Bliv gratis medlem
|
Nu læste jeg lige på comon.dk at foruden 1000vis af andre websites har også fdim været ude for et angreb i weekenden. Citat: fra Comon.dk "Ifølge de danske sikkerhedseksperter CSIS er der lagt filer med camoufleret javascript på siderne, som derved uset kan sende brugerne videre til ondsindede drive-by sider. " Uden rigtig at have sat mig ind i det vil jeg alligevel være ligefrem og sige - det er jeres egen skyld! PHP, .NET og andre scriptsprog (eller fortolkede og semifortolkede sprog) er blevet standard for dynamiske hjemmesider, disse scriptsprogs opbygning, funktionalitet og sårbarheder er kendt af alle der ved lidt om at bygge hjemmesider, også banditterne! Mange hjemmeside byggere kan kun bygge hjemmesider ved hjælp af open sorce systemer som er ekstremt sårbare. Yderemere har disse fortolkede sprog så også adgang til de databaser der ligger bagved hjemmesiderne, dette betyder at hvis banditterne kan få kontrol over scriptene kan de også få kontrol over de data der ligger bag hjemmesiden, dette er mildt sagt uansvarligt hvis man gemmer brugeres data i disse databaser. Men det er farligt at leve og man må acceptere en vis risiko når man surfer, javascripts bliver afviklet i browseren og ikke på webserveren, javel - men banditterne har i første omgang fået adgang til at ligge kode på webserveren og der findes alternativer til at bygge hjemmesider som er mere sikre. Og nu ligger jeg mig sikkert ud med Martin Thorborg og 95% af brugerne på Amino, men jeg kan ikke lade være med at drage en paralel til diskutionen for et par md. siden omkring brug af script-blokkere, selvom jeg håber at de fleste nu har syn for sagen - alle burde bruge script-blokkere som standard og kun tillade hjemmesider de stoler på afvikle kode i ens browser. Jeg forbeholder mig i hvet fald retten til at antage at når selve brancheforeningen ikke kan beskytte deres gear så er der ikke ret mange der kan. Dette oplæg skal ikke ses som en videreføring af tidligere diskution omkring script-blokkere men mere som oplæg til diskution af hvordan hjemmeside byggere kan bidrage til sikkerheden "derude"
Mvh Ken
|
kenhvm:Yderemere har disse fortolkede sprog så også adgang til de databaser der ligger bagved hjemmesiderne, dette betyder at hvis banditterne kan få kontrol over scriptene kan de også få kontrol over de data der ligger bag hjemmesiden, dette er mildt sagt uansvarligt hvis man gemmer brugeres data i disse databaser.
Hvis du ikke vil gemme ting i en database, hvordan vil du så gemme dine data?
kenhvm:Men det er farligt at leve og man må acceptere en vis risiko når man surfer, javascripts bliver afviklet i browseren og ikke på webserveren, javel - men banditterne har i første omgang fået adgang til at ligge kode på webserveren og der findes alternativer til at bygge hjemmesider som er mere sikre.
Hvilke alternativer er det?
kenhvm:Og nu ligger jeg mig sikkert ud med Martin Thorborg og 95% af brugerne på Amino, men jeg kan ikke lade være med at drage en paralel til diskutionen for et par md. siden omkring brug af script-blokkere, selvom jeg håber at de fleste nu har syn for sagen - alle burde bruge script-blokkere som standard og kun tillade hjemmesider de stoler på afvikle kode i ens browser. Jeg forbeholder mig i hvet fald retten til at antage at når selve brancheforeningen ikke kan beskytte deres gear så er der ikke ret mange der kan.
Dette oplæg skal ikke ses som en videreføring af tidligere diskution omkring script-blokkere men mere som oplæg til diskution af hvordan hjemmeside byggere kan bidrage til sikkerheden "derude"
Nej du ligger dig ud med det begreb der hedder Internettet. At du vil køre med script-blocker må du helt selv om, men være beredt på at mange funktionaliteter på "moderne" hjemmesider så ikke vil virke. Ud over det, hvordan ved du om de hjemmesider du stoler på IKKE har fået lagt crossitescript eller lignende ind? Nemlig det kan du ikke, Internettet er så stor en sammensat størrelse at det er umuligt at sikre det 100%.
Opret bruger