On Apr 22, 10:36 am, Anders Wegge Keller <
we...@wegge.dk> wrote:
> Jeg har fremlagt beviset. Karl Erik har forsøgt at tiltvinge sig
> adgang til en del af et website der ikke findes eksterne links til.
Søgemaskinen Yahoo/slurp "tiltvinger" sig adgang til sider, som (den
tror) ikke eksisterer, for at tjekke 404 response (bl.a.).
Google laver iøvrigt det samme med form felter, hvor de "gætter"
værdier for at finde indhold, som ligger gemt bag knapper (foreløbig
vidstnok kun GET, men alligevel)
Særligt Googles gætteri er pisseirriterende, men tvivler på det er
ulovligt at lave den slags, ellers ville de vel også være blevet
stoppet, hvilket de ikke er.
Mere tror jeg det er _hensigten_ som er afgørende for, om det er
ulovligt, og som derfor skal bevises. Vi kan vel godt blive enige om,
at der f.eks. er forskel på at skrive en forkert værdi i search string
variabel, eftersom man faktisk _kan_ taste forkert - og så det at
skrive f.eks. '1=1 (eller hvad man nu bruger i dag). Det sidste er
helt klart et angrebsforsøg, og det vil man derfor heller aldrig se
fra hverken Yahoo eller Google.
Naturligvis har angriberen et ansvar, og skal stilles til regnskab, og
må tage sin straf - men begge parter har ansvar EMM, alt efter sidens
formål. Et firma, som f.eks. Valus, som i dén grad sløsede med
sikkerheden ud over al rimeligheds grænser, de burde have været idømt
en kanon fed bøde for deres klamphugger klyt-kode, særligt da de jo
tog penge for deres "tjeneste". Man lader ikke ustraffet alle vinduer
og døre pivåbne, og så tager på ferie, den holder simpelthen bare
ikke.
http://xkcd.com/327/
Men ellers, så ville jeg da sørge for, at hvad der _ikke_ skal være
tilgængeligt for offentligheden, bliver gemt over HTML root... Det er
vel egentlig også en best practice :)
At gemme noget i selve HTML-diret og så bare kalde det noget, man tror
andre ikke kan gætte, det er "security by obscurity". Det bliver
fundet alligevel før eller siden.
Uden at tage stilling til evt. skyldsspørgsmål i jeres sag iøvrigt...
jeg kender den kun overfladisk fra jeres indlæg, som - må jeg indrømme
- virker noget forvirrende og fragementere, men det her er rent
generelt mit synspunkt omkring sikkerhed på web.
MVH
Rune Jensen