákvæmlega svona hannað. Þetta er vísvitandi gert svona, notendanum til þæginda. "annað" öryggi hjá þeim er líklegast í lagi

[rapport]

Hafið samt í huga að það er engin villa eða galli í kerfinu þeirra, það er nákvæmlega svona hannað. Þetta er vísvitandi gert svona, notendanum til þæginda. "annað" öryggi hjá þeim er líklegast í lagi

Ég veit ekki hvort þetta átti að vera kaldhæðni eða jákvæðni...

Það mætti a.m.k. skipta orðinu "líklega" út fyrir "hugsanlega" eða "mögulega"...

M.v. hvað við vitum um þeirra vinnubrögð, þá kveikir það ekki miklar væntingar um að annað sé í lagi.