Cafe og hygge

Svar: Weekendens angreb

kenhvm — Tue, 18 Aug 2009 12:03:07 GMT

Michael:
Men .NET er i din verden ikke oversat(compiled) kode eller hvad?

Jo og nej, en af fiduserne ved .net er at koden kan kompileres just in time eller hvis man selv vil, kompilere den inden den skal bruges. Men det ændre ikke ved at IIS er en webserver der kan afvikle fortolket kode. En webserver skrevet i .NET der udelukkende kan afvikle foruddefinerede compileret kode er en helt anden snak.

Michael:
Hvis du helt vil undgå client-side scripting

For anden gang, det vil jeg heller ikke, bare jeg kan bestemme hvad der køre på min egen klient

Mvh Ken

Svar: Weekendens angreb

Michael — Tue, 18 Aug 2009 11:04:38 GMT

kenhvm:

Michael:
Hvis du ikke vil gemme ting i en database, hvordan vil du så gemme dine data?

Jeg har ikke skrevet at data ikke skal gemmes i en database, jeg skrev at det er uansvarligt at adgangen til disse data er usikker!

Michael:
Hvilke alternativer er det?

webservere der ikke giver adgang til fortolket kode, men afvikler oversat kode.

Nu havde jeg håbet at du ville skrive et sprog, eller et web-system setup.

Men .NET er i din verden ikke oversat(compiled) kode eller hvad?

Hvis du helt vil undgå client-side scripting, så vil du få det meget svært med at skulle lave asynkrone kald (AJAX) f.eks, da HTTP protokollen nu engang er bygget som den er. Der er en grund til at javascript/AJAX har vundet så meget indpas, som det nu engang har, da det er UMULIGT at foretage disse ting ellers. De fleste visuelle effekter ville også være stærkt begrænsede.

Svar: Weekendens angreb

kenhvm — Tue, 18 Aug 2009 09:08:58 GMT

Michael:
Hvis du ikke vil gemme ting i en database, hvordan vil du så gemme dine data?

Jeg har ikke skrevet at data ikke skal gemmes i en database, jeg skrev at det er uansvarligt at adgangen til disse data er usikker!

Michael:
Hvilke alternativer er det?

webservere der ikke giver adgang til fortolket kode, men afvikler oversat kode.

Michael:
du ligger dig ud med det begreb der hedder Internettet

Vel gør jeg ej, jeg ved godt at fortolkede sprog som PHP er om ikke defacto standard så i hvert fald meget udbredt og rigtig let tilgængeligt, men det retfærdiggør da ikke at det er usikkert. Let tilgængelighed er naturligvis til stor glæde for alle der begynder at kode hjemmesider, jeg er stor fan af let tilgængelighed, men jeg må sige at det ryster mig lidt at en org. som DFIM ikke har overvejet alternativer til deres ikke særligt komplekse hjemmeside. Det kan selvf. være de har overvejet det, men fundet merudgiften for udvikling og vedligeholdelse af en mere sikker løsning som jeg antager højst vil antage 25% for stor.

Michael:
At du vil køre med script-blocker må du helt selv om, men være beredt på at mange funktionaliteter på "moderne" hjemmesider så ikke vil virke

Den er jeg med på du, hvis en hjemmeside er interessant/brugbar nok har jeg muligheden for at vurdere om jeg vil løbe risikoen, jeg kan jo altid slå scripts til og fra som jeg behager.

Det er egentligt mærkeligt at standard forum-systemer, blog-systemer, shopping-systemer og CMS-systemer som ikke er baseret på disse fortolkede sprog ikke er mere udbredt, jeg må indrømme at jeg faktisk ikke aner om de findes. Måske der er et marked :o)

Mvh Ken

Svar: Weekendens angreb

Michael — Tue, 18 Aug 2009 08:31:51 GMT

kenhvm:

Yderemere har disse fortolkede sprog så også adgang til de databaser der ligger bagved hjemmesiderne, dette betyder at hvis banditterne kan få kontrol over scriptene kan de også få kontrol over de data der ligger bag hjemmesiden, dette er mildt sagt uansvarligt hvis man gemmer brugeres data i disse databaser.

Hvis du ikke vil gemme ting i en database, hvordan vil du så gemme dine data?

kenhvm:

Men det er farligt at leve og man må acceptere en vis risiko når man surfer, javascripts bliver afviklet i browseren og ikke på webserveren, javel - men banditterne har i første omgang fået adgang til at ligge kode på webserveren og der findes alternativer til at bygge hjemmesider som er mere sikre.

Hvilke alternativer er det?

kenhvm:

Og nu ligger jeg mig sikkert ud med Martin Thorborg og 95% af brugerne på Amino, men jeg kan ikke lade være med at drage en paralel til diskutionen for et par md. siden omkring brug af script-blokkere, selvom jeg håber at de fleste nu har syn for sagen - alle burde bruge script-blokkere som standard og kun tillade hjemmesider de stoler på afvikle kode i ens browser. Jeg forbeholder mig i hvet fald retten til at antage at når selve brancheforeningen ikke kan beskytte deres gear så er der ikke ret mange der kan.

Dette oplæg skal ikke ses som en videreføring af tidligere diskution omkring script-blokkere men mere som oplæg til diskution af hvordan hjemmeside byggere kan bidrage til sikkerheden "derude"

Nej du ligger dig ud med det begreb der hedder Internettet. At du vil køre med script-blocker må du helt selv om, men være beredt på at mange funktionaliteter på "moderne" hjemmesider så ikke vil virke. Ud over det, hvordan ved du om de hjemmesider du stoler på IKKE har fået lagt crossitescript eller lignende ind? Nemlig det kan du ikke, Internettet er så stor en sammensat størrelse at det er umuligt at sikre det 100%.

Weekendens angreb

kenhvm — Tue, 18 Aug 2009 07:05:52 GMT

Nu læste jeg lige på comon.dk at foruden 1000vis af andre websites har også fdim været ude for et angreb i weekenden.

Citat: fra Comon.dk

"Ifølge de danske sikkerhedseksperter CSIS er der lagt filer med camoufleret javascript på siderne, som derved uset kan sende brugerne videre til ondsindede drive-by sider. "

Uden rigtig at have sat mig ind i det vil jeg alligevel være ligefrem og sige - det er jeres egen skyld!

PHP, .NET og andre scriptsprog (eller fortolkede og semifortolkede sprog) er blevet standard for dynamiske hjemmesider, disse scriptsprogs opbygning, funktionalitet og sårbarheder er kendt af alle der ved lidt om at bygge hjemmesider, også banditterne! Mange hjemmeside byggere kan kun bygge hjemmesider ved hjælp af open sorce systemer som er ekstremt sårbare.

Yderemere har disse fortolkede sprog så også adgang til de databaser der ligger bagved hjemmesiderne, dette betyder at hvis banditterne kan få kontrol over scriptene kan de også få kontrol over de data der ligger bag hjemmesiden, dette er mildt sagt uansvarligt hvis man gemmer brugeres data i disse databaser.

Men det er farligt at leve og man må acceptere en vis risiko når man surfer, javascripts bliver afviklet i browseren og ikke på webserveren, javel - men banditterne har i første omgang fået adgang til at ligge kode på webserveren og der findes alternativer til at bygge hjemmesider som er mere sikre.

Og nu ligger jeg mig sikkert ud med Martin Thorborg og 95% af brugerne på Amino, men jeg kan ikke lade være med at drage en paralel til diskutionen for et par md. siden omkring brug af script-blokkere, selvom jeg håber at de fleste nu har syn for sagen - alle burde bruge script-blokkere som standard og kun tillade hjemmesider de stoler på afvikle kode i ens browser. Jeg forbeholder mig i hvet fald retten til at antage at når selve brancheforeningen ikke kan beskytte deres gear så er der ikke ret mange der kan.

Dette oplæg skal ikke ses som en videreføring af tidligere diskution omkring script-blokkere men mere som oplæg til diskution af hvordan hjemmeside byggere kan bidrage til sikkerheden "derude"

Mvh Ken