Er sikkerheten på norske nettsider for dårlig ?
- Trådstarter adeneo
- Startdato
xdex
Medlem
Det måtte jo komme en sånn kommentar, at trådstarter har funnet feil på norske sider, har ingen betydning for hvor vidt det er nordmenn som står bak eller ei. Det er heller ikke bare PHP som utsettes for slike angrep, det skjer bredt over alt. Her er det ett klart fokus på Wordpress, og mulige fremgangsmåter.
erlsae
Medlem
Er vel ikke noe nytt at sikkerheten på WP sider er dårlig, det er det i hele verden, ikke bare i Norge. Dessverre sitter store deler av befolkningen i stua hjemme og tenker: "ja, ola, du vil ikke starte en interiørbutikk med meg da, der vi kan selge husholdningsprodukter nå som vi snart blir pensjonister?" - "jo, klart det, jeg skal snakke med noen som hjelper oss"......og slik går det.
Man vil selvfølgelig betale minst mulig, og de store aktørene på feks nettbutikker i Norge tar seg godt betalt for videre service og oppdateringer. Eieren av nettbutikken tenker selvfølgelig at det gjør de selv fordi de vil betale så lite som overhodet mulig, men faktumet er at selv den enkleste tingen er for vanskelig.
Jeg tror at vi i løpet av 10-20 år vil se en endring, og at den yngre garde med litt basiskunnskaper blir mer og mer selvstendig og vet hvilken risiko det er å ha wordpress.
Selv har jeg minimalt med plugins installert. Feks, i stedenfor å installere en plugin som skal gi deg facebook likerknappen, så implementerer jeg den selv fremfor å installere.
Man vil selvfølgelig betale minst mulig, og de store aktørene på feks nettbutikker i Norge tar seg godt betalt for videre service og oppdateringer. Eieren av nettbutikken tenker selvfølgelig at det gjør de selv fordi de vil betale så lite som overhodet mulig, men faktumet er at selv den enkleste tingen er for vanskelig.
Jeg tror at vi i løpet av 10-20 år vil se en endring, og at den yngre garde med litt basiskunnskaper blir mer og mer selvstendig og vet hvilken risiko det er å ha wordpress.
Selv har jeg minimalt med plugins installert. Feks, i stedenfor å installere en plugin som skal gi deg facebook likerknappen, så implementerer jeg den selv fremfor å installere.
Dostojevskij
Medlem
Jeg blir så fysisk uvel av å høre ordet plugin at jeg holder meg unna hele WordPress.
Løsningen kan ikke være å gjøre det selv i stedet for å bruke noe ferdiglaget. Modulbaserte systemer er kommet for å bli, men jeg tror praksisen med gratis plugins er en stor del av problemet. Jeg tror også at det trengs en eller annen form for sertifisering av moduler i slike systemer. Målet må jo være å abstrahere bort sikkerthet fra site-builderen.
Magento har ikke like store problem, da det er en kultur for å betale for funksjonalitet i Magento-samfunnet, og dermed et større insentiv for utviklere å gjøre jobben ordentlig. Ikke at man ikke finner dårlige moduler for Magento og.
Magento har ikke like store problem, da det er en kultur for å betale for funksjonalitet i Magento-samfunnet, og dermed et større insentiv for utviklere å gjøre jobben ordentlig. Ikke at man ikke finner dårlige moduler for Magento og.
adeneo
Medlem
Det er vel tvilsomt om Norge er noe bedre eller verre enn andre land, sannsynligvis er det vel omtrent det samme andre steder i verden, men jeg valgte Norske nettsider ettersom det liksom virket mest relevant.
Norge ligger tross alt ganske langt frem i bruk av internet og tjenester som nettbank, Altinn osv. og har lenge vært blant de mest flittige brukerne av alt som har med internet å gjøre, spesielt Facebook, Twitter og andre sosiale medier.
Samtidig så tror man gjerne at befolkningen i Norge er noe mer utdannet og har litt mer greie på tekniske ting enn i mange andre land i verden, og at de som driver profesjonelle byråer har såpass snøring at de i det minste ikke setter opp noe som kan hackes på to minutter.
Jeg tror ikke PHP er noe verre enn andre språk heller, måten SQL brukes på i PHP er ganske lik som i Java eller C#, og MSSQL har mange av de samme problemene som MySQL, samt noen av sine egne problemer, det samme gjelder også for PostgreSQL.
Stort sett alle backend-språkene og de fleste databaser har sikkerhetsproblemer av et eller annet slag.
Ting som XSS og CSRF er egentlig ganske uavhengig av språket webserveren bruker, det samme med direkte tilgang gjennom ting som SSH.
Det er jo slik at mye av årsaken til at PHP og CMS som Wordpress er så sårbare, er fordi det er mange brukere, og det i seg selv gjør at det er langt mer interessant å hacke slike systemer, samt at mange flere kan språket og vet en del om Wordpress som gjør at sannsynligheten for at noen oppdager en eller annen feil er langt større.
Nå har det vært nok av sikkerhetsproblemer i Wordpress Core også, men det store problemet er selvfølgelig at hvem som helst kan skrive en plugin eller et theme, og mange laster ned og installere plugins uten å ane hvordan de egentlig virker.
Samtidig så er jo det en av de største fordelene, Wordpress er enkelt å installere og man finner plugins for alt, man trenger ikke forstå hvordan det virker for å sette opp en nettside.
Når det kommer til den yngre garde, så tyder mye på at dagens ungdom ikke er noe bedre enn tidligere generasjoner når det kommer til "datating".
Riktignok kan dagens ungdom bruke en datamaskin eller mobiltelefon til å komme seg på nett, men for de aller aller fleste stopper kunnskapene ved posting av bilder på Facebook, og de har nesten mindre peiling på hvordan ting egentlig virker enn den foregående generasjonen.
Det har også blitt slik at ungdommen ikke skal trenge å kunne noe, ting som iOS og de nyeste windows versjonene skjuler hele filsystemet og gjør alt til fancy brukergrensesnitt, litt som Wordpress, det er ingen grunn til å forstå hvordan det virker, det bare virker og bildene og statusoppdateringene dukker opp på Facebook slik de skal.
Denne treffer forholdsvis bra -> http://coding2learn.org/blog/2013/07/29/kids-cant-use-computers/
Norge ligger tross alt ganske langt frem i bruk av internet og tjenester som nettbank, Altinn osv. og har lenge vært blant de mest flittige brukerne av alt som har med internet å gjøre, spesielt Facebook, Twitter og andre sosiale medier.
Samtidig så tror man gjerne at befolkningen i Norge er noe mer utdannet og har litt mer greie på tekniske ting enn i mange andre land i verden, og at de som driver profesjonelle byråer har såpass snøring at de i det minste ikke setter opp noe som kan hackes på to minutter.
Jeg tror ikke PHP er noe verre enn andre språk heller, måten SQL brukes på i PHP er ganske lik som i Java eller C#, og MSSQL har mange av de samme problemene som MySQL, samt noen av sine egne problemer, det samme gjelder også for PostgreSQL.
Stort sett alle backend-språkene og de fleste databaser har sikkerhetsproblemer av et eller annet slag.
Ting som XSS og CSRF er egentlig ganske uavhengig av språket webserveren bruker, det samme med direkte tilgang gjennom ting som SSH.
Det er jo slik at mye av årsaken til at PHP og CMS som Wordpress er så sårbare, er fordi det er mange brukere, og det i seg selv gjør at det er langt mer interessant å hacke slike systemer, samt at mange flere kan språket og vet en del om Wordpress som gjør at sannsynligheten for at noen oppdager en eller annen feil er langt større.
Nå har det vært nok av sikkerhetsproblemer i Wordpress Core også, men det store problemet er selvfølgelig at hvem som helst kan skrive en plugin eller et theme, og mange laster ned og installere plugins uten å ane hvordan de egentlig virker.
Samtidig så er jo det en av de største fordelene, Wordpress er enkelt å installere og man finner plugins for alt, man trenger ikke forstå hvordan det virker for å sette opp en nettside.
Når det kommer til den yngre garde, så tyder mye på at dagens ungdom ikke er noe bedre enn tidligere generasjoner når det kommer til "datating".
Riktignok kan dagens ungdom bruke en datamaskin eller mobiltelefon til å komme seg på nett, men for de aller aller fleste stopper kunnskapene ved posting av bilder på Facebook, og de har nesten mindre peiling på hvordan ting egentlig virker enn den foregående generasjonen.
Det har også blitt slik at ungdommen ikke skal trenge å kunne noe, ting som iOS og de nyeste windows versjonene skjuler hele filsystemet og gjør alt til fancy brukergrensesnitt, litt som Wordpress, det er ingen grunn til å forstå hvordan det virker, det bare virker og bildene og statusoppdateringene dukker opp på Facebook slik de skal.
Denne treffer forholdsvis bra -> http://coding2learn.org/blog/2013/07/29/kids-cant-use-computers/
adeneo
Medlem
Drupal og Joomla er jo ikke like sårbare som WP, og Django for eksempel har innebygget sikkerhet som er sårt trengt i PHP systemer, som f.eks. at man må eksplisitt si at en POST request skal være fritatt for csrf token, og en DB abstraksjon designet spesifikt for å unngå injection angrep. Det er ingen grunn til at WP ikke kunne hatt de samme funksjonene. ( Drupal har en DB-abstraksjon som skal motvirke injection, men ironisk nok ble det oppdaget en injection sårbarhet i koden som skulle beskytte mot nettop dette. )
Så jeg synes ikke man kan frifinne WP bare fordi mange bruker det. Jeg har aldri brukt det selv, så jeg kan ikke kommentere på spesifikt hva som gjør sikkerheten dårlig, men alikevel mener jeg at vi kan konkludere med at WP sin sikkerthet er langt under par, og at risikoen for sårbarheter og tidsbruken som trengs for å kontinuerlig sikre siden gjør WP til et dårlig og dyrt valg.
Så jeg synes ikke man kan frifinne WP bare fordi mange bruker det. Jeg har aldri brukt det selv, så jeg kan ikke kommentere på spesifikt hva som gjør sikkerheten dårlig, men alikevel mener jeg at vi kan konkludere med at WP sin sikkerthet er langt under par, og at risikoen for sårbarheter og tidsbruken som trengs for å kontinuerlig sikre siden gjør WP til et dårlig og dyrt valg.
kongen
kongemedlem
Jeg leste en plass at det å lage et fungerende system trenger ikke å ta så veldig lang tid, men det å eliminere alt som kan gå galt tar minst ti ganger så lang tid 
Sikkerheten tror jeg generelt er dårlig overalt fordi kunnskapen om dette er lite. Dagbladet har kommet over mange bedrifter som har dårlig sikkerhet.
Slik avslører Dagbladet råtten sikkerhet på norske PC-er
Jeg tror det blir mer og mer fokus på sikkerhet nå når "alt" skal kobles til nettet. Hva med en egen sikkerhetskategori på forumet?
Sikkerheten tror jeg generelt er dårlig overalt fordi kunnskapen om dette er lite. Dagbladet har kommet over mange bedrifter som har dårlig sikkerhet.
Slik avslører Dagbladet råtten sikkerhet på norske PC-er
Jeg tror det blir mer og mer fokus på sikkerhet nå når "alt" skal kobles til nettet. Hva med en egen sikkerhetskategori på forumet?
xdex
Medlem
Man bruker gjennomsnittlig 25% av tiden på å sikre en applikasjon/nettsted mot ting en bruker kan gjøre feil. Det er i hvert fall det jeg har lest, dette inkluderer validering av inputs osv. Sikkert noe å ha i bakhodet neste gang du er sjokkert over antall brukte timer
Fun link: http://macleodsawyer.com/2015/03/06/nine-truths-computer-programmers-know-that-most-people-dont/
Fun link: http://macleodsawyer.com/2015/03/06/nine-truths-computer-programmers-know-that-most-people-dont/
Det tar lengre tid å gå fra fra prototype til produksjonklar, enn fra scratch til prototype. Sikkerhet er det mest fristende å slurve på i sluttfasen, fordi sluttbrukere ikke vil merke dette ( og derfor ikke klage ) og at sikkerhet er generellt kjipt og kjedelig arbeid som ofte til og med medfører problemer for sluttbrukerne.
xdex
Medlem
Det er vel heller slik at eier ønsker å spare penger. Det er ikke ofte utviklere starter noe selv, men det finnes unntak. En utvikler bryr seg ikke, og slurver ikke, så lenge timebetalingen er på plass. Det som skjer, er at eier, eller aksjonær som sitter med pengene, knytter igjen. Da kommer presset på antall timer, mindre timer, raskere arbeid, og noen ønsker bare å se produktet fungerer. Resultatet av dette har vi sett gjennom alle år. En dårlig start, er roten til alt vondt. Til og med Sony lagret alle sine passord i klartekst, og det var ikke fordi dem begynte med kryptering i starten.
Har man en solid bunnlinje, og en god start, som tar langt lengre tid og planlegge, kan sluttresultatet bli fantastisk. Det kan også bli utrolig lett å videreutvikle, men mange ønsker bare å bli ferdig, og se ett "fungerende" system.
If you think hiring a professional is expensive, try hiring an amateur!
adeneo
Medlem
For litt mer aha opplevelser rundt sikkerhet, det første man gjerne gjør er å scanne etter kjente problemer, og dette er noe webdisignere bør vite hvordan man gjør, og selv gjøre på ferdige nettsider, det tar tross alt bare noen minutter.
Her er en screen-grab fra min maskin etter å ha kjørt en scan for wordpress nettsider.
Legg merke til at den finner themet, plugins, eventuelle kjente sårbarheter i installerte plugins samt registrerte brukernavn og en del annet interessant.
Jeg valgte en helt tilfeldig nettside, kun funnet på Google, men jeg passet på å scanne en side som ikke ser ut til å ha noen kjente sårbarheter for ikke å utlevere noen her, de sikkerhetshullene som er nevnt i rapporten er patchet og denne nettsiden er godt oppdatert, så ingen problemer.
Legg også merke til nederst, at dette tok 1 minutt og 13 sekunder å finne ut, og er et hav av informasjon kun med et par tastetrykk :
Her er en screen-grab fra min maskin etter å ha kjørt en scan for wordpress nettsider.
Legg merke til at den finner themet, plugins, eventuelle kjente sårbarheter i installerte plugins samt registrerte brukernavn og en del annet interessant.
Jeg valgte en helt tilfeldig nettside, kun funnet på Google, men jeg passet på å scanne en side som ikke ser ut til å ha noen kjente sårbarheter for ikke å utlevere noen her, de sikkerhetshullene som er nevnt i rapporten er patchet og denne nettsiden er godt oppdatert, så ingen problemer.
Legg også merke til nederst, at dette tok 1 minutt og 13 sekunder å finne ut, og er et hav av informasjon kun med et par tastetrykk :