image

WordPress-sites gehackt via lek in GDPR-plug-in

zaterdag 10 november 2018, 15:53 door Redactie, 17 reacties

Een onbekend aantal WordPress-sites is gehackt via een kwetsbaarheid in de WordPress GDPR Compliance-plug-in, zo laat securitybedrijf Wordfence weten. Deze plug-in helpt websites en webwinkels om aan de nieuwe Europese privacywetgeving te voldoen.

Meer dan 100.000 WordPress-sites hebben de plug-in geïnstalleerd. Ruim drie weken gingen er berichten rond dat er mogelijk een kwetsbaarheid in de plug-in aanwezig was waardoor websites werden gecompromitteerd. Afgelopen woensdag 7 november werd de plug-in door WordPress wegens een kwetsbaarheid uit de officiële repository voor WordPress-plug-ins verwijderd. Via het beveiligingslek kan een ongeauthenticeerde aanvaller adminaccounts en backdoors toevoegen om WordPress-sites zo verder te compromitteren. Op dezelfde dag dat de plug-in werd verwijderd brachten de ontwikkelaars versie 1.4.3 uit die het probleem verhelpt.

Aanvallers maken echter misbruik van de kwetsbaarheid om websites te compromitteren die een kwetsbare versie van de plug-in draaien. Verschillende webmasters melden dat er via het beveiligingslek beheerderaccounts zijn aangemaakt en backdoors zijn geüpload. Eigenaren van een WordPress-site met de GDPR Compliance-plug-in krijgen dan ook het dringende advies om naar versie 1.4.3 te updaten en te controleren of er geen onbekende adminaccounts zijn aangemaakt. Ook moet er worden gekeken of de aanvallers geen gebruik hebben gemaakt van WP-Cron om een backdoor te installeren die zichzelf kan vervangen wanneer verwijderd.

Reacties (17)
10-11-2018, 16:28 door Anoniem
Wederom rechten-escalatie via script injectie bij dit op php-gebaseerde CMS en bij de kritieke plug-ins.
Lees ook: https://raidboxes.at/sicherheitsluecke-dsgvo-plugin-wordpress/

Nog niet zo zeer bij de kernel software en thema's maar zeker qua plug-ins en configuratie instellingen
blijkt dit CMS soms een vergiet vol kwetsbaarheden.

luntrus
10-11-2018, 17:08 door Anoniem
Totaal gehackededed!

Geen idee wat er echt aan de hand is, maar we hebben weer een goed excuus om eens leuk te panieken! Gehackededed!
10-11-2018, 17:48 door Anoniem
Kijk ook eens naar deze analyse van de hack door een Russisch IP adres met gebruiker: t2trollherten.

https://wordpress.stackexchange.com/questions/318755/understanding-website-hack
10-11-2018, 19:37 door Anoniem
Door Anoniem: Totaal gehackededed!

Geen idee wat er echt aan de hand is, maar we hebben weer een goed excuus om eens leuk te panieken! Gehackededed!
Begrijpend lezen niet je sterkste kant?
Zal het voor je uitleggen:
- Lek in gdpr plugin voor WP
- Via lek maak je admin aan / installeer je backdoor
- Website pwned
10-11-2018, 20:56 door Anoniem
Door Anoniem: Totaal gehackededed!

Geen idee wat er echt aan de hand is, maar we hebben weer een goed excuus om eens leuk te panieken! Gehackededed!

Voordat je al high en mighty reageert had je misschien eens de reacties van al die mensen moeten lezen die opeens nieuwe admin users er bij hebben gekregen via dit lek.

"I'm a victim. I had three sites running the plugin and updated them this morning but it was too late for one of the sites. I already had two new Admin user accounts added with the name t2trollherten and t3trollherten."

"I found two new admin accounts with that name on my site this morning."

"I had a client get hit with it this morning on two sites on different hosts."

"We been hit with three pages."

"Our website also has been hacked by the same newly added admin."

"I've been busting my head all morning trying to figure out how a site belonging to one of our partners has been compromised"

Dus wat nou "goed excuus"?
10-11-2018, 23:20 door Anoniem
Deze zaken gebeuren dus regelmatig bij een website met een CMS als Word Press,
Magenta 1 en 2 en ook in mindere mate bij Joomla.
Ook vaak blijken gebruikte PHP versies verouderd en dus kwetsbaar.

De core-software wordt vaak nog wel goed onderhouden en op bugs en errors doorgespit, alhoewel er met de configuratie (user enumeration en directory listing) worden ook veel fouten worden gemaakt door lieden, die van de juiste (disabled) settings niet op de hoogte zijn, en er ook omdat er nog vaak oudere 'outdated' software versies draaien, waarbij/waarvoor kwetsbaarheden nog niet zijn gepatched.

Het gaat meestal fout bij de grote hoeveelheid plug-ins, waarvan men soms verouderde en niet volledig gepatchte versies draait en ook toegepaste script bibliotheken, die kwetsbaar zijn aanhoudt, die beter afgevoerd zouden kunnen worden. Je kan code nu eenmaal niet tot in lengte van dagen laten draaien. Het moet ter gelegener tijd vervangen worden door betere gepatchte nieuwere code.

Bij de GDPR-plug-in was het weer eens raak, ditmaal onder Word-Press.

Bij het geval hieronder ging het mis bij een Magento 2 draaiende webshop ook een op PHP-gebaseerd CMS)
Zie het Mage rapportje hier: https://www.magereport.com/scan/?s=http://www.packstore24.de/
met verschillende instanties met het volgende malware script:
http://labs.sucuri.net/db/malware/malware.magento_shoplift?47

Willem de G., de Nederlandse zeer actieve Magento security onderzoeker heeft vast over shoplift gepubliceerd.
Info credits gaan uit naar hem.

Er zijn 154 beveiligingsaanbevelingen te geven voor bovengenoemde met malware besmette website: https://webhint.io/scanner/54e4d7b6-ccae-48da-b93a-d357e1997f97#Security

Dus als er in voornoemde gevallen gehackt wordt, zijn dat geen toevalligheden.
Goede blijvende raad: updaten en patchen, anders heeft u de ellende,
die er op een bepaald moment kan opdagen toch echt aan uzelf te wijten.

Ook verlaten sites 'geparkeerd' laten draaien schept een groot risico voor de bezoekers ervan,
maar ja overal telt immers het commercie belang en "security through obscurity".

luntrus

(N.B. Anderen hebben dit op dit platform hier ook tot in den treure deze gevaren van PHP-gebaseerd CMS onderstreept,
ik ben dat dus echt niet alleen).
11-11-2018, 00:52 door Anoniem
Wat mij betreft zijn er twee manieren om websites te bouwen: Build up of Drill down.

In het eerste geval begin je met een leeg scherm, en vaak (maar niet uitsluitend) hoe zat die syntax van PHP en MySql nou ook weer precies in elkaar. Het fijne is dat je aan het einde heel je eigen code door en door kent en zelfs met het licht uit alles kunt vinden. Het nadeel is dat Build up lang kan duren. Vooral lastig als "men" of de klant vraagt of je al "iets" kan laten zien.

Voor Drill down is Wordpress een prachtig systeem. Met dien verstande dat, zeker als je meer plugins gebruikt, je helemaal gestoord kan raken van alle manieren van coderen. Support is at random. De ene mailt je op zondagmorgen nog binnen een half uur terug met echt nuttig advies, de ander had eigenlijk verboden moeten worden om uberhaupt achter een computer te mogen zitten, zo onnozel. Het zelfde zie je ook weer terug in security van plugins. Die kinderen die notabene een GDPR plugin maken die zo lek als een mandje blijkt, mogen van mij een paar jaar in de hoek gezet worden. Want waarschijnlijk zijn de strafregels die ze anders zouden moeten schrijven ook al net zo lek als een mandje!

Het fijne van al die ongemakken is dan weer dat je je klant eerder kunt pleasen. "Kunnen we niet een plof-up modal of zo met wordt nu lid van der nieuwsbrief, een poll en of deze informatie nuttig was (voordat je een letter gelezen hebt)", dat kun je met een handomdraai verwezenlijken. En als je klant dan zegt, "Ekkkkkkk, vreselijk, haal dat maar weer weg", dan heb je niet verschillende lange nachten je goddelijke programmeertalenten zitten uitbuiten.

Het zelfde geldt natuurlijk ook voor het gedrag van de uiteindelijke gebruiker. Je ziet veel sneller wat je opzetje doet, en kan dan je koers verleggen. (Met alle ellende van in de code van diverse anderen moeten duiken, je hebt er soms echt een sterke maag voor nodig, en enige creativiteit en afwisseling in je vloekwoorden kan het voor je huisgenoten ook in elk geval iets aangenamer houden.) Maar ook voor het uiteindelijk wel of niet werken van je site, heb je veel sneller feedback uit daadwerkelijk gebruik. Je zult maar maanden aan een stuk aan het bouwen zijn geweest om erachter te komen dat je doelgebruiker totaal niet snapt wat de bedoeling was en ook geen twee keer meer terugkomt om te kijken of het nu wél werkt als verwacht. Of in elk geval duidelijk is wat de bedoeling is. Websurfers en TV-kijkers hebben één ding gemeen: Bij zwart beeld zappen ze na 2 seconden al weg. Gebeurt het twee keer, dan komen ze sowieso niet snel meer kijken. Het valt me tegenwoordig ook op dat men veel minder geneigd is om een contact formuliertje in te vullen als er vragen zijn of als iets niet lekker werkt.

Je moet het gelijk goed doen. Het is als een opening van een restaurant, groots aangekondigd, waarbij binnen een half uur iedereen met salmonella via de ambulance de straat verlaat. Maak er dan maar een damesmodezaak van, want een tweede kans als restaurant kun je met zekerheid gevoeglijk vergeten. Met sites bouwen is het net zo. Het moet simpel en helder zijn, en dus denkt men ook dat het met een handomdraai gebouwd is. Want het ziet er zo simpel uit. Daar heb je dan toch ook geen weken of maanden voor nodig om dat te bouwen? Want het werkt bij iedereen zo! Dus moeilijk kan het niet zijn....

Wat al die dingen betreft zijn systemen als Wordpress best een uitkomst. Al zal ik hier mijn vervloekingen van al die puistenjochies die lekke en rommelige plugins de wereld in slingeren voor de netheid maar achterwege laten. (Het formuliertje hier is daar ook wat aan de kleine kant voor.)

Het gaat me wel aan het hart. Die totale inefficientie van al die hooks en actions, de bakken overbodige CSS en Javascript die die systemen de wereld in slingeren om en dan maar één schaduwtje en effectje van te gebruiken! Gruwel. Dat de meesters waar ik ooit programmeren van heb geleerd het maar niet zien, want ik haal er de laagste onvoldoendes mee en blijf waarschijnlijk voor eeuwig zitten. En wat de security betreft, heel veel testen en op je hoede blijven. Een goeie backup structuur hebben. En elke security expert die boos meldt dat ik totaal onverantwoord bezig ben op zijn minst gelijk geven! Want Wordpress gebruiken is als het Kanaal oversteken in een vergiet dat dichtgemaakt is met plakband. En dan ook nog doodleuk beweren dat je zo door kan naar New York ermee.

Maar ja, ik heb wel het snelst een kijktan-het-werkt-al systeem. En dat verwacht de markt van vandaag nou eenmaal. De opdrachtgever kun je op zijn best nog maximaal een weekje laten wachten. En de eindgebruiker gunt je nog maar 2 seconden.
11-11-2018, 12:15 door Anoniem
Jullie hebben helemaal gelijk denk ik wat betreft Wordpress, echter het is voor iemand die gewoon een eigen site heeft voor pakweg 20 € per jaar een geweldig middel om een mooie site in elkaar te zetten en vind ik niets op tegen.
Weinig plug-ins gebruiken, een beveiliging plug-in laten draaien, goed hostingbedrijf en een klein beetje gezond verstand gebruiken kom je als particulier een heel eind.

Bedrijfsmatig moet je gewoon de zaak grondig dicht timmeren en meer dan een paar centen en uurtjes uittrekken.
11-11-2018, 13:57 door Anoniem
@ anoniem van 12:15

Een Word Press site even regelmatig door de volgende scanners halen:

https://urlquery.net/
https://sitecheck.sucuri.net &
https://hackertarget.com/wordpress-security-scan/ &
https://retire.insecurity.today/# &
https://webhint.io/scanner/ &
https://aw-snap.info/file-viewer/ & https://observatory.mozilla.org/?

Volg de aanbevelingen die je zo verkrijgt op of laat ze opvolgen door web admin/hoster e.d.

Gebruik altijd de laatste versies van de kernel-software, thema-software en plug-in software.
Update en Patch voortdurend, let daarbij ook op PHP.

Fijn gevoel voor jezelf en ook fijn voor je bezoekers.

luntrus
12-11-2018, 02:58 door Anoniem
Door Anoniem: Wat mij betreft zijn er twee manieren om websites te bouwen: Build up of Drill down.

In het eerste geval begin je met een leeg scherm, en vaak (maar niet uitsluitend) hoe zat die syntax van PHP en MySql nou ook weer precies in elkaar. Het fijne is dat je aan het einde heel je eigen code door en door kent en zelfs met het licht uit alles kunt vinden. Het nadeel is dat Build up lang kan duren. Vooral lastig als "men" of de klant vraagt of je al "iets" kan laten zien.

Voor Drill down is Wordpress een prachtig systeem. Met dien verstande dat, zeker als je meer plugins gebruikt, je helemaal gestoord kan raken van alle manieren van coderen. Support is at random. De ene mailt je op zondagmorgen nog binnen een half uur terug met echt nuttig advies, de ander had eigenlijk verboden moeten worden om uberhaupt achter een computer te mogen zitten, zo onnozel. Het zelfde zie je ook weer terug in security van plugins. Die kinderen die notabene een GDPR plugin maken die zo lek als een mandje blijkt, mogen van mij een paar jaar in de hoek gezet worden. Want waarschijnlijk zijn de strafregels die ze anders zouden moeten schrijven ook al net zo lek als een mandje!

Het fijne van al die ongemakken is dan weer dat je je klant eerder kunt pleasen. "Kunnen we niet een plof-up modal of zo met wordt nu lid van der nieuwsbrief, een poll en of deze informatie nuttig was (voordat je een letter gelezen hebt)", dat kun je met een handomdraai verwezenlijken. En als je klant dan zegt, "Ekkkkkkk, vreselijk, haal dat maar weer weg", dan heb je niet verschillende lange nachten je goddelijke programmeertalenten zitten uitbuiten.

Het zelfde geldt natuurlijk ook voor het gedrag van de uiteindelijke gebruiker. Je ziet veel sneller wat je opzetje doet, en kan dan je koers verleggen. (Met alle ellende van in de code van diverse anderen moeten duiken, je hebt er soms echt een sterke maag voor nodig, en enige creativiteit en afwisseling in je vloekwoorden kan het voor je huisgenoten ook in elk geval iets aangenamer houden.) Maar ook voor het uiteindelijk wel of niet werken van je site, heb je veel sneller feedback uit daadwerkelijk gebruik. Je zult maar maanden aan een stuk aan het bouwen zijn geweest om erachter te komen dat je doelgebruiker totaal niet snapt wat de bedoeling was en ook geen twee keer meer terugkomt om te kijken of het nu wél werkt als verwacht. Of in elk geval duidelijk is wat de bedoeling is. Websurfers en TV-kijkers hebben één ding gemeen: Bij zwart beeld zappen ze na 2 seconden al weg. Gebeurt het twee keer, dan komen ze sowieso niet snel meer kijken. Het valt me tegenwoordig ook op dat men veel minder geneigd is om een contact formuliertje in te vullen als er vragen zijn of als iets niet lekker werkt.

Je moet het gelijk goed doen. Het is als een opening van een restaurant, groots aangekondigd, waarbij binnen een half uur iedereen met salmonella via de ambulance de straat verlaat. Maak er dan maar een damesmodezaak van, want een tweede kans als restaurant kun je met zekerheid gevoeglijk vergeten. Met sites bouwen is het net zo. Het moet simpel en helder zijn, en dus denkt men ook dat het met een handomdraai gebouwd is. Want het ziet er zo simpel uit. Daar heb je dan toch ook geen weken of maanden voor nodig om dat te bouwen? Want het werkt bij iedereen zo! Dus moeilijk kan het niet zijn....

Wat al die dingen betreft zijn systemen als Wordpress best een uitkomst. Al zal ik hier mijn vervloekingen van al die puistenjochies die lekke en rommelige plugins de wereld in slingeren voor de netheid maar achterwege laten. (Het formuliertje hier is daar ook wat aan de kleine kant voor.)

Het gaat me wel aan het hart. Die totale inefficientie van al die hooks en actions, de bakken overbodige CSS en Javascript die die systemen de wereld in slingeren om en dan maar één schaduwtje en effectje van te gebruiken! Gruwel. Dat de meesters waar ik ooit programmeren van heb geleerd het maar niet zien, want ik haal er de laagste onvoldoendes mee en blijf waarschijnlijk voor eeuwig zitten. En wat de security betreft, heel veel testen en op je hoede blijven. Een goeie backup structuur hebben. En elke security expert die boos meldt dat ik totaal onverantwoord bezig ben op zijn minst gelijk geven! Want Wordpress gebruiken is als het Kanaal oversteken in een vergiet dat dichtgemaakt is met plakband. En dan ook nog doodleuk beweren dat je zo door kan naar New York ermee.

Maar ja, ik heb wel het snelst een kijktan-het-werkt-al systeem. En dat verwacht de markt van vandaag nou eenmaal. De opdrachtgever kun je op zijn best nog maximaal een weekje laten wachten. En de eindgebruiker gunt je nog maar 2 seconden.

Hoe de syntax ookalweer werkt?
- PHP is een syntax language
- volgens mij begrijp je niet helemaal goed wat syntax betekent in programming languages en bedoel je gewoon API's
- MySQL is geen syntax language uberhaupt kun je het bijna geen taal noemen

Iniedergeval wel goeie effort.
12-11-2018, 12:21 door Krakatau - Bijgewerkt: 12-11-2018, 12:22
Door Anoniem: PHP

luntrus

(N.B. Anderen hebben dit op dit platform hier ook tot in den treure deze gevaren van PHP-gebaseerd CMS onderstreept,
ik ben dat dus echt niet alleen).

Inderdaad luntrus staat hierin niet alleen! Met PHP-stacks gebaseerde software gebaseerde software zoek je de problemen een beetje op. Omdat PHP nooit is ontworpen als programmeertaal voor professioneel gebruik.

https://adambard.com/blog/you-write-php-because-you-dont-know-better/
12-11-2018, 12:38 door karma4
Door Krakatau:
Door Anoniem: PHP

luntrus

(N.B. Anderen hebben dit op dit platform hier ook tot in den treure deze gevaren van PHP-gebaseerd CMS onderstreept,
ik ben dat dus echt niet alleen).

Inderdaad luntrus staat hierin niet alleen! Met PHP-stacks gebaseerde software gebaseerde software zoek je de problemen een beetje op. Omdat PHP nooit is ontworpen als programmeertaal voor professioneel gebruik.

https://adambard.com/blog/you-write-php-because-you-dont-know-better/
Een stap verder. Het hele Internet is nooit ontworpen voor het gebruik zoals we nu proberen te doen. Tim Berners Lee heeft zich al er voor verontchuldigd. Krijgen we dat ontwerp aangepast? Dat is onwaarschijnlijk.
12-11-2018, 12:50 door Krakatau - Bijgewerkt: 12-11-2018, 12:50
Door karma4:
Door Krakatau: Inderdaad luntrus staat hierin niet alleen! Met PHP-stacks gebaseerde software gebaseerde software zoek je de problemen een beetje op. Omdat PHP nooit is ontworpen als programmeertaal voor professioneel gebruik.
Een stap verder. Het hele Internet is nooit ontworpen voor het gebruik zoals we nu proberen te doen. Tim Berners Lee heeft zich al er voor verontchuldigd.

Pardon? Tim Berners-Lee heeft zich verontschuldigd voor de // achter bv. http:. Waar haal je vandaan dat het hele internet 'slecht' zou zijn?

"Mr. Berners-Lee smiled and admitted he might make one change — a small one. He would get rid of the double slash “//” after the “http:” in Web addresses."

https://bits.blogs.nytimes.com/2009/10/12/the-webs-inventor-regrets-one-small-thing/
12-11-2018, 13:34 door Anoniem
Hoe de syntax ookalweer werkt?
- PHP is een syntax language
- volgens mij begrijp je niet helemaal goed wat syntax betekent in programming languages en bedoel je gewoon API's
- MySQL is geen syntax language uberhaupt kun je het bijna geen taal noemen

Iniedergeval wel goeie effort.

https://www.w3schools.com/sql/sql_syntax.asp
https://www.w3schools.com/php/php_syntax.asp
https://nl.wikipedia.org/wiki/Apen
https://en.wikipedia.org/wiki/Application_programming_interface

Ofwel snel terug naar school Aapie! En voorlopig geen Wordpress plugins schrijven!!!!!!
12-11-2018, 14:14 door Anoniem
Een stap verder. Het hele Internet is nooit ontworpen voor het gebruik zoals we nu proberen te doen. Tim Berners Lee heeft zich al er voor verontschuldigd. Krijgen we dat ontwerp aangepast? Dat is onwaarschijnlijk.

Even voor de duidelijkheid, "het internet" bestond al lang voordat Berners Lee met de eerste browser kwam en het concept van het World Wide Web.

Internet zelf is begonnen met de definitie van het TCP/IP protocol. Zo rond 1974. TCP was het truukje om data in pakketjes te versturen maar geen datapakketjes te verliezen. IP staat voor Internet Protocol. Het IP adres, en hosts en zo.

Slimme Timmy en het World Wide Web kwam pas in 1989. Het basis idee was informatie klikbaar te maken met een muis, waardoor je een soort van 3D informatie omgeving kon maken. En de informatie zich ook nog eens op elke bereikbare host kon bevinden. Wereldwijd, ofwel World Wide. Het handige was dat je je beter op de inhoud kon concentreren en niet allerlei gopher of ftp of wat was er allemaal niet eerst moest gebruiken. Gewoon lezen en klikken. Dat elke boerenjeweetwel het kon. Browsers.

Door die vernuftige browsers kon het World Wide Web ook opengesteld worden voor het grotere publiek. Het bleek namelijk niet enkel zeer geschikt voor zwaar wetenschappelijke teksten, maar ook voor nuttige zaken als porno. Waar de gewone burger dan weer meer aan heeft.

Wat er opnieuw misgaat op dat mooie World Wide Web is dat er bedrijven zijn die echt denken dat ze daar de baas op kunnen spelen. Zo dacht Microsoft dat ooit, maar ook KPN. Of nu Google, of Facebook. Het lijkt er steeds weer griezelig veel op dat zoiets eens zou lukken. Maar het kennie. Het zit niet in het systeem. Je kunt heer en meester zijn over een vierkante meter grond. Dat kèn. Maar niet over een kubieke meter lucht of 1000 liter zeewater. Dat zit ook niet in het systeem. Dat kèn echtnie!

Enerzijds nuttig om je druk te maken hoe ver men tegenwoordig al niet gedaan is om "de macht" van het hele internet te zijn. Maar anderzijds gaat ook deze ronde de wal het schip keren. Want wat ze willen kéngewoonniet! Het is zo briljant als dromen dat je ooit de baas van de lucht zult zijn. Evenwel zijn er toch al heel wat zeer begaafde berdrijven (en ook overheden) geweest in het verleden die écht dachten van wel. Microsoft met MSN. KPN met Het Net. Om maar een paar suffies te nomen. Niet de minsten, en allemaal goed opgeleid. En die handige browser van Slimme Timmie voor hun neus ook nog. Maar toch hardnekkig stom blijven.
12-11-2018, 17:39 door karma4 - Bijgewerkt: 12-11-2018, 17:46
Door Krakatau:
Pardon? Tim Berners-Lee heeft zich verontschuldigd voor de // achter bv. http:. Waar haal je vandaan dat het hele internet 'slecht' zou zijn?

"Mr. Berners-Lee smiled and admitted he might make one change — a small one. He would get rid of the double slash ....]
https://www.google.nl/amp/s/www.theregister.co.uk/AMP/2014/10/08/sir_tim_bernerslee_defends_decision_not_to_bake_security_into_www/
Je hebt gelijk het is cerf die zich expliciet verontschuldigd voor het ontbreken van security in het ontwerp.
Berners Lee is begonnen met een poging tot veilige opslag. Hij erkent het probleem wel maar vind een succes met een gemis aan security beter. Ik weet alleen niet voor wie dat beter is.
https://www.google.nl/amp/s/www.vanityfair.com/news/2018/07/the-man-who-created-the-world-wide-web-has-some-regrets/amp
12-11-2018, 22:33 door Anoniem
Maar verschillende onderdelen van de code-infrastructuur zijn toch wel wat onveiliger als andere. Wat te denken van een taal als JavaScript? Deze taal was ook in feite niet klaar om destijds aan het Internet gehangen te worden (vanwege html-manco)

Tegenwoordig gebruikt men PHP en JavaScript met cheat-sheets ernaast, want ja weinig tijd en druk, druk, druk. Er komen aan de ene kant veiliger oplossingen, zoals Babel, aan de andere kant bedienen facebook en Google hun core-business-monopolie met bijvoorbeeld het misbruiken voor 3rd party trackingdoeleinden van TLS-session-resumption op een veiligheidsprotocol nota bene. De settings staan voor facebook op 7 dagen terwijl beveiligingsexperts aangeven dat 10 uur max. wel ruim genoeg kan zijn. Anoniem van 14:14 uur maakt daar dus wel een duidelijk punt betreffende het streven van de Big Data Tech spelers. Misschien zien nog niet te veel partijen dit al te duidelijk in, want een tegenbeweging of echte maatregelen zijn er nauwelijks (too big to fail and vested interests and protection through influencial big guv).

Ik bekijk alleen maar een bepaalde niche op het Internet en zie daar nog heel veel onveilige zaken, namelijk in het geval van website beveiliging. Niet alleen de code packages & libraries, ook wat betreft de certificering, DNS, nameserver configuratie, algemene excessieve webserver info proliferatie, DOM XSS etc. etc. Beveiligingsaanbevelingen zijn te geven voor bij voorbeeld disown-opener, sri, strict-transport-security, validate-set-cookie-header, x-content-type-options, vulnerable-javascript-libraries. Best policies zijn niet altijd door te voeren in elke omgeving, maar waar ondersteund, ontbreken ze ook nog zeer vaak. Ja een platte txt http-site, waarom niet? Dit hoeft ook niet perse in de cloud om niet te kunnen zien wat er onderhuids allemaal gebeurt met uw data privacy en waar de browserkantjes letterlijk rondgebogen worden, zoals bij de laatste Google chrome versie, letterlijk en figuurlijk dus.

De vooruitgang op security gebied lijkt derhalve veel op een flagellanten-optocht, twee stappen vooruit en dan weer een achteruit en ik zie dat voorlopig nog niet zo 1,2,3 veranderen. Zeker niet als er steeds meer ook nog een klimaat komt van zelfverkozen zelfcensuur van mensen met relatieve kennis in het veld. Die binden zeker niet al eersten de kat de bel aan.

luntrus
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.