Jura, kontrakter, lovgivning, ophavsret m.m.

Svar: Hackerangreb på hjemmeside?

Wordpress Support — Tue, 25 Mar 2014 11:24:38 GMT

Charly Olsen:
Bestemt ikke. Og uanset hvor dygtig man er, er man naiv, hvis man tror at ens produkt ikke kan hackes, hvis det har forbindelse til nettet.

Og glemmer brugere at opdatere cms tema eller plugins står sitet piv åbent for hackere

Svar: Hackerangreb på hjemmeside?

Charly Olsen — Tue, 25 Mar 2014 11:22:19 GMT

Dan Storm:
Jeg har set eksempler på sider der er blevet væltet af Google bottens indeksering,

Ja ok, men det eksempel kan jeg ikke se sammenhængen med en hacket hjemmeside i :)

Dan Storm:
Det kan også godt være at det er mere et juridisk spørgsmål om økonomien i det - jeg blev bare lidt overrasket over at svaret fra folk var som det var.

Umiddelbart tror jeg at det mere var en reaktion på, at #0, som jeg læser det, ikke mener at han selv skal betale for genopretningen af hans side, når jeg mener at det er indlysende, at det er ham selv, der skal det.

Dan Storm:
Også helt enig - ikke alle udviklere/håndværkere er lige dygtige.

Bestemt ikke. Og uanset hvor dygtig man er, er man naiv, hvis man tror at ens produkt ikke kan hackes, hvis det har forbindelse til nettet.

Svar: Hackerangreb på hjemmeside?

Dan Storm — Tue, 25 Mar 2014 09:28:49 GMT

Charly Olsen:
Men hjemmesiden falder jo ikke sammen af sig selv som din gavl, så jeg kan ikke følge dit eksempel. En hacker er jo en udefrakommende kraft, der ødelægger dit arbejde med ond vilje.

Jeg har set eksempler på sider der er blevet væltet af Google bottens indeksering, fordi man ikke har beskyttet sine sider godt nok - ganske seriøst. Der blev indekseret de links som bruges til at slette brugere, sider og jeg ved ikke hvad. Det var hverken ondsindet eller bevids angreb - men bare en dårlig platform. Ligesom stærk vind kunne have væltet gavlen.

Idéen er egentlig ikke at være specifik på årsagen eller skylden, mere hvem der kan gøre noget for at løse problemet. At give ejeren af huset ansvaret for den væltede gavl eller for den nedlagte hjemmeside virker ikke på nogen måde fremmende for hverken mig eller for min kunde.

Charly Olsen:
Jeg er formentlig enig med dig langt hen ad vejen i hvordan en situation som #0's skulle løses, og jeg ville også hjælpe mine kunder videre. Men jeg forstod #0's spørgsmål som et spørgsmål om, hvem er har den juridiske hæftelse for udgifterne, og der mener jeg umiddelbart at det er ham selv, medmindre andet er aftalt. Selvfølgelig i sidste ende hackeren, hvis han kan findes.

Det kan også godt være at det er mere et juridisk spørgsmål om økonomien i det - jeg blev bare lidt overrasket over at svaret fra folk var som det var.

Charly Olsen:
Min pointe er, at alt, der har adgang til internettet, kan hackes over internettet. Uanset hvor dygtig man er som udvikler, vil ens arbejde altid kunne hackes.

Enig.

Charly Olsen:
Det kræver bare at hackeren er dygtig og kreativ nok, og udvikleren kan ikke stå til ansvar for andres kriminelle handlinger, medmindre han har handlet groft uagtsomt i min optik.

Også helt enig - ikke alle udviklere/håndværkere er lige dygtige.

Svar: Hackerangreb på hjemmeside?

Charly Olsen — Tue, 25 Mar 2014 08:26:49 GMT

Dan Storm:
I min optik svarer det til at jeg hyrer håndværkere til at bygge mit hus og efterfølgende falder gavlen på huset sammen og det så er husejerens egen skyld, fordi han ikke har sørget for at understøtte gavlen.

Men hjemmesiden falder jo ikke sammen af sig selv som din gavl, så jeg kan ikke følge dit eksempel. En hacker er jo en udefrakommende kraft, der ødelægger dit arbejde med ond vilje.

Jeg er formentlig enig med dig langt hen ad vejen i hvordan en situation som #0's skulle løses, og jeg ville også hjælpe mine kunder videre. Men jeg forstod #0's spørgsmål som et spørgsmål om, hvem er har den juridiske hæftelse for udgifterne, og der mener jeg umiddelbart at det er ham selv, medmindre andet er aftalt. Selvfølgelig i sidste ende hackeren, hvis han kan findes.

Min pointe er, at alt, der har adgang til internettet, kan hackes over internettet. Uanset hvor dygtig man er som udvikler, vil ens arbejde altid kunne hackes. Det kræver bare at hackeren er dygtig og kreativ nok, og udvikleren kan ikke stå til ansvar for andres kriminelle handlinger, medmindre han har handlet groft uagtsomt i min optik.

Svar: Hackerangreb på hjemmeside?

Dan Storm — Tue, 25 Mar 2014 08:16:13 GMT

Charly Olsen:
Men jeg vil alligevel prøve at vende dit argument på hovedet, for det lyder for som om at du siger, at hvis du har gjort dit arbejde godt nok, så bliver kunden ikke hacket.

Det er jo i princippet fra den ene yderlighed til den anden. Min pointe er at det virker unormalt for mig, at en kunde hyrer mig til at lave et wesbite/webapplikation/webservice - typisk pga. manglende egenkompetence til at løse opgaven selv - og når jeg så har leveret, så er det kunden ansvar hvad der sker derefter.

I min optik svarer det til at jeg hyrer håndværkere til at bygge mit hus og efterfølgende falder gavlen på huset sammen og det så er husejerens egen skyld, fordi han ikke har sørget for at understøtte gavlen.

Charly Olsen:
En låsesmed kan heller ikke sælge en lås, som ikke vil kunne brydes op.

Der er vi helt enige om.

Charly Olsen:
Medmindre dit arbejde er direkte mangelfuldt som fx ikke at escape de rigtige characters i dit produkts behandling af sql-inputs eller at du direkte garanterer at dit produkt ikke kan hackes, så mener jeg at udgangspunktet er, at det ikke er dit ansvar.

Det er jo en vurderingssag, hvornår ens arbejde er mangelfuldt - ikke at escape input og output korrekt er mangelfuldt i min optik (ligesom i din). Jeg mener også det er mangelfuld ikke at kontrollere og validere input (f.eks. upload af filer der kan eksekveres - en ofte forekommende fejl - er også mangelfuldt.

Men til gengæld synes jeg ikke det er mangelfuldt hvis det er et CMS/eCommerce system der har mangler eller fejl. Det er ikke formålstjenstligt for hverken udvikleren eller kunden at det overblik over kodebasen skal være indgående for udvikleren. Det er derfor man har et community (til open source systemer) eller køber sig til sine platforme.

Charly Olsen:
Dermed ikke sagt, at det ikke vil være god stil at tilbyde kunden en god pris op oprydningen efterfølgende, det er bare god kundeservice :)

Som sagt, hvis det er mit arbejde der er skyld i det løser jeg det UB (inden for rimeligheden grænser som allerede nævnt). Hvis det ikke er mit arbejde, lokaliserer jeg som oftest problemet og giver et tilbud på at løse det. Og uanset, så synes jeg det er god kundeservice lige at stikke snablen i og se om man har mulighed for at gøre noget.

Svar: Hackerangreb på hjemmeside?

Wordpress Support — Tue, 25 Mar 2014 07:30:14 GMT

og har kunden ikke opdateret sine plugins eller selve cms til nyeste version

svare det lidt til at

have en sikker lås men glemmer at låse den

og så kan låsen være nok så sikker men er den ikke låst hjælper det ikke

Svar: Hackerangreb på hjemmeside?

Charly Olsen — Tue, 25 Mar 2014 07:24:35 GMT

Dan Storm:
Du ved lige så godt som jeg at det spørgsmål er sat på spidsen.

Enig, det er sat på spidsen. Og vi har ikke nok informationer i sagen til at tage endelig stilling. Men jeg vil alligevel prøve at vende dit argument på hovedet, for det lyder for som om at du siger, at hvis du har gjort dit arbejde godt nok, så bliver kunden ikke hacket. Det mener jeg ikke nødvendigvis er rigtigt. En låsesmed kan heller ikke sælge en lås, som ikke vil kunne brydes op. Medmindre dit arbejde er direkte mangelfuldt som fx ikke at escape de rigtige characters i dit produkts behandling af sql-inputs eller at du direkte garanterer at dit produkt ikke kan hackes, så mener jeg at udgangspunktet er, at det ikke er dit ansvar.

Dermed ikke sagt, at det ikke vil være god stil at tilbyde kunden en god pris op oprydningen efterfølgende, det er bare god kundeservice :)

Svar: Hackerangreb på hjemmeside?

Wordpress Support — Tue, 25 Mar 2014 07:17:49 GMT

Hvis du ikke løbende har sørget for at holde alt i dit cms opgarderet til den nyeste version

er der desværre nem adgang for en hacker

Svar: Hackerangreb på hjemmeside?

Dan Storm — Tue, 25 Mar 2014 07:15:30 GMT

Charly Olsen:
Vil du da dermed påstå, at du ikke har gjort dit arbejde godt nok, hvis dit produkt efter levering hackes?

Du ved lige så godt som jeg at det spørgsmål er sat på spidsen.

En leveret løsning i IT branchen kan ikke have et evigt liv - teknologierne udvikler sig - både for os som laver løsningerne, men også for dem som forsøger at ødelægge dem. Med det forbehold og naturligvis det aftalte/kontraktmæssige i vedligeholdelsen af løsningen, så er svaret ja.

Det er i allerhøjeste grad mit ansvar da mit arbejde der ikke er udført godt nok. Det er min umiddelbare holdning at hvis produktet udsættes for et angreb og lider skade som følge deraf inden for en acceptabel tidsramme, så er jeg så sandelig også forpligtet til at udbedre skaden. Tre dage, tre måneder - ja, måske endda op til et år (alt afhængig af løsningen) - men tre år efter, vil jeg mene at teknologierne er rendt fra løsningen og så snakker vi noget helt andet.

Nu melder OP ikke noget om hvor gammel løsningen i virkeligheden er - men at det konsekvent er ejerens ansvar (backup eller ej) er jeg dybt uenig i.

Svar: Hackerangreb på hjemmeside?

Charly Olsen — Tue, 25 Mar 2014 06:50:46 GMT

Dan Storm:

Jeg er godt nok overrasket over at det åbenbart er holdningen at ejeren er ansvarlig for hackerangrebet her.

Personligt står jeg inde for alle de løsninger jeg er ansvarlig for - og mit ansvar forsvinder ikke efter overlevering af det aftalte.

Jeg vil til enhver tid hjælpe min kunde såfremt det er mit arbejde der er skyld i problemet for kunden. Og hvis jeg så finder frem til at det er noget andet som er skyld i problemet vil jeg efterfølgende kun tage betaling for det, hvis jeg sættes til at fikse det.

Det troede jeg faktisk var almindelig kutyme.

Vil du da dermed påstå, at du ikke har gjort dit arbejde godt nok, hvis dit produkt efter levering hackes?

Svar: Hackerangreb på hjemmeside?

Anonymous — Tue, 25 Mar 2014 03:22:21 GMT

Hej Simon.

Typisk vil man altid anbefale backup - Altså at systemet automatisk tager backup eller at kunden sørger for dette af og til.

En leverandør burde altid være meget behjælpelig i tilfælde af hacking, men det altid være kundens ansvar, når løsningen er leveret. Vedmindre at der er en aftale på, at leverandøren af webløsningen skal stå for backup og ikke mindst vedligeholdelse. Du nævner at flere forskellige virksomheders hjemmesider er blevet hacket, så vil jeg anbefale at gå i dialog med hostingselskabet og høre hvorvidt alle de forskellige webløsninger er hostet ved dette selskab. Dette kunne være en sikkerheds hul, men måske også blot en almindelig hacking.

Hvis du ikke allerede har gjort følgende, så vil jeg anbefale dig det:

Få sat en automatisk backup op til hver 1-2 uge alt efter behov.

Opdater dine koder hos hostingselskabet

Ændre koden til din FTP server

Når din webløsning kommer op igen, så opdater dit eventuelle CMS til det nyeste version.

Øg sikkerheden på serveren og i dit CMS med sikkerhedsindstillinger og eventuelle moduler/plugins.

Svar: Hackerangreb på hjemmeside?

erjegher — Tue, 25 Mar 2014 00:26:21 GMT

Husk alt kan hackes hvis man vil hacke det, uanset hvor opdateret ens systemer er.

Svar: Hackerangreb på hjemmeside?

mikael1979 — Tue, 25 Mar 2014 00:17:26 GMT

Den ansvarlige er hackeren, det er hærværk. Ligesom hvis en sten kastes igennem en rude i forretningen. Nu er dette ikke lige altid skrevet ind i forsikringen.

Nu ved jeg at data kan genskabes, hvad gjorde de.. Overskrev de det hele med en algoritme, så er det bare ikke super godt for dig..! Desuden har jeg prøvet at skulle genskabe data, det kan være billigere for dig at få lavet noget nyt.

Brug en udbyder, der har flere servere der spejler hinanden. Ikke det her RAID, med spejlende diske, et serverspejl. (Det ok at serveren har RAID, den skal bare have den anden del også)

Lokal backup, så burde du være homefree.

Hvad var årsagen til angrebet, de kommer jo ikke bare og laver den slags uden at vinde noget.

Svar: Hackerangreb på hjemmeside?

Dan Storm — Mon, 24 Mar 2014 21:58:40 GMT

Jeg er godt nok overrasket over at det åbenbart er holdningen at ejeren er ansvarlig for hackerangrebet her.

Personligt står jeg inde for alle de løsninger jeg er ansvarlig for - og mit ansvar forsvinder ikke efter overlevering af det aftalte.

Jeg vil til enhver tid hjælpe min kunde såfremt det er mit arbejde der er skyld i problemet for kunden. Og hvis jeg så finder frem til at det er noget andet som er skyld i problemet vil jeg efterfølgende kun tage betaling for det, hvis jeg sættes til at fikse det.

Det troede jeg faktisk var almindelig kutyme.

Svar: Hackerangreb på hjemmeside?

Charly Olsen — Mon, 24 Mar 2014 21:04:56 GMT

Hvis du har indbrud i dit hus, så er det kun dig, der hænger på regningen - ikke ham, der satte døren i eller leverede låsen. Kan du fange indbrudstyvene, så kan du sende regningen videre til ham, og har du en forsikring, så kan du være dækket der. Medmindre din leverandør har sagt at hjemmesiden aldrig kunne hackes, så kan jeg aldrig se at det bliver hans problem :)