Ramt af virus - hvem har ansvaret?

Hej venner!

Vi har været så uheldige, at blive ramt af virus på vores nye hjemmeside, som kun har været oppe i 4 måneder.

Vi har haft kontakt til vores hosting, som har været så venlige at hjælpe os en del af vejen med at få fjernet virussen. Hostingen fortæller os, at vi skal tage kontakt til vores udvikler af hjemmesiden, som har det egentlige ansvar for at få det fjernet.

Det har vi så gjort - og her kommer vores tvivl. Vores udvikler mener nemlig, at vi selv skal betale for at få virussen fjernet, mens hostingen fortæller os, at udvikleren skal fjerne virussen uden økonomiske omkostninger for os, da de har ansvaret. 

Hvem har ret - hvad er reglerne på dette område?
Har udvikleren et ansvar for at få virussen fjernet uden omkostninger for os, eller kan det passe at vi selv skal betale dyrt for at få fjernet virussen på vores kun 4 måneder gamle hjemmeside?

Hvis vi selv skal betale - hvordan sikrer vi os så i fremtiden? Kender I til måder at forsikre sig på over for virusser? For hvis vores side kan blive ramt én gang, så kan den vel rammes igen med alt det virus der florerer rundt på internettet..

Håber på gode svar

På forhånd tak

Henrik Kristensen
OnlineOutwear.dk 

Hej Anders

Tak for din besked. Hvordan finder vi ud af, hvordan virussen er sluppet ind på siden, og derved får pålagt os selv, udvikleren eller en tredjepart ansvaret? Hvordan er det blevet sporet, I de sager, som I selv har haft?

Hej Henrik,

Har I aftalt med jeres webudvikler, at vedkommende skal drifte hjemmesiden efter aflevering af det aftalte udviklingsarbejde?

Det endelige ansvar for webhotellets sikkerhed er jeres eget. Dette ansvar kan I betale nogen for at forvalte via jævnlige opdateringer, tilretninger og tilpasninger, når der findes nye kritiske exploits på jeres hjemmesides platform.

Sikkerheden for en hjemmeside eller en webshop er ikke et statisk billede.

Der bliver løbende fundet sikkerhedshuller i praktisk talt alle webplatforme.

Det betyder i praksis, at et givent sikkerhedshul, som måtte være udnyttet til plantning af kode på jeres website, ikke har været kendt, da I fik hjemmesiden udviklet.

Vil I være sikre på, at jeres hjemmeside er mest mulig sikker, vil jeg anbefale, at I får hostingudbyderen eller andre fagfolk til at drifte og opdatere hjemmesiden.

Dbh. John

For god ordens skyld blander jeg mig lige, da vi oprindeligt har udviklet sitet (håber det er iorden Henrik).

Normalt når vi overdrager en shop har vi reelt ikke længere ansvaret for den. Vi leverer en færdig shop til en fast pris - vi tager ikke yderligere betalt for at stå stand by.

Når det så er sagt, så har vi hjulpet uden betaling i denne forbindelse med at fjerne virussen fra sitet (som stadig var der efter at hosting firmaet havde været inde over). Udfordringen er lidt at udvikleren der har kigget på det at selv efter at han havde fjernet de ramte javascript filer (og der var skiftet FTP og admin password) så lod det til at virus kom tilbage.

Da det derfor lader til at der stadig er en bagdør et sted, skal vi bruge væsentligt længere tid på at på at finde denne og lukke den. Og det tager vi os betalt for.

Når det så er sagt, så har flere af mine egne sites baseret på Wordpress og hosted hos Dreamhost været hacket fornyeligt. Det var også et angreb på javascript filerne, og i denne forbindelse købte jeg faktisk følgende service.

Mit site var rent på under 2 timer efter registrering:

http://sucuri.net/

Det er svært at konkurrere med prisen.

EDIT: Når det så er sagt, så melder Sucuri faktisk at sitet er rent nu, så måske min udvikler alligevel fik bugt med dyret.

http://sitecheck.sucuri.net/results/http://onlineoutwear.dk

John Nielsen:

Den endelige ansvar for webhotellets sikkerhed er jeres egen.

Enig!

I kan ikke forvente, at andre påtager sig risikoen for, at jeres software er uden virus til tid og evighed, med mindre, at I har købt jer til en sådan service.

Køber man en pc og lægger eks. Windows ind på den, uden at lægge virusprogram ind, og får man virus 4 måneder efter købet, så ringer man jo heller ikke til Microsoft, og beder dem om at komme og få renset computeren, så man igen kan arbejde videre uden virusprogram.

Som John nævner, så er det muligt at outsource dette ansvar, men hvis I ikke har lavet en aftale med nogen, så må I selv påtage jer omkostningen I at få sikkerhedshullet lappet, og softwaren gjort fri for virus.

John Nielsen:

Har I aftalt med jeres webudvikler, at vedkommende skal drifte hjemmesiden efter aflevering af det aftalte udviklingsarbejde?

Det endelige ansvar for webhotellets sikkerhed er jeres eget. Dette ansvar kan I betale nogen for at forvalte via jævnlige opdateringer, tilretninger og tilpasninger, når der findes nye kritiske exploits på jeres hjemmesides platform.

Jeg må erklære mig helt enig med John her.

Når først arbejdet er leveret og der er "sagt god for det", jvf. eventuel forudgående leveringsaftale, så er driften og hermed sikkerheden eget ansvar. Der opdages/opstår konstant nye sikkerhedshuller i software og det vil ikke være muligt for en leverandør at være ansvarlig for dette i al evighed. Som jeg ser det, kan i vælge forskellige løsninger:

1) Sørg for altid at have god backup, så i kan genskabe jeres site, hvis det bliver kompromiteret. Hvis i så bliver ramt af hack/virus kan i forholdvis hurtigt genskabe sitet og så kigget på det udnyttede sikkerhedshul.

2) Køb jer til et ab., hvor jeres site løbende opdateres og vedligeholdes, så risikoen for hack/virus holdes minimal

dbh
Kenneth

Tak for alle svarene.

For en god ordens skyld, vil jeg lige nævne, at indlægget var ikke skrevet for at hænge nogen ud eller for at brokke os over, at vi selv har ansvaret for virussen.

Vi ville bare høre, om der var regler på området, som vi ikke kendte til :)