Jura, kontrakter, lovgivning, ophavsret m.m.

Svar: Ramt af virus - hvem har ansvaret?

Dimsedut — Mon, 26 Mar 2012 15:13:53 GMT

Af fare for nok at blive upopulær (og det ligger mig meget på sinde ikke at blive det), men hvad dælen havde i forventet?

Hvad syntes du/i er retfærdigt? Jeg formoder i har et lille begreb om virus, og sandsynligheden for at blive ramt af det. Det er desværre ikke altid dårlig kode, men derimod dygtige hackere som sætter dagsordenen for hvornår et site skal "ydelægges"

Vi hører, ofte på Amino, en masse som himler op om at det er tåbeligt at købe Dandomain og lignende, for så skal man jo betale 1000 dkk om måneden. Løbende sikkerhedsvedligehold er et must for en webshop! Mon ikke nogen af de 1000 dkk går til dette?

Det kunne være interessant at høre jeres egne tanker? havde i forventet:

Ingen risiko for virus i 2 år
Alle funktioner skal fungere i 2 år (også efter i har haft adgang til kildekode)
Layout skal stå pænt i alle browsere (også de browsere som bliver frigivet inden for de næste 2 år)
etc.

Få en "serviceaftale" på jeres webshop, det kan være rigtig dyrt at have en programmør til at lede efter fejl, når en webshop ikke har været sikkerhedsopdateret i flere år.

Jimmy

Svar: Ramt af virus - hvem har ansvaret?

Henrik Kristensen — Mon, 26 Mar 2012 14:44:11 GMT

Tak for alle svarene.

For en god ordens skyld, vil jeg lige nævne, at indlægget var ikke skrevet for at hænge nogen ud eller for at brokke os over, at vi selv har ansvaret for virussen.

Vi ville bare høre, om der var regler på området, som vi ikke kendte til :)

Svar: Ramt af virus - hvem har ansvaret?

Kenneth Wellin — Mon, 26 Mar 2012 14:28:22 GMT

John Nielsen:

Har I aftalt med jeres webudvikler, at vedkommende skal drifte hjemmesiden efter aflevering af det aftalte udviklingsarbejde?

Det endelige ansvar for webhotellets sikkerhed er jeres eget. Dette ansvar kan I betale nogen for at forvalte via jævnlige opdateringer, tilretninger og tilpasninger, når der findes nye kritiske exploits på jeres hjemmesides platform.

Jeg må erklære mig helt enig med John her.

Når først arbejdet er leveret og der er "sagt god for det", jvf. eventuel forudgående leveringsaftale, så er driften og hermed sikkerheden eget ansvar. Der opdages/opstår konstant nye sikkerhedshuller i software og det vil ikke være muligt for en leverandør at være ansvarlig for dette i al evighed. Som jeg ser det, kan i vælge forskellige løsninger:

1) Sørg for altid at have god backup, så i kan genskabe jeres site, hvis det bliver kompromiteret. Hvis i så bliver ramt af hack/virus kan i forholdvis hurtigt genskabe sitet og så kigget på det udnyttede sikkerhedshul.

2) Køb jer til et ab., hvor jeres site løbende opdateres og vedligeholdes, så risikoen for hack/virus holdes minimal

dbh
Kenneth

Svar: Ramt af virus - hvem har ansvaret?

Anders Eiler — Mon, 26 Mar 2012 13:07:35 GMT

@Rasmus - Ok, med sådan en aftale er det naturligvis fair nok, at I tager jer betalt for yderligere service. Jeg glemte vist at nævne i mit første indlæg, at det var med forbehold eventuel serviceaftale eller lignende med udvikleren :-)

Held og lykke i jagten på sikkerhedshullerne til jer begge - det er en lorteopgave :-(

Svar: Ramt af virus - hvem har ansvaret?

Martin Lysfelt — Mon, 26 Mar 2012 13:07:01 GMT

John Nielsen:

Den endelige ansvar for webhotellets sikkerhed er jeres egen.

Enig!

I kan ikke forvente, at andre påtager sig risikoen for, at jeres software er uden virus til tid og evighed, med mindre, at I har købt jer til en sådan service.

Køber man en pc og lægger eks. Windows ind på den, uden at lægge virusprogram ind, og får man virus 4 måneder efter købet, så ringer man jo heller ikke til Microsoft, og beder dem om at komme og få renset computeren, så man igen kan arbejde videre uden virusprogram.

Som John nævner, så er det muligt at outsource dette ansvar, men hvis I ikke har lavet en aftale med nogen, så må I selv påtage jer omkostningen I at få sikkerhedshullet lappet, og softwaren gjort fri for virus.

Svar: Ramt af virus - hvem har ansvaret?

Rasmus Lindgren — Mon, 26 Mar 2012 13:00:12 GMT

For god ordens skyld blander jeg mig lige, da vi oprindeligt har udviklet sitet (håber det er iorden Henrik).

Normalt når vi overdrager en shop har vi reelt ikke længere ansvaret for den. Vi leverer en færdig shop til en fast pris - vi tager ikke yderligere betalt for at stå stand by.

Når det så er sagt, så har vi hjulpet uden betaling i denne forbindelse med at fjerne virussen fra sitet (som stadig var der efter at hosting firmaet havde været inde over). Udfordringen er lidt at udvikleren der har kigget på det at selv efter at han havde fjernet de ramte javascript filer (og der var skiftet FTP og admin password) så lod det til at virus kom tilbage.

Da det derfor lader til at der stadig er en bagdør et sted, skal vi bruge væsentligt længere tid på at på at finde denne og lukke den. Og det tager vi os betalt for.

Når det så er sagt, så har flere af mine egne sites baseret på Wordpress og hosted hos Dreamhost været hacket fornyeligt. Det var også et angreb på javascript filerne, og i denne forbindelse købte jeg faktisk følgende service.

Mit site var rent på under 2 timer efter registrering:

http://sucuri.net/

Det er svært at konkurrere med prisen.

EDIT: Når det så er sagt, så melder Sucuri faktisk at sitet er rent nu, så måske min udvikler alligevel fik bugt med dyret.

http://sitecheck.sucuri.net/results/http://onlineoutwear.dk

Svar: Ramt af virus - hvem har ansvaret?

Anders Eiler — Mon, 26 Mar 2012 12:48:06 GMT

Hej Henrik

Det kan være utrolig svært at finde sådan et sikkerhedshul. I de sager vi har haft, har vi hjulpet med at identificere hvor vira har ligget samt hvilket filer der er blevet inficeret. Vi har ikke assisteret med at lukke sikkerhedshullet, da det ligger et stykke udover det "scope", vi som webhotel udbyder opererer indenfor. Det vi har gjort, er blot at gøre opmærksom på problemet, samt henvist kraftigt til, at det skal løses.

Et godt sted at starte plejer imidlertid at være:

Identificer de filer, som er inficeret med vira (brug ClamAV Scanner hertil - den er rigtig god - få din hosting udbyder til at hjælpe med dette).
Se efter mønster i filerne og vira.
Gennemgå dine logfiler (kan udleveres af din hosting udbyder) meget nøjagtigt før, omkring og efter tidspunktet du formoder at være blevet hacket/inficeret med vira. Kig efter entries, hvor der uploades mærkelige filer, kaldes mærkelige url'er, eller noget som helst andet usædvaneligt, som du ikke plejer at se på dit website.

Det er hårdt, trælst og meget manuelt arbejde, men betaler sig såfremt du vil have sikkerhedshullet lukket. Der findes også forskellige programmer til at søge igennem logfiler efter diverse ting - jeg har blandede erfaringer med dem. Min bedste erfaring er, at det trænede øje kan spotte det i logfilerne.

Og naturligvis de obligatoriske råd: Sørg for din shop's software er up2date, og læs changelogs igennem for at se, om eventuelle sikkerhedshuller er opdaget/lukket.

Svar: Ramt af virus - hvem har ansvaret?

John Nielsen — Mon, 26 Mar 2012 12:45:36 GMT

Hej Henrik,

Har I aftalt med jeres webudvikler, at vedkommende skal drifte hjemmesiden efter aflevering af det aftalte udviklingsarbejde?

Det endelige ansvar for webhotellets sikkerhed er jeres eget. Dette ansvar kan I betale nogen for at forvalte via jævnlige opdateringer, tilretninger og tilpasninger, når der findes nye kritiske exploits på jeres hjemmesides platform.

Sikkerheden for en hjemmeside eller en webshop er ikke et statisk billede.

Der bliver løbende fundet sikkerhedshuller i praktisk talt alle webplatforme.

Det betyder i praksis, at et givent sikkerhedshul, som måtte være udnyttet til plantning af kode på jeres website, ikke har været kendt, da I fik hjemmesiden udviklet.

Vil I være sikre på, at jeres hjemmeside er mest mulig sikker, vil jeg anbefale, at I får hostingudbyderen eller andre fagfolk til at drifte og opdatere hjemmesiden.

Dbh. John

Svar: Ramt af virus - hvem har ansvaret?

Henrik Kristensen — Mon, 26 Mar 2012 12:39:45 GMT

Hej Anders

Tak for din besked. Hvordan finder vi ud af, hvordan virussen er sluppet ind på siden, og derved får pålagt os selv, udvikleren eller en tredjepart ansvaret? Hvordan er det blevet sporet, I de sager, som I selv har haft?

Svar: Ramt af virus - hvem har ansvaret?

Anders Eiler — Mon, 26 Mar 2012 12:33:06 GMT

Hej Henrik

Vi har haft et par sager, hvor kunder har fået virus på deres website pga. sikkerhedsfejl i egen kode. Her har vi naturligvis hjulpet med at få tingene tilbage til som det var før, men samtidig gjort det meget klart, at det er kundens eget ansvar at få bragt problemet i orden og lukket sikkerhedshullerne.

Det er i dit tilfælde svært at sige, hvis ansvar det er. Hvis sikkerhedshullet ligger i noget, som din udvikler har lavet, vil jeg mene, at det er hans ansvar at fixe u/b, da det er hans kode, som i så fald ikke er testet godt nok igennem. Hvis det er fx et tredjeparts modul til Magento, som indeholder hullet, er det ikke udelukkende din udvikles ansvar, selvom jeg stadig vil mene han bærer en del af ansvaret, i kraft af han formodentlig har valgt at anvende pågældende modul på din shop.

Der er ingen faste regler på området, og ingen fast måde at sikre sig imod det sker. Det handler om, at ens udvikler er dygtig nok, og al koden er testet tilstrækkelig igennem, så der ikke er sikkerhedshuller i den. Og ja - er I først blevet ramt én gang, vil I blive det igen, hvis ikke sikkerhedshullet lukkes med det samme.

Hvis det viser sig, at det er i din udviklers kode, at sikkerhedshullet foreligger, har han leveret et dårligt stykke håndværk. Hvis han ikke af sig selv tilbyder at rette det med det samme, bør du finde dig en anden udvikler.

Ramt af virus - hvem har ansvaret?

Henrik Kristensen — Mon, 26 Mar 2012 12:13:40 GMT

Hej venner!

Vi har været så uheldige, at blive ramt af virus på vores nye hjemmeside, som kun har været oppe i 4 måneder.

Vi har haft kontakt til vores hosting, som har været så venlige at hjælpe os en del af vejen med at få fjernet virussen. Hostingen fortæller os, at vi skal tage kontakt til vores udvikler af hjemmesiden, som har det egentlige ansvar for at få det fjernet.

Det har vi så gjort - og her kommer vores tvivl. Vores udvikler mener nemlig, at vi selv skal betale for at få virussen fjernet, mens hostingen fortæller os, at udvikleren skal fjerne virussen uden økonomiske omkostninger for os, da de har ansvaret.

Hvem har ret - hvad er reglerne på dette område?
Har udvikleren et ansvar for at få virussen fjernet uden omkostninger for os, eller kan det passe at vi selv skal betale dyrt for at få fjernet virussen på vores kun 4 måneder gamle hjemmeside?

Hvis vi selv skal betale - hvordan sikrer vi os så i fremtiden? Kender I til måder at forsikre sig på over for virusser? For hvis vores side kan blive ramt én gang, så kan den vel rammes igen med alt det virus der florerer rundt på internettet..

Håber på gode svar

På forhånd tak

Henrik Kristensen
OnlineOutwear.dk