Hackerangreb på hjemmeside?

Dan Storm:

Jeg er godt nok overrasket over at det åbenbart er holdningen at ejeren er ansvarlig for hackerangrebet her.

Personligt står jeg inde for alle de løsninger jeg er ansvarlig for - og mit ansvar forsvinder ikke efter overlevering af det aftalte.

Jeg vil til enhver tid hjælpe min kunde såfremt det er mit arbejde der er skyld i problemet for kunden. Og hvis jeg så finder frem til at det er noget andet som er skyld i problemet vil jeg efterfølgende kun tage betaling for det, hvis jeg sættes til at fikse det.

Det troede jeg faktisk var almindelig kutyme.

Vil du da dermed påstå, at du ikke har gjort dit arbejde godt nok, hvis dit produkt efter levering hackes?

Hvis du ikke løbende har sørget for at holde alt i dit cms  opgarderet til den nyeste version

er der desværre nem adgang for en hacker

Dan Storm:

Du ved lige så godt som jeg at det spørgsmål er sat på spidsen.

Enig, det er sat på spidsen. Og vi har ikke nok informationer i sagen til at tage endelig stilling. Men jeg vil alligevel prøve at vende dit argument på hovedet, for det lyder for som om at du siger, at hvis du har gjort dit arbejde godt nok, så bliver kunden ikke hacket. Det mener jeg ikke nødvendigvis er rigtigt. En låsesmed kan heller ikke sælge en lås, som ikke vil kunne brydes op. Medmindre dit arbejde er direkte mangelfuldt som fx ikke at escape de rigtige characters i dit produkts behandling af sql-inputs eller at du direkte garanterer at dit produkt ikke kan hackes, så mener jeg at udgangspunktet er, at det ikke er dit ansvar.

Dermed ikke sagt, at det ikke vil være god stil at tilbyde kunden en god pris op oprydningen efterfølgende, det er bare god kundeservice :)

Charly Olsen:

Men jeg vil alligevel prøve at vende dit argument på hovedet, for det lyder for som om at du siger, at hvis du har gjort dit arbejde godt nok, så bliver kunden ikke hacket.

Det er jo i princippet fra den ene yderlighed til den anden. Min pointe er at det virker unormalt for mig, at en kunde hyrer mig til at lave et wesbite/webapplikation/webservice - typisk pga. manglende egenkompetence til at løse opgaven selv - og når jeg så har leveret, så er det kunden ansvar hvad der sker derefter.

I min optik svarer det til at jeg hyrer håndværkere til at bygge mit hus og efterfølgende falder gavlen på huset sammen og det så er husejerens egen skyld, fordi han ikke har sørget for at understøtte gavlen. 

Charly Olsen:

En låsesmed kan heller ikke sælge en lås, som ikke vil kunne brydes op.

Der er vi helt enige om.

Charly Olsen:

Medmindre dit arbejde er direkte mangelfuldt som fx ikke at escape de rigtige characters i dit produkts behandling af sql-inputs eller at du direkte garanterer at dit produkt ikke kan hackes, så mener jeg at udgangspunktet er, at det ikke er dit ansvar.

Det er jo en vurderingssag, hvornår ens arbejde er mangelfuldt - ikke at escape input og output korrekt er mangelfuldt i min optik (ligesom i din). Jeg mener også det er mangelfuld ikke at kontrollere og validere input (f.eks. upload af filer der kan eksekveres - en ofte forekommende fejl - er også mangelfuldt.

Men til gengæld synes jeg ikke det er mangelfuldt hvis det er et CMS/eCommerce system der har mangler eller fejl. Det er ikke formålstjenstligt for hverken udvikleren eller kunden at det overblik over kodebasen skal være indgående for udvikleren. Det er derfor man har et community (til open source systemer) eller køber sig til sine platforme.

Charly Olsen:

Dermed ikke sagt, at det ikke vil være god stil at tilbyde kunden en god pris op oprydningen efterfølgende, det er bare god kundeservice :)

Som sagt, hvis det er mit arbejde der er skyld i det løser jeg det UB (inden for rimeligheden grænser som allerede nævnt). Hvis det ikke er mit arbejde, lokaliserer jeg som oftest problemet og giver et tilbud på at løse det. Og uanset, så synes jeg det er god kundeservice lige at stikke snablen i og se om man har mulighed for at gøre noget.

Dan Storm:

I min optik svarer det til at jeg hyrer håndværkere til at bygge mit hus og efterfølgende falder gavlen på huset sammen og det så er husejerens egen skyld, fordi han ikke har sørget for at understøtte gavlen. 

Men hjemmesiden falder jo ikke sammen af sig selv som din gavl, så jeg kan ikke følge dit eksempel. En hacker er jo en udefrakommende kraft, der ødelægger dit arbejde med ond vilje.

Jeg er formentlig enig med dig langt hen ad vejen i hvordan en situation som #0's skulle løses, og jeg ville også hjælpe mine kunder videre. Men jeg forstod #0's spørgsmål som et spørgsmål om, hvem er har den juridiske hæftelse for udgifterne, og der mener jeg umiddelbart at det er ham selv, medmindre andet er aftalt. Selvfølgelig i sidste ende hackeren, hvis han kan findes.

Min pointe er, at alt, der har adgang til internettet, kan hackes over internettet. Uanset hvor dygtig man er som udvikler, vil ens arbejde altid kunne hackes. Det kræver bare at hackeren er dygtig og kreativ nok, og udvikleren kan ikke stå til ansvar for andres kriminelle handlinger, medmindre han har handlet groft uagtsomt i min optik.

Dan Storm:

Jeg har set eksempler på sider der er blevet væltet af Google bottens indeksering,

Ja ok, men det eksempel kan jeg ikke se sammenhængen med en hacket hjemmeside i :)

Dan Storm:

Det kan også godt være at det er mere et juridisk spørgsmål om økonomien i det - jeg blev bare lidt overrasket over at svaret fra folk var som det var.

Umiddelbart tror jeg at det mere var en reaktion på, at #0, som jeg læser det, ikke mener at han selv skal betale for genopretningen af hans side, når jeg mener at det er indlysende, at det er ham selv, der skal det.

Dan Storm:

Også helt enig - ikke alle udviklere/håndværkere er lige dygtige.

Bestemt ikke. Og uanset hvor dygtig man er, er man naiv, hvis man tror at ens produkt ikke kan hackes, hvis det har forbindelse til nettet.

Charly Olsen:

Bestemt ikke. Og uanset hvor dygtig man er, er man naiv, hvis man tror at ens produkt ikke kan hackes, hvis det har forbindelse til nettet.

Og glemmer brugere at opdatere cms tema eller plugins står sitet piv åbent for hackere