Vefstjori.is geymir lykilorð

[krat]

Hafið samt í huga að það er engin villa eða galli í kerfinu þeirra, það er nákvæmlega svona hannað. Þetta er vísvitandi gert svona, notendanum til þæginda. "annað" öryggi hjá þeim er líklegast í lagi

Já mikið rétt, lögin fara ekki ítarlega út í einhverja ákveðna staðla sem gæta skal þegar er verið að gæta þessara upplýsinga og er þetta mjög líklega löglegt, en ef ég má segja nokkuð siðlaust ef þetta var með vilja gert en ekki bara "fávisku". Þessi þægindi geta svo sannarlega valdið þér miklum óþægindum.

[CendenZ]

Hafið samt í huga að það er engin villa eða galli í kerfinu þeirra, það er nákvæmlega svona hannað. Þetta er vísvitandi gert svona, notendanum til þæginda. "annað" öryggi hjá þeim er líklegast í lagi

Ég veit ekki hvort þetta átti að vera kaldhæðni eða jákvæðni...

Það mætti a.m.k. skipta orðinu "líklega" út fyrir "hugsanlega" eða "mögulega"...

M.v. hvað við vitum um þeirra vinnubrögð, þá kveikir það ekki miklar væntingar um að annað sé í lagi.

Ég held að þegar þarfagreiningin var gerð fyrir pöntunarkerfið var líklegast beðið um þessa útfærslu, og þeir bara gerðu það... höfðu ekki þekkingu til að ansa fyrir sig hverskonar della það væri að hafa þetta svona óöruggt

En ég held nú að tölvukerfi eldsmiðjunnar sé ekki voða flókið... bara símanúmer, pizzumenu og kort af pleisinu.. Frekar einfald dæmi og því er leitað í nógu andskoti ódýra lausn.
Er eitthvað meira sem snýr að tölvukerfi eldsmiðjunnar ? Annað öryggi er líklegast í lagi, enda bara stimpilklukka og vaktaplan og þvíumlíkt

[krat]

Hafið samt í huga að það er engin villa eða galli í kerfinu þeirra, það er nákvæmlega svona hannað. Þetta er vísvitandi gert svona, notendanum til þæginda. "annað" öryggi hjá þeim er líklegast í lagi

Ég veit ekki hvort þetta átti að vera kaldhæðni eða jákvæðni...

Það mætti a.m.k. skipta orðinu "líklega" út fyrir "hugsanlega" eða "mögulega"...

M.v. hvað við vitum um þeirra vinnubrögð, þá kveikir það ekki miklar væntingar um að annað sé í lagi.

Ég held að þegar þarfagreiningin var gerð fyrir pöntunarkerfið var líklegast beðið um þessa útfærslu, og þeir bara gerðu það... höfðu ekki þekkingu til að ansa fyrir sig hverskonar della það væri að hafa þetta svona óöruggt

En ég held nú að tölvukerfi eldsmiðjunnar sé ekki voða flókið... bara símanúmer, pizzumenu og kort af pleisinu.. Frekar einfald dæmi og því er leitað í nógu andskoti ódýra lausn.
Er eitthvað meira sem snýr að tölvukerfi eldsmiðjunnar ? Annað öryggi er líklegast í lagi, enda bara stimpilklukka og vaktaplan og þvíumlíkt

75-85% manns nota sama lykilorð á flestum síðum og þar af 50% user og pass, einnig tengist þetta kerfi við facebook, og því hæglega hægt að gera innrás inn á fleiri síður hjá notendum eldsmiðjunar með frekari skoðun ef kunnátta er til, væri lítið gagn að komast inn á vefsvæði eldsmiðjunar og skoða hversu margar pizzur hafi verið pantaðar

[missranny]

Nú er heldur betur búið að skjóta niður sendiboðann sem er aðeins kúnni hjá Eldsmiðjunni en vill svo vel til að hefur snilldar tölvukunnáttu. Það er staðreynd að margir íslendingar spá ekkert í hversu mikilvægt er kynna sér bara smá öryggis basic.Ekki er ég lærð en veit hversu ílla er staðið að net öryggismálum hjá fyrirtækjum á Íslandi.Forritari hlítur því að vita muninn á http og https og hversu mikill munur er á að vafra á síðum sem flestar eru https nú orðið. Það tryggir að allar upplýsingar sem ég sendi frá mér t.d. Þegar eg nota google fara á milli dulkóðaðar alltheway back to me.þess vegna ráða fyrirtæki erlendis til sín þá sem eru til í að vinna við ethical hacking til að finna vulnarbilitis í netkerfum innan fyrirtækisins og því sem snýr út á við,kallast oft white hats,svo eru þeir grey hats sem eru þarna milli en black hats sem nýta hakkara kunnáttu sína í neikvæðum tilgangi.Islendingar eru ekki komnir til nútímans hvað netöryggi varðar og ekki get ég séð neitt að áhyggjum dúdsins sem uppgvötvaði þetta þvi þetta er ekki galli heldur slæg vinnubrögð.

[krat]

Nú er heldur betur búið að skjóta niður sendiboðann sem er aðeins kúnni hjá Eldsmiðjunni en vill svo vel til að hefur snilldar tölvukunnáttu. Það er staðreynd að margir íslendingar spá ekkert í hversu mikilvægt er kynna sér bara smá öryggis basic.Ekki er ég lærð en veit hversu ílla er staðið að net öryggismálum hjá fyrirtækjum á Íslandi.Forritari hlítur því að vita muninn á http og https og hversu mikill munur er á að vafra á síðum sem flestar eru https nú orðið. Það tryggir að allar upplýsingar sem ég sendi frá mér t.d. Þegar eg nota google fara á milli dulkóðaðar alltheway back to me.þess vegna ráða fyrirtæki erlendis til sín þá sem eru til í að vinna við ethical hacking til að finna vulnarbilitis í netkerfum innan fyrirtækisins og því sem snýr út á við,kallast oft white hats,svo eru þeir grey hats sem eru þarna milli en black hats sem nýta hakkara kunnáttu sína í neikvæðum tilgangi.Islendingar eru ekki komnir til nútímans hvað netöryggi varðar og ekki get ég séð neitt að áhyggjum dúdsins sem uppgvötvaði þetta þvi þetta er ekki galli heldur slæg vinnubrögð.

Skjóta sendiboðan? sé nú ekki betur en að allir hér séu sammála Gúrú um að þetta sé ekki rétt leið til að geyma notendanöfn og password.

[Gúrú]

II. KAFLI
Öryggiskerfi
3. gr.
Ábyrgðaraðila ber að útbúa öryggiskerfi til að tryggja vernd persónuupplýsinga.

Það þarf ekki að kafa dýpra....

...til að finna út að þessi setning er svo til tilgangslaus? Árið 2001 (og þar með hjá ríkinu í dag) þótti þessi uppsetning örugglega allt í lagi.

Ykkur er velkomið að tilkynna þetta til persónuverndar og standa í því að útskýra fyrir hverjum sem er þar á bæ að þessi uppsetning sé ekki ásættanleg
en ég vil bara að þetta lélega fyrirtæki geri það sem ég útlistaði í fyrri pósti. Auðvitað eru allar líkur á því að ekkert slíkt verði gert og að ég fái lélega stefnu í pósti bráðum en hvað um það.

[Sallarólegur]

Hvaða yfirvöld ætlarðu t.d. að hafa samband við? Það er engin reglugerð sem bannar þessa svínslega óöruggu uppsetningu.

Þarna hittirðu naglann á höfuðið.
Það að þessi síða sé illa hönnuð er í raun aukaatriði í þessu dæmi. Þetta er umræða sem íslensk fyrirtæki verða að sjá.

Það þarf að búa til reglur um þetta og helst þyrfti að vera sér deild innan lögreglunnar sem sæi um svona mál. Það verður líklega ekki gert fyrr en eftir 50 ár eða svo, en á meðan þetta er ekki rætt þá gerist nákvæmlega ekkert.

Æji nei plís, ekki ríkisstofnun og reglugerðir.

Nú ókei. Hvert hringir þú þegar það kviknar í húsinu hjá þér? Palla frænda?

[Gúrú]

Æji nei plís, ekki ríkisstofnun og reglugerðir.

Nú ókei. Hvert hringir þú þegar það kviknar í húsinu hjá þér? Palla frænda?

Hversu mörg hús eiga að brenna og menn og börn að deyja áður en að það er bannað að hýsa skóla í álkassa með tvöföldum læsingum?

Þetta er mikið hyperbole en ég spyr sömu spurningar um þetta mál: Hversu mörg auðkenni mega glatast auðveldlega og að óþörfu áður en við setjum lágmarksreglur?

Náttúra vefinnbrota er ekki sú að það sé alltaf vitneskja um innbrotin eftir að þau eru framin svo það einfaldlega verða að vera til staðar verkslagsreglur sem lágmarka skaðann.

Í dag starfa í þessum bransa svívirðilega vanhæfir einstaklingar sem þekkja enga skömm og gera sér enga grein fyrir afleiðingum gjörða sinna.
Ég þarf ekki að sannfæra neinn sem kemur á þennan þráð um það enda kom sjálfboðaliði.

Við hjá Vefstjóra vildum bæta alla ásýnd Eldsmiðjunnar á netinu. [slóð]

Eldsmiðjan vildi bjóða viðskiptavinum sínum upp á það allra besta og þægilegasta á vefnum og vefurinn á að endurspegla Eldsmiðjuna í huga viðskiptavina, sem treysta því að þar sé sýnt gott handverk og allt gert af mikilli ástríðu. [slóð]

Mér líður eins og blaðamanni sem skáldar tilvitnanir. Þetta er bara of fullkomið. Hver elskar ekki íroníu?

Eins alvarlegt og lekamálið er þá er það fyrst og fremst áminning um hversu illa Íslendingar standa sig í netöryggismálum. Nýleg úttekt endurskoðunarfyrirtækisins KPMG sýndi fram á afar slæma stöðu í netöryggi margra af stærstu fyrirtækjum landsins.

Í skýrslu KPMG kemur fram að netöryggi sé sérstaklega ábótavant í heilbrigðisgeiranum. Það dylst engum að ef sambærilegur leki ætti sér stað með sjálfa sjúkrasögu Íslendinga þá myndi það hafa víðtæk pólitísk og félagsleg áhrif. [slóð]

[depill]

Æi varla nennti að commenta. En ég er í FB grúbbum varðandi öryggi og forritun og reglulega kemur þetta upp. Og reglulega kemur einhver og virðist halda að hann sé gáfaðari en allir hinir og það sé öryggi í obsecurity. Þ.e. það sé betra að roll your own authentication + auth + user management heldur en að nota library eða framework sem eru til í öllum tungumálum.

Sýnist það vera í gangi hér. Algjör óþarfi að vera alltaf að finna upp hjólið

æji þannig þetta er bara í lagi.

Sagði ég það. Ég var meira að benda á það sem CendeZ kemur inná aðeins seinna. Að Egó forritara sem halda að allt sem allir hafa gert á undan er vitleysa og bara það sem þeir gera er best.

Pælingin hér gæti verið: Djöfull er leiðinlegt að fá e-mail sem fer stundum í spam folderinn og fólk þarf að smella til að reseta lykilorð sem verður svo til þess að fólk gleymi því aftur. Miklu betra að læra ekkert af reynslu annara og geyma bara lykilorðin "dulkóðuð" með private lyklinum á netþjóninum og senda þau svo bara út. Jább það er best.

[appel]

Ekki nota sama user/pass á eldsmidjan.is og þið notið í heimabankann ykkar.

^ ókeypis internet heilræði númer #27

[rapport]

II. KAFLI
Öryggiskerfi
3. gr.
Ábyrgðaraðila ber að útbúa öryggiskerfi til að tryggja vernd persónuupplýsinga.

Það þarf ekki að kafa dýpra....

...til að finna út að þessi setning er svo til tilgangslaus? Árið 2001 (og þar með hjá ríkinu í dag) þótti þessi uppsetning örugglega allt í lagi.

Ykkur er velkomið að tilkynna þetta til persónuverndar og standa í því að útskýra fyrir hverjum sem er þar á bæ að þessi uppsetning sé ekki ásættanleg
en ég vil bara að þetta lélega fyrirtæki geri það sem ég útlistaði í fyrri pósti. Auðvitað eru allar líkur á því að ekkert slíkt verði gert og að ég fái lélega stefnu í pósti bráðum en hvað um það.

Þessi setning er ekki tilgangslaus.

Lög og reglur sem þessi gera það að verkum að ein öryggislausn er ekki útilokuð á meðan annari er hyglt.

Ef að það væri upptalning á nákvæmlega hvað ætti að gera þá væri það gátlisti yfir skref sem hakkarar þyrfti að bjótast í gegn.

Einnig mundi það draga úr metnaði kerfisstjóra að gera eitthvað nýtt og meira til að bæta öryggið, a.m.k. ekki fyrr en lögin yrðu uppfærð.

Með því að hafa kröfuna stutta og hnitmiðaða "Ábyrgðaraðila ber að útbúa öryggiskerfi til að tryggja vernd persónuupplýsinga" þá er krafan augljós og leiðir að markmiðinu eru svo teknar út eftir þörfum.

Þeir sem brjóta gegn lögunum eiga svo að fá skell... það er því svolítið markaðarins að hafa eftirlit og það er í raun einfalt... þú verslar bara við aðila sem eru með vottun frá viðurkenndum þriðja aðila...

[Gúrú]

Ef að það væri upptalning á nákvæmlega hvað ætti að gera þá væri það gátlisti yfir skref sem hakkarar þyrfti að bjótast í gegn.

Það er ekki það sem ég myndi vilja en hvað heldur þú að væri að því? Þú ert að stinga upp á security through obscurity sem er almennt ekki vel metin hugmynd.

Hvað þætti þér að því að hafa lista yfir það sem mætti ekki gera?
Reglugerð sem segði að það mætti ekki geyma lykilorð?
Reglugerð sem segði að það mætti ekki geyma ósöltuð hösh af lykilorðum?
Reglugerð sem segði að það mætti ekki nota fast hashing?
Reglugerð sem segði að það mætti ekki nota sama saltið fyrir tvo notendur?

Það sem eftir stæði væri slow hash af user unique söltuðum lykilorðum. Þó þetta sé ekki öruggasta uppsetning möguleg þá er þetta a.m.k. byrjunarreitur.

Reglugerðin mætti þess vegna segja fyrir mér að það mætti hunsa hana ef notanda væri skilmerkilega gert grein fyrir því að ekki mætti búast við neinu öryggi við notkun.
Sem er skilmáli sem að Vefstjori.is ætti að setja við öll sín verk. Þann skilmála og SSL certificate.

Með því að hafa kröfuna stutta og hnitmiðaða "Ábyrgðaraðila ber að útbúa öryggiskerfi til að tryggja vernd persónuupplýsinga" þá er krafan augljós og leiðir að markmiðinu eru svo teknar út eftir þörfum.

Hvernig er hægt að "tryggja" vernd persónuupplýsinga? Það er ekki hægt, er það? Öryggi er cat and mouse game og þessi setning er grínlaust gagnslaus í báða enda.
Ef maður tekur hana alvarlega þá biður hún um ómöguleikann og allir eru sekir og ef maður tekur hana bókstaflega er hún ekki að tryggja neitt öryggi og allir eru saklausir.

[dori]

Reglugerð sem segði að það mætti ekki nota slow hashing?

Kom þetta út öfugt? Vill maður ekki nota "hægt" hash?

[Gúrú]

Reglugerð sem segði að það mætti ekki nota slow hashing?

Kom þetta út öfugt? Vill maður ekki nota "hægt" hash?

Jú auðvitað. Sem betur fer kom niðurstöðusetningin rétt út.

[dori]

bara að vera viss, þetta passaði ekki alveg

Alveg sammála með þetta reyndar. Aðferðir sem er þekkt að eru vondar ættu að vera "bannaðar" með einhverjum viðurlögum og undantekningum (t.d. fyrir legacy dót). Þetta sem rapport vísar í er svo erfitt því að þar þarf að skilgreina svo margt (hvað eru t.d. persónuupplýsingar og hvenær erutu búinn að tryggja vernd þeirra).

[toybonzi]

Retina scan á línuna..

[rapport]

bara að vera viss, þetta passaði ekki alveg

Alveg sammála með þetta reyndar. Aðferðir sem er þekkt að eru vondar ættu að vera "bannaðar" með einhverjum viðurlögum og undantekningum (t.d. fyrir legacy dót). Þetta sem rapport vísar í er svo erfitt því að þar þarf að skilgreina svo margt (hvað eru t.d. persónuupplýsingar og hvenær erutu búinn að tryggja vernd þeirra).

Ég er kannski ekki nógu tæknilega fær til að þekkja nákvæmlega hvað skapar áhættu og hvað ekki.

En það er skýrt hvað á að vernda:

Persónuupplýsingar: Sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi.

Reglur persónuverndar eru skrifaðar nánast eftir ISO 27001 staðlinum, sem núna er verið að uppfæra.

Það má því búast við betri stýringum í staðlinum og hann mun gera meiri kröfur um formlega þekkingu, bæði starfsmanna og úttektaraðila.

Ég vona að þessi lög og reglugerðir verði uppfærð, það er þörf á því.

En ég mundi vilja sjá einhverskonar tilkynningaskildu, best væri að þetta væri svipað og í USA, að einstaklingar sem koma upp um skattsvik og svona mál fái % af sektargreiðslunum.

Þá er kominn markaður fyrir ethical hacking og hugsanlega hægt að lifa á því einu saman ef maður væri duglegur.

[missranny]

Lesa betur kæri krat sendiboðinn sem ég tala um er Gúru og ég er að tala um að þessi Daníel hafi með hroka verið að skjóta sendiboðann sem er Gúru. Ég er ekki að tala um neinn vaktara heldur þetta hugbúnaðar fyrirtæki sem vann vinnuna sína ílla fékk vinsamlega ábendingu frá Gúru en í staðinn sýna þeir aðeins hroka.Ætla til dæmis að koma því yfir á umræðurnar hér sem eru gagnlegar hafi orðið til þess að strax hefðu einhverjir farið af stað í að brjótast inni kerfi Eldsmiðjunnar og taka ekki ábyrgð sjálfir á sinni vinnu.Auk þess tel ég að ekki hafi margir íslendingar þekkingu til að hacka sig inn hér eða þar ekki heldur þar sem það væri tiltölulega auðvelt vegna ótal vulnerbilities,það þarf mikla reynslu og þekkingu til að það geti tekist vel og ekki gleyma að menntunn segir ekki allt, common sense og ótakmarkaða þolinmæði þarf í til dæmis ethical hacking og að hacka almennt.

[Gúrú]

Það er ekki lengur hægt að sækja um glatað lykilorð.

Hvort haldið þið að það sé vegna þess að það
a) á ekki að vera hægt að sækja glatað lykilorð eða
b) vegna þess að þeir eru ennþá að geyma lykilorð og vilja ekki að það sé fólki greinilegt lengur?

Það er sem sagt engin leið fyrir notanda sem gleymir lykilorðinu sínu að panta með símanúmerinu sínu.

Takið eftir því að það er engin (lofuð) tilkynning komin um að Vefstjori.is/Eldsmidjan.is sé vöknuð frá 2003 og því ekki ástæða til að gera ráð fyrir öðru en hinu versta.

Ég skal setja inn tilkynningu hér þegar það gerist.
Bestu kveðjur,
Daniel.

HTTP log-in, plaintext lykilorð og SQLi. Búú.

[Revenant]

Svona fyrir þá sem eru að vinna í vefforritun þá ættu þeir að skoða OWASP Top 10 listann.

Miðað við lýsingar í þessum þræði þá er vefurinn að flaska á þessum atriðum.

[Gúrú]

Dagur 15: Vefstjori.is er ennþá ekki álitið virðingarvert fyrirtæki af neinum á heimili mínu.

[rapport]

Dagur 15: Vefstjori.is er ennþá ekki álitið virðingarvert fyrirtæki af neinum á heimili mínu.

Á sama tíma á skrifstofu vefstjori.is





Ég veit að þetta er algjörlega out of the blue comment og á ekki við, fannst það bara fyndið...

[krat]

Gaf mér það leyfi að senda þennan þráð á eldsmiðjuna :]

[Sallarólegur]

Dagur 15: Vefstjori.is er ennþá ekki álitið virðingarvert fyrirtæki af neinum á heimili mínu.

Á sama tíma á skrifstofu vefstjori.is


[img]


Ég veit að þetta er algjörlega out of the blue comment og á ekki við, fannst það bara fyndið...

Admins tonight some we ban hackers?

[krat]

Dagur 15: Vefstjori.is er ennþá ekki álitið virðingarvert fyrirtæki af neinum á heimili mínu.

Á sama tíma á skrifstofu vefstjori.is


[img]


Ég veit að þetta er algjörlega out of the blue comment og á ekki við, fannst það bara fyndið...

Admins tonight some we ban hackers?

Admins tonight we ban some hackers