Teknik, hosting & e-handelsløsninger

Svar: Til brugere af WordPress pluginet Elementor Contact Form DB

albert@computernoerderne.dk — Thu, 14 Jan 2021 10:07:59 GMT

Jeg har et ansvar i at give korrekte informationer. Nu er det sådan, at der ikke kun findes en Sandhed med stort S. Jeg anser mit synspunkt for det rigtige, du ser sand(!)synligvis dit for at være det rigtige. I sidste ende ligger vi ikke langt fra hinanden, tænker jeg dog. I øvrigt ser jeg udbydere ikke som en modpart.

Jep, SPF og DKIM sætter de fleste udbydere op, oftest uden at fortælle det. Og det er også helt fint. Der kunne dog argumenteres for hvorfor udbyderne skulle informere folk, at de har sat SPF records op som kun tager hensyn til udbydernes egne servere, men hvis du fx også sender nyhedsbreve via Mailchimp, eller fakturaer via Winfinans (for at nævne to konkrete eksempler), så skal ens SPF-record tilpasses.

Jeg mener at ALLE burde have tilføjet sikkerheden, som jeg beskriver i mit indlæg. Det er der ingen negative konsekvenser ved, hvis du spørger mig. Men jeg ser det, som sagt, med en etisk hackers øjne, ikke med udbydernes øjne.

Du har talt for din sag, jeg har talt for min sag. Jeg tror, som sagt, at vi i sidste ende ikke ligger langt fra hinanden, så jeg vil foreslå at vi lader den ligge herfra.

Endnu engang tak at du har nævnt det med "if-reglen", jeg vil nok se på sagen på et tidspunkt. Jeg prioriterer det ikke højt, da formålet er at sikkerheden er i top, og det er det hvis mit indlæg følges.

Albert

Svar: Til brugere af WordPress pluginet Elementor Contact Form DB

Martin — Thu, 14 Jan 2021 09:07:54 GMT

Det er nu ikke fordi jeg føler mig trådt over tæerne, men du har vel et ansvar eller burde i hvert fald have interesse i at give korrekt information hvis du vælger at prikke til modparten?

Alt andet er uærligt.

Du vil til gengæld nok finde at de fleste udbydere sætter SPF og DKIM op for brugeren - det er fordi det ingen negative konsekvenser har som hvis man begynder at ændre headers. Der er altså en grund til galskaben :)

Svar: Til brugere af WordPress pluginet Elementor Contact Form DB

albert@computernoerderne.dk — Thu, 14 Jan 2021 08:53:46 GMT

Jeg medgiver at det er lidt provokerende at sige, at udbyderne vasker deres hænder i uskyld. Det var også ment som en lille stikpille, da jeg mener at udbyderne skal gøre folk mere opmærksomme på risiciene ved at have en hjemmeside. Hvis jeg fik en krone for hver gang jeg hører folk sige "det tager min udbyder sig (vel) af", så var jeg stenrig.
Ud fra min synsvinkel - som etisk hacker - synes jeg det er skræmmende at se at websites der ikke har https overhovedet bliver accepteret af udbyderne. Det svarer til at en bilforhandler skulle tilbyde alle stumper til en bil, og faktisk også tilbyder at de lige samler tingene (lige som en 1-click installer), men glemmer at der også lige skal sikkerhedsseler, airbags, kollisionszoner (som de vist hedder), som ikke er vitale for bilen. Det vil betyde at bilforhandleren gør sine kunder en bjørnetjeneste (i klassisk betydning), uden at kunden overhovedet ved det.

Jeg vil med mit indlæg hjælpe folk med at fortælle, at deres udbyder ikke har ansvaret for sikkerheden. Jeg beklager hvis du føler dig trådt over tæerne.

Svar: Til brugere af WordPress pluginet Elementor Contact Form DB

Martin — Thu, 14 Jan 2021 08:31:42 GMT

Nej, det skader som udgangspunkt ikke at slå nogle funktioner til. Dog er jeg, som ejer af et hosting firma, ikke helt glad for idéen med at vi som udbyder skal enforce diverse ting på server-niveau som KAN påvirke kundens hjemmeside. Synes mildest talt at dit udtryk om at vi "vasker hænder" er mangelfuldt og viser manglende indsigt både på det tekniske område (som vi så ovenfor mht. til mine tidligere kommentarer) men også i kendskab til branchen.

Som du selv hinter om i din artikel, kan flere af disse funktioner påvirke en sides funktionalitet - og her ligger problemet. Jeg synes ikke vi som udbyder skal bestemme hvordan visse dele af din side virker og hvem der potentielt skal udelukkes for at besøge din side. Flere af de sikkerhedstiltag man kan lave, har også konsekvenser - f.eks. er det ikke alt som er understøttet af alle browsere, og her risikerer man meget nemt at ekskludere folk som kører gammelt software, f.eks. Internet Explorer - og ja, de findes skam endnu. Jeg mener bare ikke at det er vores job at udelukke disse brugere for at besøge vores kunders sider.

Tilgengæld sørger vi for, at serversikkerheden er i orden på serverniveau - de ting vi kan ændre uden den store chance for at det ødelægger noget for kunden.

Det er mit bud på hvorfor du ikke ser udbydere påtvinge disse tiltag da det KAN have konsekvenser. Vi stiller en platform til rådighed, men det du vælger at uploade til serveren vil altid være dit eget ansvar og ønsker man specielle tiltag kan man hos de fleste udbydere aktivere dem, ligesom du beskriver.

Svar: Til brugere af WordPress pluginet Elementor Contact Form DB

albert@computernoerderne.dk — Thu, 14 Jan 2021 08:21:06 GMT

Jeg vil absolut se nærmere på if ... Tak for det.

Jeg er helt enig i at sikkerpånettet.dk skal tages med en gran salt. Jeg nævner også det med IPv6 som har intet med sikkerheden at gøre.

I øvrigt er sikkerpånettet bare købt i udlandet, nærmere betegnet Holland; sitet internet.nl har lavet systemet. Men eftersom DK-Hostmaster reklamerer med systemet på deres forside, flankeret af Martin Thorborg (som i øvrigt ikke selv scorer 100% på sin side - hvilket understreger at man kan tage sikkerpånettet.dk med en gran salt), mens ALLE med et .dk-domæne er kunde hos DK-Hostmaster, så tænker jeg det nok tjener et vist formål at hjælpe folk med at score 100% i den test.

Og selvom testen ikke er helt retsvisende, så kan det aldrig skade at sikre sit website mere end det niveau WordPress eller ens udbyder standard leverer.

Albert

Svar: Til brugere af WordPress pluginet Elementor Contact Form DB

Martin — Thu, 14 Jan 2021 08:11:46 GMT

Det er vel enten eller - dine header ændringer køres jo ikke hvis modulet ikke er loadet, så enten skal du vel have alt inde i din If-sætning eller også skal du ikke. Den mest "safe" metode er vel at lave tjeks når man kan. Men det virker umiddelbart lidt arbitrært at lave tjek på noget af det men ikke alt :P

Men ok med hensyn til CSP - det er fint nok at have begge, dog er det ikke nødvendigt jvf. det link jeg gav. Men hvis ens mål er at score 100% i en test som fejlagtigt ikke følger standarden, så er det vel sådan det er :)

Det viser blot at dem som laver disse tests tilsyneladende ikke selv helt har styr på sagerne, men det er så en anden sag - måske man burde tage resten af deres test med et gran salt, uden lige at have tjekket den :)

Svar: Til brugere af WordPress pluginet Elementor Contact Form DB

albert@computernoerderne.dk — Thu, 14 Jan 2021 08:06:33 GMT

Hej Martin

Tak for din reaktion.

Det er et par uger siden, hvis ikke måneder, da jeg skrev indlægget, så jeg må lige kigge lidt nærmere på det for at kunne give dig et svar på det første. Umiddelbart tænker jeg at min X-Frame-option ikke skal være betinget (if ...) - men som sagt kan jeg kun svare når jeg har kigget på det nærmere.

Jeg har både X-Frame-Options og CSP, da sikkerpånettet.dk ikke accepterer kun en CSP - i hvert fald ikke på det tidspunkt hvor jeg skrev dette: den meldte stadigvæk fejl i mine X-Frame-Options.

Svar: Til brugere af WordPress pluginet Elementor Contact Form DB

Martin — Thu, 14 Jan 2021 07:59:34 GMT

Albert, hvorfor er bl.a. "Header set X-Frame-Options SAMEORIGIN" ikke placeret inde i din If-sætning på ovenstående link til din side?

Hvorfor har du både X-Frame-Options men også CSP sat, når CSP overruler den forrige? (https://www.w3.org/TR/CSP2/#frame-ancestors-and-frame-options)

Svar: Til brugere af WordPress pluginet Elementor Contact Form DB

albert@computernoerderne.dk — Thu, 14 Jan 2021 07:45:52 GMT

Tusind tak, Mads :)

Svar: Til brugere af WordPress pluginet Elementor Contact Form DB

Mads Kristensen — Wed, 13 Jan 2021 19:55:16 GMT

Albert van Harten:

Desuden vil jeg stærkt anbefale at du beskytter dit website generelt mod CSRF. I mit blogindlæg Ansvaret er dit – din udbyder vasker sine hænder i uskyld tager jeg emnet også meget kort op - og kommer med en løsning.

Rigtig fint blogindlæg Albert

Svar: Til brugere af WordPress pluginet Elementor Contact Form DB

albert@computernoerderne.dk — Wed, 13 Jan 2021 17:03:20 GMT

Tak for din ros, Søren :)

Svar: Til brugere af WordPress pluginet Elementor Contact Form DB

konsulenten — Wed, 13 Jan 2021 15:49:45 GMT

Fint indlæg. Bid især mærke i linket til "Ansvaret er dit". Det kan anbefales af alle nørder, at læse dette blogindlæg. Her lærte jeg et par ting om .htaccess - troede ellers jeg vidste det hele :-)

hilsen Søren

Til brugere af WordPress pluginet Elementor Contact Form DB

albert@computernoerderne.dk — Wed, 13 Jan 2021 09:09:16 GMT

Der er offentliggjort et sikkerhedshul i ovennævnte plugin. Hullet gælder også for såkaldte "unauthorized sessions", hvilket betyder at man ikke behøver være logget på for at kunne udnytte fejlen.

Sikkerhedshullet er af typen CSRF, hvilket står for Cross Site Request Forgery. Det betyder at forespørgsler fra andre websites til dit website bliver accepteret ved at sætte programkode ind på steder, hvor det egentligt ikke burde kunne lade sig gøre.

Det er derfor en rigtig god idé (læs: det er en rigtig dum plan ikke at gøre det) at opdatere plugin'et, hvis versionsnummeret er under 1.6.

Desuden vil jeg stærkt anbefale at du beskytter dit website generelt mod CSRF. I mit blogindlæg Ansvaret er dit – din udbyder vasker sine hænder i uskyld tager jeg emnet også meget kort op - og kommer med en løsning.

For mere information om plugin'ets sikkerhedshul: Elementor Contact Form DB < 1.6 - Unauthenticated & Unauthorised Form Submissions Export Security Vulnerability (wpscan.com)

Albert van Harten
Etisk hacker