@ Neb Poorten & karma 4,
Het hoeft niet, maar kan wel en dan is het in de eerste plaats een gevolg van PEBKAC van degenen die niet een website of server goed veilig weten te houden uit onkunde of anderszins..
Kijk eens hier: Scan of https://www.alltubedownload.net — AllTube Download
HTTP-Only cookie: It looks like a cookie is being set without the "HttpOnly" flag being set (name : value):
PHPSESSID : bfcf5dceb4fbb945ad4444d96d55717d
Unless the cookie legitimately needs to be read by JavaScript on the client, the "HttpOnly" flag should always be set to ensure it cannot be read by the client and used in an XSS attack.
Secure cookie: Result
It looks like 2 cookies are being served over HTTPS without the "secure" flag being set (name : value):
__cfduid : d87ccee1fb3ee860c2375dc5dc6ce933b1498421861
PHPSESSID : bfcf5dceb4fbb945ad4444d96d55717d
Unless the cookie needs to be sent over an insecure connection, the "secure" flag should always be set to ensure it can only be sent with an HTTPS request. Zie ook: https://webcookies.org/scan/6181613
D status with sri-hash not being generated for script: https://sritest.io/#report/194d1d09-57b1-410a-8844-8aa3e9066c9a
https://observatory.mozilla.org/analyze.html?host=www.alltubedownload.net F-status en aanbevelingen.
Ging terug van D-status naar F-status
Server is kwetsbaar voor Heartbleed en Poodle, Comodo certificaat en vrij uitgebreide SAN: Common name:
sni250345.cloudflaressl.com
SAN:
sni250345.cloudflaressl.com, *.064lq.loan, *.0dmul.loan, *.1502201.top, *.1kbog.site, *.31m6r.top, *.33mbr.site, *.42t0w.loan, *.4797794.top, *.4jwfe.top, *.4qs11.loan, *.5655720.top, *.7j55t8.top, *.8nqlr.online, *.adj8q.site, *.afhhnq.loan, *.alltubedownload.net, *.dpdw0.loan, *.epik.club, *.gk6jv.site, *.hkqw9.top, *.homeofficerecyclingbins.co.uk, *.i0jgp0.top, *.k4ths.top, *.kq428.online, *.lj7k2.loan, *.loli.team, *.m22vo.top, *.n6636h.top, *.n8b6af.top, *.ni8ib.loan, *.p54ui.site, *.pomf.xyz, *.pq9i1.loan, *.thuxc.site, *.y1lwk.loan, *.y82mu.site, *.ym9x9.top, *.z9qva.loan, 064lq.loan, 0dmul.loan, 1502201.top, 1kbog.site, 31m6r.top, 33mbr.site, 42t0w.loan, 4797794.top, 4jwfe.top, 4qs11.loan, 5655720.top, 7j55t8.top, 8nqlr.online, adj8q.site, afhhnq.loan, alltubedownload.net, dpdw0.loan, epik.club, gk6jv.site, hkqw9.top, homeofficerecyclingbins.co.uk, i0jgp0.top, k4ths.top, kq428.online, lj7k2.loan, loli.team, m22vo.top, n6636h.top, n8b6af.top, ni8ib.loan, p54ui.site, pomf.xyz, pq9i1.loan, thuxc.site, y1lwk.loan, y82mu.site, ym9x9.top, z9qva.loan
Valid from:
2017-Apr-25 00:00:00 GMT
Valid to:
2017-Nov-01 23:59:59 GMT
Omdat er nog zoveel en zo vaak wordt geconfigureerd zonder het gebruik maken van "best policies", moet dit ook in de discussie worden meegenomen. Hoe kan men wijzen naar de gesloten Microsoft-Monocultuur als non-public cloud CDN's ook meedoen en dan ook nog servers zo configureren of scriptveiligheid afregelen?
Nameserver reza.ns.cloudflare.com op bad zone. Reverse Entries for MX records bijvoorbeeld inconsistent van aspmx.l.google.com. Zie verder voor DOM, JSON api code: https://urlscan.io/result/264c54a3-2c97-4a8f-b1c8-8d03529f12b5#summary
Als we deze zaken niet gaan aanleren of tackelen, blijven qua beveiliging zo in het duister tasten.
CloudFlare en Google kunnen gelijkaardige problemen opleveren als met Microsoft Webservers, alhoewel de
configuratie van servers en met name de beschikbaarheid van settings (dichtzetten) per soort server kan verschillen.
Hier moeten we dus voor trust Cloudflaressl.com, aspmx google dot com & Comodo maar op de blauwe ogen geloven.
Non-public blijft voor veel spiedende oogjes een gesloten boek. Prachtige voorbeelden hier van Security through Obscurity en wat er hierbij Snakeoil kan zijn,
Een sri-hash probleem kan bijvoorbeeld worden opgelost door malcreanten voor een campagne, nadat een onveilige site na een hack door hen "veilig" kan worden gemaakt tegen competitie en anderszins, bijvoorbeeld voor het lanceren van malcode. Wij zien dit vaak hier: https://sritest.io/ in het overzicht als men scant op gecompromitteerde websites.
Ik heb te veel gezien als website foutenjager om er onvoorwaardelijk vertrouwen in te blijven houden.
Zie ik hier een meer algemeen incompetentie probleem, beste Neb Poorten & karma 4?
Dit wilde ik even met allen delen hier in dit draadje. ;)
gegroet en fijne werkweek allen,
luntrus