@ anoniem van 8:19
Maar als je regelmatig doorsnee websites tegen het licht houdt via third party cold reconnaissance scans (helaas heb je schriftelijke toestemming nodig om sites direct te benaderen of bepaalde info wil verspreiden, info van een dazzlepod ip scannetje bij voorbeeld mag niet tegen de gescande zelf worden gebruikt).
Dus als je dit regelmatig onder ogen krijgt, rijzen je al vaak de haren ten berge en ga je naar het handhaven van veiligheid op de infrastructuur een beetje cynisch en meesmuilend kijken.
Net nog aanwezig bij een TIN 2e jaars toets met de opmerking van de docent: "Als u nog veiligheidsadviezen hebt,, hoor ik het graag van u". Ik mag me er inhoudelijk niet in mengen, dus hij maakt weinig kans.
Kom ik weer met een riedeltje van wat ik te veel en te vaak aantref. Allerlei versies jQuery bibliotheken door elkaar, met nogal eens bibliotheken, die af te voeren zijn. Code vol sources en sinks op 3rd party link websites, die niet volgens de "same origin" regel zijn beveiligd. Sites die niet automatisch van http naar https gaan. Server info proliferatie, name mismatch op certificaten, die als root op de server staan, naamserver versies uit te lezen (hopelijk niet de echte versie, maar geen enkele proliferatie van info is "best policy'!). CMS narigheid - user enumeration aan laten staan en directory listing op een bekend CMS als Word Press, af te voeren code omdat ie niet meer bijgehouden wordt (ergo verlaten code).
Javascript unpack scans en gevonden errors napluizen zoals gemeld bij StackOverflow, veel geleerd van die luitjes en vaak ook info credits gegeven. Er zijn genoeg goede security mensen, alleen wordt er zo weinig naar hen geluisterd of van hen geleerd. Waarom toch?
Handrolled-coded code gebruiken, waar een kant en klare oplossing door een team specialisten er beter voor zorgt dat men het wiel niet opnieuw gaat uitvinden. IT die geen verstand heeft van encryptie of van security maar mondjesmaat. Geen security headers of niet voldoende geimplementeerd. Dit is maar een topje van de ijsberg, er zijn nog verdachte ga domeinen bijvoorbeeld, er zijn http cookie zwakheden, er is zo veel dat je je moet gaan specialiseren en website security en error-hunting is al zo'n breed terrein.
Er wordt volop gerotzooid op geparkeerde domeinen, die eigenlijk niet meer hoeven te verdienen, maar beter gesinkholed zouden kunnen worden. Nu geautomatiseerd door de opvolger van het bedrijf van de Wener Peter Kleissner. Hij heeft mij nog onderwezen.
Moet ik nu gaan zingen van hoi, de opleidingen van degenen die ons veilig moeten houden zijn zo adequaat. Ik zie als proctor met relevante kennis dagelijks iets anders. Verder als het riedeltje black hat, grey hat, white hat komt men meestal in een studiejaar niet. Technische IT weet meer, maar dat zijn meestal niet de Apple-mannetjes met een staartje, met of zonder das.
Over de invloed van dozenschuivers en onwetend management met een sterk geloof in one click oplossingen heb ik het dan nog niet gehad. Ik wil het ook wel anders, doe vrijwillig aan voorlichting, maar voel me vaak een roepende in de woestijn. Is er dan niemand met gelijkaardige ervaringen?
Ik ben een f.r.a.v.i.a - adept (R.I.P. en veel te vroeg de Internet community ontvallen), vergeleek weak cgi woordenboeken voor gebruik in http-server scanners e.d.. Gaan we nog echt verbeteringen zien qua veiligheid op de infrastructuur of hoe zit dat?
Mag ik dit a.u.b. aangeven als ik dagelijks zie dat het een gatenkaas is online, met gaten soms, zo groot als van een flinke kaasboor!