Hov. Du er ikke logget ind.
DU SKAL VÆRE LOGGET IND, FOR AT INTERAGERE PÅ DENNE SIDE

Til brugere af WordPress pluginet Elementor Contact Form DB

Side 1 ud af 2 (13 indlæg)
Fra Varde
Tilmeldt 15. Mar 19
Indlæg ialt: 520
Albert van Harten Fra  Computernørden Skrevet 13-01-2021 kl. 10:09
Hvor mange stjerner giver du? :
Gennemsnit 5.0 stjerner givet af 1 person

Der er offentliggjort et sikkerhedshul i ovennævnte plugin. Hullet gælder også for såkaldte "unauthorized sessions", hvilket betyder at man ikke behøver være logget på for at kunne udnytte fejlen.

Sikkerhedshullet er af typen CSRF, hvilket står for Cross Site Request Forgery. Det betyder at forespørgsler fra andre websites til dit website bliver accepteret ved at sætte programkode ind på steder, hvor det egentligt ikke burde kunne lade sig gøre.

Det er derfor en rigtig god idé (læs: det er en rigtig dum plan ikke at gøre det) at opdatere plugin'et, hvis versionsnummeret er under 1.6.

Desuden vil jeg stærkt anbefale at du beskytter dit website generelt mod CSRF. I mit blogindlæg Ansvaret er dit – din udbyder vasker sine hænder i uskyld tager jeg emnet også meget kort op - og kommer med en løsning.

For mere information om plugin'ets sikkerhedshul: Elementor Contact Form DB < 1.6 - Unauthenticated & Unauthorised Form Submissions Export Security Vulnerability (wpscan.com)

Albert van Harten
Etisk hacker

Albert van Harten, Etisk hacker og programmør

Computernørden - https://computernoerden.dk
KairosPlanner.com I/S - https://kairosplanner.com
TimeLeft ApS - https://timeleft.dk

Tilmeldt 8. Jun 16
Indlæg ialt: 37
Søren Skrevet 13-01-2021 kl. 16:49
Hvor mange stjerner giver du? :
Gennemsnit 4.0 stjerner givet af 1 person

Fint indlæg. Bid især mærke i linket til "Ansvaret er dit". Det kan anbefales af alle nørder, at læse dette blogindlæg. Her lærte jeg et par ting om .htaccess - troede ellers jeg vidste det hele :-)

hilsen Søren

Fra Varde
Tilmeldt 15. Mar 19
Indlæg ialt: 520
Albert van Harten Fra  Computernørden Skrevet 13-01-2021 kl. 18:03
Hvor mange stjerner giver du? :
Gennemsnit 5.0 stjerner givet af 1 person

Tak for din ros, Søren :)

Albert van Harten, Etisk hacker og programmør

Computernørden - https://computernoerden.dk
KairosPlanner.com I/S - https://kairosplanner.com
TimeLeft ApS - https://timeleft.dk

Fra Skanderborg
Tilmeldt 1. Jan 17
Indlæg ialt: 164
Mads Kristensen Fra  Online Relation Skrevet 13-01-2021 kl. 20:55
Hvor mange stjerner giver du? :
Fra Varde
Tilmeldt 15. Mar 19
Indlæg ialt: 520
Albert van Harten Fra  Computernørden Skrevet 14-01-2021 kl. 08:45
Hvor mange stjerner giver du? :
Gennemsnit 5.0 stjerner givet af 1 person

Tusind tak, Mads :)

Albert van Harten, Etisk hacker og programmør

Computernørden - https://computernoerden.dk
KairosPlanner.com I/S - https://kairosplanner.com
TimeLeft ApS - https://timeleft.dk

Fra 9800 Hjørring
Tilmeldt 21. Aug 20
Indlæg ialt: 36
Martin Skrevet 14-01-2021 kl. 08:59
Hvor mange stjerner giver du? :

https://duelhost.dk | Markedets bedste webhotel med dansk support.

Fra Varde
Tilmeldt 15. Mar 19
Indlæg ialt: 520
Albert van Harten Fra  Computernørden Skrevet 14-01-2021 kl. 09:06
Hvor mange stjerner giver du? :

Hej Martin

Tak for din reaktion.

Det er et par uger siden, hvis ikke måneder, da jeg skrev indlægget, så jeg må lige kigge lidt nærmere på det for at kunne give dig et svar på det første. Umiddelbart tænker jeg at min X-Frame-option ikke skal være betinget (if ...) - men som sagt kan jeg kun svare når jeg har kigget på det nærmere.

Jeg har både X-Frame-Options og CSP, da sikkerpånettet.dk ikke accepterer kun en CSP - i hvert fald ikke på det tidspunkt hvor jeg skrev dette: den meldte stadigvæk fejl i mine X-Frame-Options.

Albert van Harten, Etisk hacker og programmør

Computernørden - https://computernoerden.dk
KairosPlanner.com I/S - https://kairosplanner.com
TimeLeft ApS - https://timeleft.dk

Fra 9800 Hjørring
Tilmeldt 21. Aug 20
Indlæg ialt: 36
Martin Skrevet 14-01-2021 kl. 09:11
Hvor mange stjerner giver du? :

Det er vel enten eller - dine header ændringer køres jo ikke hvis modulet ikke er loadet, så enten skal du vel have alt inde i din If-sætning eller også skal du ikke. Den mest "safe" metode er vel at lave tjeks når man kan. Men det virker umiddelbart lidt arbitrært at lave tjek på noget af det men ikke alt :P

Men ok med hensyn til CSP - det er fint nok at have begge, dog er det ikke nødvendigt jvf. det link jeg gav. Men hvis ens mål er at score 100% i en test som fejlagtigt ikke følger standarden, så er det vel sådan det er :)

Det viser blot at dem som laver disse tests tilsyneladende ikke selv helt har styr på sagerne, men det er så en anden sag - måske man burde tage resten af deres test med et gran salt, uden lige at have tjekket den :)

https://duelhost.dk | Markedets bedste webhotel med dansk support.

Fra Varde
Tilmeldt 15. Mar 19
Indlæg ialt: 520
Albert van Harten Fra  Computernørden Skrevet 14-01-2021 kl. 09:21
Hvor mange stjerner giver du? :
Gennemsnit 5.0 stjerner givet af 1 person

Jeg vil absolut se nærmere på if ... Tak for det.

Jeg er helt enig i at sikkerpånettet.dk skal tages med en gran salt. Jeg nævner også det med IPv6 som har intet med sikkerheden at gøre.

I øvrigt er sikkerpånettet bare købt i udlandet, nærmere betegnet Holland; sitet internet.nl har lavet systemet. Men eftersom DK-Hostmaster reklamerer med systemet på deres forside, flankeret af Martin Thorborg (som i øvrigt ikke selv scorer 100% på sin side - hvilket understreger at man kan tage sikkerpånettet.dk med en gran salt), mens ALLE med et .dk-domæne er kunde hos DK-Hostmaster, så tænker jeg det nok tjener et vist formål at hjælpe folk med at score 100% i den test.

Og selvom testen ikke er helt retsvisende, så kan det aldrig skade at sikre sit website mere end det niveau WordPress eller ens udbyder standard leverer.

Albert

Albert van Harten, Etisk hacker og programmør

Computernørden - https://computernoerden.dk
KairosPlanner.com I/S - https://kairosplanner.com
TimeLeft ApS - https://timeleft.dk

Fra 9800 Hjørring
Tilmeldt 21. Aug 20
Indlæg ialt: 36
Martin Skrevet 14-01-2021 kl. 09:31
Hvor mange stjerner giver du? :
Gennemsnit 5.0 stjerner givet af 1 person

Nej, det skader som udgangspunkt ikke at slå nogle funktioner til. Dog er jeg, som ejer af et hosting firma, ikke helt glad for idéen med at vi som udbyder skal enforce diverse ting på server-niveau som KAN påvirke kundens hjemmeside. Synes mildest talt at dit udtryk om at vi "vasker hænder" er mangelfuldt og viser manglende indsigt både på det tekniske område (som vi så ovenfor mht. til mine tidligere kommentarer) men også i kendskab til branchen.

Som du selv hinter om i din artikel, kan flere af disse funktioner påvirke en sides funktionalitet - og her ligger problemet. Jeg synes ikke vi som udbyder skal bestemme hvordan visse dele af din side virker og hvem der potentielt skal udelukkes for at besøge din side. Flere af de sikkerhedstiltag man kan lave, har også konsekvenser - f.eks. er det ikke alt som er understøttet af alle browsere, og her risikerer man meget nemt at ekskludere folk som kører gammelt software, f.eks. Internet Explorer - og ja, de findes skam endnu. Jeg mener bare ikke at det er vores job at udelukke disse brugere for at besøge vores kunders sider.

Tilgengæld sørger vi for, at serversikkerheden er i orden på serverniveau - de ting vi kan ændre uden den store chance for at det ødelægger noget for kunden.

Det er mit bud på hvorfor du ikke ser udbydere påtvinge disse tiltag da det KAN have konsekvenser. Vi stiller en platform til rådighed, men det du vælger at uploade til serveren vil altid være dit eget ansvar og ønsker man specielle tiltag kan man hos de fleste udbydere aktivere dem, ligesom du beskriver.

https://duelhost.dk | Markedets bedste webhotel med dansk support.

Side 1 ud af 2 (13 indlæg)
Vi bruger cookies til at sikre, at du får den bedste oplevelse på Amino
Læs mere