Reacties (11)
24-05-2016, 21:40 door karma4
Typo3 open source gratis en een CMS voor webservers (linux).
https://typo3.org/ met een safety first policy. Als je wilt zeggen dat je dat soort zaken moet vermijden ben je consequent in het aanwijzen van allerlei mogelijke issues.
25-05-2016, 10:11 door Erik van Straten - Bijgewerkt: 26-05-2016, 07:15
25-05-2016 21:40 door karma4: Typo3 open source gratis en een CMS voor webservers (linux).
Man(/vrouw), zwam toch niet zo. Je kunt Typo3 op elk OS installeren waarvoor een redelijke webserver en een Python interpreter beschikbaar zijn.
Correctie 26-05-2016 07:15: zoals Arnhemmer verderop terecht opmerkt heb je geen Python maar PHP als basis nodig voor Typo3. Mijn excuses voor de ontstane verwarring!

25-05-2016 21:40 door karma4: Als je wilt zeggen dat je dat soort zaken moet vermijden ben je consequent ...
WTF probeer jij te zeggen c.q. woorden in mijn mond te leggen!?

Doel van mijn bijdrage:

1) Zoveel mogelijk beheerders van Typo3 sites, of security-geïnteresseerden die zo iemand kennen, waarschuwen dat hun Typo3 site ernstig lek kan zijn;

2) Ik noem digid.nl expliciet als voorbeeld omdat dit een site in Nederland is waar heel veel van afhangt. Of die site kwetsbaar was/is voor dit lek, weet ik niet. Dat dit in potentie wel zo is, mogen bezoekers daarvan best weten. Als volgende werk blijkt dat DigiD.nl gehacked is, hebben de security.nl lezers in elk geval een vermoeden hoe dat kon gebeuren.

Ik kan me ook voorstellen dat DigiD gebruikers even wachten met DigiD transacties totdat op die site staat dat Typo3 is gepatched of niet kwetsbaar is.

Enkele -off-topic in de reactie op karma4 - maar wel aan de DigiD site gerelateerde- opmerkingen:
Aangezien ik in de pagina "veiligheid" (te vinden via de sitemap, link daarvoor onderaan elke pagina), buiten algemene verhaaltjes over "Onafhankelijke beoordeling" en "Continue aanpassingen" niets concreets te vinden is over de beveiliging van het systeem aan de serverzijde (zoals transparantie middels een patch-log of een mededeling dat de site niet kwetsbaar is voor dit lek, bijv. omdat geen Typo3 extensies worden gebruikt), zullen de beheerders ook hier waarschijnlijk niks over publiceren. Wellicht is informatie over de actuele veiligheid van overheidswebsites, net als het aantal telefoontaps in Nederland, ook een staatsgeheim?

Daarnaast, op die pagina (https://www.digid.nl/nl/veiligheid/) staat onder meer:
Vul uw DigiD alleen in op de echte inlogpagina van DigiD. Dit kunt u als volgt controleren:
[...]
- Het adres van de inlogpagina begint met https://digid.nl. Dit kunt u controleren in de adresbalk van uw browser. De aanvraagpagina en de activeringspagina van DigiD beginnen ook met https://digid.nl.
[...]
Echter , die veiligheidspagina zelf begint daar niet mee. Sterker, als ik in mijn browser https://digid.nl/ open, wijzigt de URL automatisch in https://www.digid.nl/. Zou de site al gehacked zijn?
(nee, althans dit is geen symptoom daarvan, maar leg dat maar eens uit aan een leek).

Terug naar de vreemde opmerking van karma4: ook al probeer jij mij deze in de mond te leggen, ik heb geheel geen vooroordelen als het om besturingssystemen en/of de keuze closed versus open source gaat: get the best tool for the job - op basis van gewogen argumenten.

Ik heb flinke ervaring met veel verschillende besturingssystemen (en andere softwareproducten) en weet daardoor: geen enkele producent is perfect, en dus ook hun producten niet. Ook laten server-side-users (organisaties die deze producten op servers inzetten), vaak steken vallen. Indien er bewijzen, sterke aanwijzingen of vermoedens zijn dat een producent of server-side-user (ineens of al langer) wanprestaties levert, en dit -naar mijn persoonlijke mening- onvoldoende in de media verschijnt waardoor m.i. te weinig gebruikers hiervan op de hoogte zijn, neem ik geen blad voor de mond en schrijf daarover. Mijn doel daarbij is tevens het opvoeren van druk op die producent en/of server-side-user om haar leven te verbeteren (en die aanpak, niet alleen van mij, werkt, desgewenst geef ik voorbeelden van successen die ik heb behaald).

Zaak is wel om dat eerlijk, onderbouwd met steekhoudende argumenten en verwijzingen naar zo betrouwbaar mogelijk werk van anderen te doen (ik doe dat niet in alle gevallen meteen omdat men mijn bijdragen vaak te lang vindt en een kort statement een prima discussie kan aanwakkeren waar ik, en wellicht anderen, van leren).

Onderbouwing, van wat vooral een mening lijkt, zie ik in jouw bijdragen zelden of nooit (in discussiethreads over W10 beklaag jij je telkens weer over Mongo-DB, Wordpress en zomogelijk alle open source producenten). Soms doe je zeer uit de hoogte maar lijk je nauwelijks praktijkkenis te heben (voorbeeld: jouw reactie onder https://www.security.nl/posting/470472/Microsoft+verwijdert+optie+om+wifi-toegang+te+delen+uit+Windows+10).

Wat probeer jij eigenlijk te bereiken met jouw bijdragen?
25-05-2016, 11:14 door Ron625
Typo3 hoort tot de betere en veiligere CMS systemen, maar 100% veilig bestaat nu eenmaal niet.
Veel gemeenten werken ook met Typo3 en dat kan bij een lek gevaarlijk worden.
Hopelijk wordt het snel gedicht, voordat er misbruik van gemaakt wordt.
25-05-2016, 14:35 door Anoniem
Wij (gemeente met TYPO3) waren vorige week al op de hoogte gesteld en wisten ook dat afgelopen dinsdag om 10:00 uur een patch beschikbaar zou komen. Om 10:05 dinsdagochtend zijn onze servers gepatched.
Ergo: elk systeem kent kwetsbaarheden en zorg dat je bijblijft en zo snel mogelijk aan de slag gaat als er security updates verschijnen.
25-05-2016, 15:49 door Arnhemmer - Bijgewerkt: 25-05-2016, 15:49
Door Erik van Straten:
25-05-2016 21:40 door karma4: Typo3 open source gratis en een CMS voor webservers (linux).
Man(/vrouw), zwam toch niet zo. Je kunt Typo3 op elk OS installeren waarvoor een redelijke webserver en een Python interpreter beschikbaar zijn.
Je bedoelt PHP in plaats van Python mag ik aannemen, mijn beste.
25-05-2016, 23:03 door karma4
Erik Ik had deze post van je gezien en proberen te begrijpen waar je nu eigenlijk op aanstuurt.
Je zorgen over fouten in typo3 kan ik begrijpen. Niets nieuws software zonder fouten bestaat niet. Voor dit CMS systeem een hele waslijst bij de NCSC https://www.google.nl/#q=typo3+site:ncsc.nl . Goede beheerders / verantwoordelijke personen houden zoiets bij en krijgen vaak eerder inside informatie. Daarmee kan je je de change releasematig plannen. Zo'n fout zit er al lang in. Er moet dan een afweging gemaakt worden tussen de impact van alles stilleggen dan wel met goed opletten even doorgaan tot die change er door is.

Dus waarom die digid.nl gebruik opmerking? Je geeft daarmee aan dat je overtuigd bent dat de mensen daarachter er niets van snappen. Als je de hack klaar hebt liggen dan zou je voor een RDC kunnen gaan niet voor een directe openbaring.
Met digid en typo3 kwam de plugins voor een koppeling en het noemen ervan in het kader van open standaarden.
Lijkt me als tool verder niet mis mee als keus (Eens Ron625). Met Anoniem 14:35 is dat plaatje compleet. Een week voor de planning moet te doen zijn.

Wat ik probeer te bereiken. Je noemt het MongoDB als een voorbeeld. Wat je daar ziet:
- het releasemanagement is ondergeschikt gemaakt aan een snel leuk resultaat.
Een van de opmerkingen die ik gezien heb is dat indien het goed geconfigureerd wordt het wel netjes dicht kan.
- De gegevens die er in opgeslagen worden dusdanig gevoelig zijn dat je eerder had moeten afvragen of het risico van data-lekken wel opwoog tegen dat leuke resultaat.
Dat zijn bewegingen die moet zien te vermijden. Het is denken vanuit het doel van gegevensverwerking de top-down benadering.

Wat ik te veel zie en waar ik last van heb is dat gedoe van de helemaal opgaan in de techniek en tool / leveranciers voorkeuren. Men besteed het liever uit, schaft een tool aan en dan moet het tool de oplossing voor alles gaan worden.
Vervolgens gaat het doel van de gegevensverwerking verloren verliest men het zicht op de data veiligheid.
De leveranciers krijgen daarbij bijna de vrije hand om slechte zaken af te leveren.

Hoe krijg je dat veranderd?
Ik geef dan maar weerwoord op dat soort tool-vernauwing, kjjken of het iets teweeg brengt. Doel: Als het beeld van tools als het wondermiddel terug gaat naar noodzaak van visie met afwegingen bij verantwoordelijken is er pas iets te bereiken.
26-05-2016, 07:11 door Erik van Straten
Door Arnhemmer:
Door Erik van Straten:
25-05-2016 21:40 door karma4: Typo3 open source gratis en een CMS voor webservers (linux).
Man(/vrouw), zwam toch niet zo. Je kunt Typo3 op elk OS installeren waarvoor een redelijke webserver en een Python interpreter beschikbaar zijn.
Je bedoelt PHP in plaats van Python mag ik aannemen, mijn beste.
Je hebt helemaal gelijk, mijn excuses! Ik heb nu zelf even geen idee meer waar ik de associatie met Python vandaan heb. Ik wist overigens ook niet dat Typo en Typo3 ongerelateerd zijn. Weer wat geleerd!

Dank voor jouw opmerking, ik heb e.e.a. hierboven gecorrigeerd.
26-05-2016, 07:43 door Erik van Straten
25-05-2016, 23:04 door karma4: Dus waarom die digid.nl gebruik opmerking? Je geeft daarmee aan dat je overtuigd bent dat de mensen daarachter er niets van snappen.
Je verdraait opnieuw mijn woorden. Ik geef niets anders aan dan wat ik geschreven heb, namelijk: "Of die site kwetsbaar was/is voor dit lek, weet ik niet".

Ik vermoed dat de DigiD.nl site goed wordt onderhouden, maar zeker weten doe ik dat niet. Wat ik wel constateer en schreef is dat er geen openheid is over het patchbeleid op die site. En dat er staat dat je erop moet letten dat de URL begint met https://digid.nl/, maar dat als ik die URL open, ik vanzelf op httpd://www.digid.nl/ terechtkom. Ik snap waarom, maar een leek waarschijnlijk niet.

Ik schrijf dus nergens "dat de mensen daarachter er niets van snappen" laat staan dat ik van zoiets "overtuigd" zou zijn.

Gezien de inhoud van jouw "bijdragen" op dit forum was dit de laatste keer dat ik inhoudelijk op een "bijdrage" van jou heb gereageerd. Ik stel het bijzonder op prijs als jij ook niet meer op bijdragen van mij reageert. Doe je dat toch dan zal ik steeds verwijzen naar deze bijdrage.
26-05-2016, 14:42 door Ron625 - Bijgewerkt: 26-05-2016, 14:43
Door Erik van Straten:Ik wist overigens ook niet dat Typo en Typo3 ongerelateerd zijn. Weer wat geleerd!
Er is ook nog een Typo3-Neos, deze is (dacht ik) iets uitgebreider en veiliger, maar zeker weten doe ik het niet.
Deze is wel aan Type3 gerelateerd.
Er zijn minimaal 3 gemeenten die hiermee (Neos dus) werken.
27-05-2016, 06:53 door karma4
Door Erik van Straten: Ik heb flinke ervaring met veel verschillende besturingssystemen (en andere softwareproducten) en weet daardoor: geen enkele producent is perfect, en dus ook hun producten niet. Ook laten server-side-users (organisaties die deze producten op servers inzetten), vaak steken vallen. Indien er bewijzen, sterke aanwijzingen of vermoedens zijn dat een producent of server-side-user (ineens of al langer) wanprestaties levert, en dit -naar mijn persoonlijke mening- onvoldoende in de media verschijnt waardoor m.i. te weinig gebruikers hiervan op de hoogte zijn, neem ik geen blad voor de mond en schrijf daarover. Mijn doel daarbij is tevens het opvoeren van druk op die producent en/of server-side-user om haar leven te verbeteren (en die aanpak, niet alleen van mij, werkt, desgewenst geef ik voorbeelden van successen die ik heb behaald).

Zaak is wel om dat eerlijk, onderbouwd met steekhoudende argumenten en verwijzingen naar zo betrouwbaar mogelijk werk van anderen te doen (ik doe dat niet in alle gevallen meteen omdat men mijn bijdragen vaak te lang vindt en een kort statement een prima discussie kan aanwakkeren waar ik, en wellicht anderen, van leren).

Dat zijn exact jouw woorden. Gericht op tools, de technische details waar je gelijk halen via deze weg zoekt omdat het je via een meer gewone weg kennelijk niet lukt, dan wel dat je er geen vrede mee hebt.
Mijn antwoord heb je daaronder. Ik heb jaren ervaring met vele systemen (technisch) en zie veel meer dan me vaak lief is waar het fout gaat. Ik zoek het niet zo in de tools technische details waar de belangrijkste uitdagingen zitten. De ervaring is dat zoiets meer verstorend werkt dan iets constructiefs oplevert. Men zit op oplossingen te wachten niet op problemen.
29-05-2016, 23:40 door Erik van Straten
27-05-2016, 06:53 door karma4:
Door Erik van Straten: Ik heb flinke ervaring met veel verschillende besturingssystemen (en andere softwareproducten) en weet daardoor: geen enkele producent is perfect, en dus ook hun producten niet. Ook laten server-side-users (organisaties die deze producten op servers inzetten), vaak steken vallen. Indien er bewijzen, sterke aanwijzingen of vermoedens zijn dat een producent of server-side-user (ineens of al langer) wanprestaties levert, en dit -naar mijn persoonlijke mening- onvoldoende in de media verschijnt waardoor m.i. te weinig gebruikers hiervan op de hoogte zijn, neem ik geen blad voor de mond en schrijf daarover. Mijn doel daarbij is tevens het opvoeren van druk op die producent en/of server-side-user om haar leven te verbeteren (en die aanpak, niet alleen van mij, werkt, desgewenst geef ik voorbeelden van successen die ik heb behaald).

Zaak is wel om dat eerlijk, onderbouwd met steekhoudende argumenten en verwijzingen naar zo betrouwbaar mogelijk werk van anderen te doen (ik doe dat niet in alle gevallen meteen omdat men mijn bijdragen vaak te lang vindt en een kort statement een prima discussie kan aanwakkeren waar ik, en wellicht anderen, van leren).

Dat zijn exact jouw woorden. Gericht op tools, de technische details waar je gelijk halen via deze weg zoekt omdat het je via een meer gewone weg kennelijk niet lukt, dan wel dat je er geen vrede mee hebt.
Mijn antwoord heb je daaronder. Ik heb jaren ervaring met vele systemen (technisch) en zie veel meer dan me vaak lief is waar het fout gaat. Ik zoek het niet zo in de tools technische details waar de belangrijkste uitdagingen zitten. De ervaring is dat zoiets meer verstorend werkt dan iets constructiefs oplevert. Men zit op oplossingen te wachten niet op problemen.
Zie https://www.security.nl/posting/471973#posting472151
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.