In het land der blinden... part 4

Door RobIII op woensdag 12 augustus 2009 15:23 - Reacties (23)
Categorieën: In het land der blinden..., Life as a developer, Rants, Views: 7.077

Maandagochtend werd ik gebeld door Eric van der Loo over een akkefietje dat ze dwars zat. Ik heb kennelijk (weer) wat zere schenen geraakt want er werd me verteld dat ik een brief van hun advocaat kon verwachten.

http://tweakers.net/ext/f/QjVsSHZyIhG5gezSEUulr87Y/full.jpg Grappig is dat, je wijst iemand op een lek en er wordt nonchalant op gereageerd. Je zet het op het wereld wijde web en plots ben je de gebeten hond. En dan word je gebeld door de "Co-owner, management advisor" van dan bedrijf. Dat je aansprakelijk wordt gesteld voor gevolgschade als je je blogitem niet offline haalt.

Euh; sorry. Daar word ik niet echt warm van. Ik heb een blogitem gepubliceerd ja; ik heb echter geen misbruik gemaakt van eventuele XSS lekken die ik ontdekte. Ik heb niemand toegang gegeven tot zaken waar ze niets te zoeken hebben en ik heb niets gedaan waarmee kwaad uitgericht is op betreffende site(s). Maar nee, we houden vast aan onze Security through obscurity en steken lekker onze kop in 't zand. Zolang niemand gekke dingen in het zoekveld invoert is onze site veilig d:)b

In mijn mailbox trof ik dan ook (of misschien ook wel niet; who knows... email is nogal onbetrouwbaar en overijverige spamfilters willen nog wel eens wat zaken per-ongeluk droppen die niet gedropt hadden mogen worden :P ) het volgende aan:
Geachte Heer Janssen,

Zojuist heeft u telefonisch bevestigd dat u degene bent die onderstaande blog heeft geplaatst op Tweakers.net

RobIII: In het land der blinden... part 3

Op zich is het goed dat u mogelijk gevonden zaken aan de orde stelt. Het zou alleen wat netter en professioneler zijn geweest deze rechtstreeks met ons op te nemen. Dan hadden we e.a. kunnen bespreken en u wellicht op gepaste wijze kunnen bedanken voor uw bevindingen. Temeer omdat een aantal zaken die u noemt niet juist zijn.
http://tweakers.net/ext/f/dJ0eONeOs8HUroPvnClGDyVN/full.jpg Ah; het is dus goed dat ik "mogelijk gevonden" ( :D ) zaken aan de orde stel. En ik was niet professioneel. Euh; oh wacht... Als er in eerste instantie adequaat gereageerd was had dat hele blogitem nooit bestaan. Toch? Natuurlijk had ik rechtstreeks contact moeten opnemen; op die manier kan alles netjes in de doofpot. En dan was ik ook nog eens "wellicht gepast bedankt" geworden :X Daarbij is het naar ze gecommuniceerd; dat valt ook te lezen in het blogitem. Maar toen werd er nog nonchalant op gereageerd. Ook ben ik wel eens benieuwd naar de zaken die ik noem die niet juist zijn. Sowieso vreemd want het is een best algemeen artikeltje waar ik her-en-der even WebArchitects bij haal. Misschien voelen ze zich aangesproken... Iets met een schoen passen en aantrekken...
Naar uw beweegredenen op deze manier te publiceren kunnen wij slechts gissen, daar wij ons niet bewust zijn van enig onrecht dat wij u hebben aangedaan.
:D Ze hebben mij geen enkel onrecht aangedaan; hun klanten daarentegen wel ;) Maar dat doet niet terzake; het gaat nu vooral om "damage control"; negatieve publiciteit de kop indrukken.
Wij wijzen u er verder op dat u bij uw publicatie gebruik maakt van kennis die u heeft opgedaan tijdens een arbeidsovereenkomst waarbij u automatisch onder een geheimhoudingsplicht stond. Overtreding van deze geheimhoudingsplicht is uiteraard strafbaar.
http://tweakers.net/ext/f/LoipKfiBI24IAaTcjAiMEofV/full.jpg Vreemd; ik heb niets getekend en kan me niet herinneren onder geheimhoudingsplicht te hebben gestaan noch dat in mijn (toenmalige) contract van mijn (toenmalige) werkgever te hebben gezien. Daarbij zal een rechter bepalen of het al dan niet strafbaar zou zijn. De kennis die ik heb opgedaan voor wat betreft XSS lekken is kennis die iedereen die zich webdeveloper (of chique afgeleide daarvan) durft te noemen hoort te hebben en de XSS lekken an-sich heb ik dan pas een aantal weken terug ontdekt door gewoon "<script>alert('boe');</script>" in te toetsen in een zoekveld. Gewoon algemene kennis die ieder beetje techneut heeft; daarbij heb ik écht geen kennis (noch nodig) van alle, in de vorige blogpost vernoemde, 9 sites noch van de internals van de RightClick software anders dan wat zich aan het frontend afspeeld; iets wat iedere bezoeker ziet. Sowieso vreemd dat zij weten waar ik mijn kennis op doe of opgedaan heb.
Wij verzoeken u derhalve uw publicatie vandaag nog te verwijderen, en u te weerhouden van verdere publicatie van deze informatie, op welke wijze dan ook. Indien dat niet gebeurt zijn wij genoodzaakt verder stappen te ondernemen.
Ik verwijder niets. Ik zou niet weten waarom? Alles is gewoon publiek toegankelijk (geweest) en het enige wat ik heb gedaan is er een leuk stukje over schrijven. Ik zie niet in waarom ik zou moeten meewerken aan de 'damage control'.
Het moge duidelijk zijn dat eventuele gevolgschade dan op u zal worden verhaald. U dient zich daarnaast ook te realiseren dat u hiermee niet alleen WebArchitects kan raken, maar ook de door u genoemde andere bedrijven. Zij kunnen uiteraard separaat besluiten om al dan niet juridische actie tegen ondernemen.
Vreemd; eventuele gevolgschade gaan verhalen op degene die meldt dat sloten van merk X waardeloos zijn in plaats van op diegene die inbreekt. Een XSS lek kan iedere net-niet-leek ontdekken. De "andere bedrijven" adviseer ik vooral eventuele schade te verhalen op WebArchitects; de partij welke in eerste instantie de brakke oplossing geleverd heeft. Don't shoot the messenger.
Wij gaan ervan uit dat u zich na het bovenstaande realiseert dat uw publicatie onjuist en onrechtmatig is, en dat u deze vandaag zal verwijderen. Indien dat gebeurt zullen wij vooralsnog geen verder actie ondernemen.
Het is niet onjuist; iedereen die mijn "publicatie" gelezen heeft heeft met eigen ogen kunnen constateren dat er XSS lekken zijn en/of aanwezig waren. Onrechtmatig euh wat?
Met vriendelijke groet,

Eric van der Loo
WebArchitects B.V.
Met vriendelijke groet,
RobIII

http://tweakers.net/ext/f/veIAXE6RtzBHN3zXM7zjyfsE/thumb.pnghttp://tweakers.net/ext/f/9HqsjiqZq9bghWMl5qqWbUg7/thumb.png On the bright side: er is wel weer een club wakker en zo te zien is er in ieder geval al iets ondernomen. Heeft mijn "publicatie" toch nog nut gehad en hebben de 'ongelukkigen' er van geprofiteerd _O_ Althans... het is dan wél weer jammer dat 't dan zo knullig opgepakt wordt. Opgelost is het niet en wederom ontgaat het concept "correct escapen" ze; en for Pete's sake, ik quote uit diezelfde helptekst: "This function can usefed* to help protect ColdFusion pages that return user-provided data to the client browser from cross-site scripting attacks...However, <snip>** " en dan heb ik nog nooit een regel ColdFusion code geschreven :X Ook grappig om te zien dat het aanklikken van een linkje al leidt tot de beschuldiging van een 'Hacking attempt' :D Ik heb een Déjà vu all over :N Ach, heb ik ook weer wat te bloggen :P

* Wat is usefed? :+
** Er staat nog meer interessants daar...


TwitterNuJIJeKudosFacebookFriendfeedGoogle BookmarksDiggdel.ici.ousTechnoratiSphinnMixxStumpleUponYahoo! BookmarksMaak je eigen RML op RobIII.nl!

Volgende: In het land der blinden... part 5 08-'09 In het land der blinden... part 5
Volgende: In het land der blinden... part 3 08-'09 In het land der blinden... part 3

Reacties


Door Tweakers user StM, woensdag 12 augustus 2009 15:31

Zie ik dat nu goed dat er ook nog een fout optreed tijdens het weergeven van de hacking attempts error? :D

Door Tweakers user MonkeySandwich, woensdag 12 augustus 2009 15:46

Getver wat een slappe acties weer van dit bedrijf om hun eigen fouten proberen in de doofpot te stoppen. Ik sta volledig achter je actie om dit te publiceren aangezien ze toch niet willen onderkennen dat de door hun gemaakte websites gatenkaas zijn. Voor dit bedrijf komt jou banner dan ook 100% tot zijn recht! :)
Succes met de volgende(n)

Door Tweakers user Kosty, woensdag 12 augustus 2009 15:56

@ Site to make : Die error slaat denk ik op de request van de zoekende partij.

Door Tweakers user YopY, woensdag 12 augustus 2009 15:56

kut, nu krijgt m'n bedrijf straks een aanmaning wegens een poging tot hacken vanaf een van hun computers, :+.

Door Tweakers user Swelson, woensdag 12 augustus 2009 16:19

Haha. De website van infotec heeft de site nog steeds btw :p

Door Tweakers user soulrider, woensdag 12 augustus 2009 16:48

dank voor de verwijzing naar mijn knullige reactie ;) :s
(hopelijk verwijs je eerder naar hun 'hack-poging'-melding ipv naar mijn reactie :) )


ach ja, we klikken ook wel eens door en als opvalt dat enkel een <script>' zorgt voor een foutmelding en de rest niet, (<p>test</p>, <iframe src=http://www.google.be>, <img src='link naar image van hun eigen site.jpg'>, ...) meld ik het ook even.
(en ik heb geen schrik dat mijn ip-adres in die logfile gaat staan of niet ...
Ik heb geen data gestolen of files beschadigd, en als ik een claim krijg daartegen, gaan ze toch bewijzen mogen leveren - alsook mijn trafic-logs proberen te weerleggen)
(met wat beste wil had ik er gerust andere code kunnen ingooien want ook coldfusion-code kon ingevoegd worden, maar dan stapte ik naar de verkeerde kant van de dunne lijn tussen 'save''en 'illegaal' :+ )

anderzijds leuk dat je hun brief en jouw reactie erop ook even openbaar zwiert.
en ze hebben wel pech dat je wel eerst netjes hebt gemeld gehad aan de eigenaars van de site's. en die is op zijn beurt verantwoordelijk om het door te melden naar zijn webmasters (niet jij).

persoonlijk vind ik dat dit meer moet/mag gebeuren: de eigenaar van de site het (mogelijke) probleem melden met voorbeeld en jip en jannetjes uitleg.
(en na een paar maanden van geen reactie, of van kastje naar muurtje gestuurd te worden: alles beperkt openbaar zwieren, met veilige voorbeelden)

[Reactie gewijzigd op woensdag 12 augustus 2009 16:56]


Door Tweakers user Barleone, woensdag 12 augustus 2009 17:00

Door Swelson, woensdag 12 augustus 2009 16:19
Haha. De website van infotec heeft de site nog steeds btw
Hee klootzak :9, mijn.. eh..mijn IE8 blokt jouw hack. Lekker puh! :+

[Reactie gewijzigd op woensdag 12 augustus 2009 17:01]


Door Tweakers user Apache, woensdag 12 augustus 2009 17:14

Volledig terechte serie van blogposts ...

Natuurlijk is dat slechte PR voor hun en dat zal moeilijk te verkroppen zijn.
Maar dat doet niet af aan het feit dat ze gebrekkig werk hebben geleverd aan die websites, in de bouw sector zijn er allerlei kwaliteits procedures en heb je een, als het goed is, onafhankelijke inspecteur die erop toe ziet dat alle voorschriften gevolgd worden.

In de IT is dit jammer genoeg (nog) niet het geval, iedereen moddert zo maar wat aan en er word maar weinig bijgestuurd (zeker als dit extra geld kost).

Ik doe zelf voornamelijk j2ee, en de zaken die ik soms tegenkom in code van grote multinationals is om te huilen... ik kan jammer genoeg niet in detail treden aangezien ik wel een nda heb getekend ;)

--
dat IE8 het blokt is zelfs eerder negatief dan positief, dan vallen issues nog veel minder snel op ... als alle fouten verborgen worden zijn er geen meer 8)7

[Reactie gewijzigd op woensdag 12 augustus 2009 17:28]


Door Tweakers user Little Penguin, woensdag 12 augustus 2009 17:16

Hee klootzak :9, mijn.. eh..mijn IE8 blokt jouw hack. Lekker puh! :+
Niet dat dit direct verkeerd is, maar dat is natuurlijk vooral een vorm van symptoombestrijding en als hetzelfde op een andere manier ook bereikt kan worden dat is er slechts 1 gaatje van een vergiet gedicht...

En zolang alleen IE8 dit doet en de andere grote browsers niet, heeft het slechts een beperkte impact en is de site op andere platforms/browsers nog steeds vatbaar voor dit soort XSS attacks.

Door Tweakers user soulrider, woensdag 12 augustus 2009 17:44

het blockgedrag door IE8 is wellicht eerder om een onschuldige surfer te beschermen om ergens op zulke link te klikken en niet zo zeer om 'onderzoekers en testers' te weerhouden van hun nieuwsgierigheid.
(soort van damage-control en bescherming van de 'domme' mensen en dan natuurlijk met de Amerikaanse instelling: liever te veel voorkomen dan een schadeclaim te krijgen)

die laatsten (en dan vooral pro's met kennis/ervaring) hebben ook andere tools ter beschikking (FF met add-ons zoals tamper data, live headers, firebug - of simpelweg een eigen proxy waarmee passerende requests en code gelogd en/of aangepast kan worden - handig voor onderzoek tegen ajax-requests bv)

[Reactie gewijzigd op woensdag 12 augustus 2009 17:44]


Door Tweakers user Barleone, woensdag 12 augustus 2009 17:57

Door Little Penguin, woensdag 12 augustus 2009 17:16
symptoombestrijding en als hetzelfde op een andere manier ook bereikt kan worden dat is er slechts 1 gaatje van een vergiet gedicht...
Het bestrijden van de gevolgen is één. De doorsnee gebruiker wordt alleen maar geïrriteerd door zo'n 'boe' alert of erger, en heeft sneller de neiging de website te beoordelen als slecht.
De web Eddies die zo'n block van IE8 zien hebben snel genoeg in de gaten dat er iets niet klopt.
En zolang alleen IE8 dit doet en de andere grote browsers niet, heeft het slechts een beperkte impact en is de site op andere platforms/browsers nog steeds vatbaar voor dit soort XSS attacks.
IE heeft nog altijd een groot marktaandeel, waarbij IE8 ook al aan populariteit wint t.o.v. IE6/IE7. Dus er is een groot deel van de markt dat wordt beschermd naar mijn idee.

[Reactie gewijzigd op woensdag 12 augustus 2009 18:39]


Door Tweakers user Wes, woensdag 12 augustus 2009 19:52

Wat een belachelijke reactie. In plaats van intern eens met de vuist op tafel te slaan dat dit niet voor mag komen en het als de donder gefixt moet worden besluit meneer de "management advisor" om iemand - die eerst netjes melding maakt en daarna bij gebrek aan reactie het eea op zijn blog publiceert - te bedreigen.

Niet dat je in mijn ogen iets publiceert wat niet kan, in tegendeel. Je stelt vast dat de boel kwetsbaar is, maar ik zie nergens een handleiding hoe daar misbruik van gemaakt kan worden. Het is van hetzelfde kaliber als constateren dat het gemakkelijk is om te ontsnappen uit een Belgische gevangenis omdat je blijkbaar over de muur kunt klimmen, met een foto van een gevangenis muur er bij. Dat iedereen kan bedenken hoe je over zo'n muur moet klimmen is een ander verhaal.

Deze meneer is naar mijn mening het prototype van een slechte manager, van het soort dat managers zo'n slecht imago geeft. Heel hard bezig zijn met imago en PR en totaal niet met de kwaliteit of de veiligheid van het product. Dat resulteert in een eindproduct wat ik zou omschrijven als rotzooi, iets waar je in deze sector helaas heel gemakkelijk mee weg kunt komen.


Ik las trouwens net deel 3 nog eens, en ik zag dat je daar verwees naar een nog in ontwikkeling zijnde website. Zou het kunnen dat deze meneer met zijn geheimhoudingsplicht naar die website verwijst? In hoeverre dat terecht is en consequenties heeft weet jij beter dan ik. ;)

[Reactie gewijzigd op woensdag 12 augustus 2009 19:54]


Door Tweakers user Little Penguin, woensdag 12 augustus 2009 20:22

IE heeft nog altijd een groot marktaandeel, waarbij IE8 ook al aan populariteit wint t.o.v. IE6/IE7. Dus er is een groot deel van de markt dat wordt beschermd naar mijn idee.
Het marktaandeel van IE8 zal ongetwijfeld toenemen tot 50% oid, maar op dit moment is het nog n iet zo en worden IE6+7 beduidend vaker gebruikt dan IE8.

En zelfs al gebruiken alle IE-mensen versie 8, dan is er nog steeds ongeveer 1/3 deel van de internetters die dus vatbaar zijn voor dit soort bugs in de website, en er zullen ongetwijfeld methodes zijn die niet door IE8 gevangen worden.

Verder geef je aan dat de gebruiker geirriteerd zal zijn door de boe-alert, maar ik hoop dat je beseft dat er veel meer mogelijk is dan alleen een boe-alert. En men dus ook gewoon data uit de site kan lezen en op een externe server weg kan schrijven?

Door Tweakers user André, woensdag 12 augustus 2009 20:52

Bedrijven als deze moeten aan de schandpaal, er zijn te veel onkundige webdevelopers die aan de buitenkant schijnbaar goede producten afleveren :/

En Rob aanpakken voor gevolgschade? De klanten van dat webbedrijf zouden juist gevolgschade moeten eisen, hun websites zijn namelijk zo lek als een mandje.

Het is jammer dat het instapniveau van het bouwen van sites zo laag ligt, dit is niet goed voor de scheiding tussen het kaf en het koren. Elke ******** kan een site opleveren die aan de voorkant goed lijkt, maar de achterkant...... ik kom dagelijks als consultant bij veel webbouwers, maar wat een ellende kom ik soms tegen. Daar kan ik nog een flinke rant over schrijven.

Door Tweakers user jjbstolk, woensdag 12 augustus 2009 22:51

Kinderachtige reactie van WebArchitects, zou toch verwachten dat een professioneel bedrijf anders zou reageren. Duidelijk is wel dat ze zich aangesproken voelen en dat ze lange tenen hebben. Als Eric gefrustreerd is moet hij dat bij zijn developers uiten en niet bij de persoon die de fouten meldt. Maar ja dat zou veels te logisch zijn.

Ben toch benieuwd wat ze denken te bereiken met de advocaat? Dat jij voor hun de fout gaat oplossen :+ ?

[Reactie gewijzigd op woensdag 12 augustus 2009 22:51]


Door Tweakers user Alex, donderdag 13 augustus 2009 00:39

Ligt het nu aan mij of wil ik in geen enkel geval een stacktrace zien als er een fail-event optreed op mijn website?
Al die implementatie details die enkel nog meer informatie bloot leggen. Daar schrik ik van.

Door Tweakers user bobo1on1, donderdag 13 augustus 2009 03:24

Ah joh, wat is nou de kans dat iemand hier misbruik van maakt.

* bobo1on1 steekt een paraplu op in een weiland tijdens een flinke storm.

Door Tweakers user mae-t.net, donderdag 13 augustus 2009 11:31

* mae-t.net ziet bobo1on1 aan zijn paraplu wegwaaien, terwijl hij zich afvraagt of dat nou de bedoeling was.

Door Tweakers user Janoz, donderdag 13 augustus 2009 13:31

Nog even helemaal los van de actie van deze 'barking up the wrong tree' manager. zie ik nog een paar grote WTF's

punt 1

De fix is duidelijk een haast klusje geweest en is dus zeer waarschijnlijk en dimpel ergens in gefrot filtertje geworden die een exception gooit zodra hij iets als <script> tegen komt, of erger nog, een <. Gezien het haastige karakter zal er dus vast nog wel meer omgevallen zijn..

punt 2

Het wordt ten alle tijden aan geraden om dergelijke stacktraces nooit aan te zetten in je productie omgeving. Dergelijke dingen zijn voor ontwikkel, maar ook daar zou ik de voorkeur geven aan een goede tool om je log te lezen. Zodra je verder in de otap straat komt hoor je dit soort meldingen ENKEL in je log terug te vinden. Een simpele 500 naar de browser sturen is alles dat je zou moeten doen.

Ik vraag me af of ze uberhaupt wel een otap straat hebben. otap impliceert dat er ook daadwerkelijk iemand aangesteld is om de applicatie te testen (nee, niet even doorheen klikken, dat is de acceptatie die over het algemeen door de klant/opdrachtgever gedaan wordt). Onze testers zijn over het algemeen wel dermate ontwikkeld dat ze zo hier en dan eens wat quotes over html tags in inputvelden gooien......

Door Tweakers user Omega007, donderdag 13 augustus 2009 23:58

@Janoz, jullie testers gebruiken niet gewoon programma's die volledig los gaan op de te testen site? Scheelt typewerk.

Door Tweakers user soulrider, zaterdag 15 augustus 2009 18:51

@omega: moet je nog altijd testers hebben die die programma's juist instellen of juist weten te gebruiken .... (en ook weten wat de resultaten betekenen)

maar goed, ik ben benieuwd naar 'part5' van de web-bloopers
(of ev. het vervolg deel van dit specifiek)


Succes eh RobIII met deze zaak.

Door Tweakers user Dafjedavid, maandag 17 augustus 2009 00:17

Ik heb met verbazing je blogs zitten lezen moet zeggen,
vind ze leuk om t lezen, ga zo door zou ze zeggen

*add to bookmarks*

Verder snap ik echt helemaal niets van deze 2 bedrijven. Ze verdienen zoals gezegd, goud geld met broddelwerk en als ze daarop gewezen worden, gaan ze lopen dreigen.

Ik zou zeggen:"bedankt voor de melding en we gaan snel werken aan een oplossing".
Ik neem namelijk ook aan dat er ICT-werknemers zijn van de klanten van deze bedrijven, die Tweakers lezen. Stel nou eens, dat die de reacties van deze bedrijven lezen op deze blogs.
Ik zou ze per direct op straat schoppen.

Er is al genoeg over gezegd, ben zelf geen webdevver, maar kan me er wel druk om maken. Kan ook mijn perfectionisme zijn, maar de instelling van deze bedrijven is gewoonweg belachelijk!

Door Tweakers user Saven, maandag 28 december 2009 00:45

Haha wat een sukkel die Eric :)
Vooral zijn kop in het zand blijven steken de lutser :')

Ik kan geen woorden bedenken die beschrijven hoe dom ik hem wel niet vind :') Met zijn semi professioneel mailtje _O-. Ga wat doen aan je beveiliging man zielige wanker ;(

Reageren is niet meer mogelijk