Magento... PHP...
#nocomment

Blokkeren, dat 3rd party javascript via NoScript of uMatrix. Tenminste ik draai geen client op een device zonder het te blokkeren en alleen dat vrij te geven wat voor minimale functionaliteit van de site in kwestie absoluut nodig is en dat alleen na even nachecken, anders hop, weg daar en zo'n website vermijden. Er is immers geen handvol, maar een webvol.

En op de website en hosters, waar vrij geinjecteerd wordt door deze 38 js-sniffer families is sprake van kwetsbaarheden en soms grote nalatigheid of incompetente onnozelheid. Websites met zoveel DOM-XSS issues en kwetsbare libraries en oudated plug-ins of plug-ins, die zelfs nooit meer onderhouden worden door de oorspronkelijke developer. User enumeration op enabled gezet, directory listing op aan. Verouderde CMS kernel software draaiend.

Lieden, die dit doen en vooral lieden, die hier niet naar kijken of zulke onveiligheid niet van het Internet houden, verdienen niet anders dan dit gebeurt en het zal blijven gebeurem. Gelegenheid maakt immers de cybercrimineel. Eigenlijk zou een site met aperte onveiligheid vanwege onkunde direct door de autoriteiten moeten worden neergehaald, te groot risico voor de consument en de gemeenschap. Misschien leren ze het dan eens af.

PHP ook een lange litanie van kwellingen, wanneer het in handen komt van lieden die de vele pitfalls niet weten te omzeilen, de cheatbooks niet ernaast hebben liggen of waar de boel op de hoster niet door best policies voldoende geborgd is.

"It takes two to tango" (client & webserver), maar het meeste dat je ziet is een slechte klompendans uit de maat.
Word Press, Magenta, Joomla, allemaal PHP-gebaseerde ellende. Leer ontwerpen en echt een website code compileren.
Weet de lengte van een array en wat niet undefined kan blijven. Geef eens Ctrl+Shift+I in op de browser.
Verdiep je eens en blijf niet veredeld prutsen aan "gelikte" rotzooi. WYSIWYG = sh*t in = sh*t out.

luntrus

IE.....Uber magneto ......
#nuffsaid

IE wordt nergens genoemd. Wat heeft Uber ermee te maken (auto's?). En dat karakter uit de X-Men? Magneto? Dat snap ik helemaal niet.

naast voorkomen, moet je eigenlijk in je live omgeving ook een dagelijkse check doen die de actieve code checked met de code die "er zou moeten staan", om tegen te gaan dat dit langere tijd actief kan blijven als het zou gebeuren,....

@Krakatau,
Hoe lang kaarten we dit al aan. Waarom blijven we op een verschrikkelijk onveilig punt staan? Er gebeurt niets. Het lijkt wel of men niet wil. Kijk naar de gigantische rondslingerende onbeveiligde data van Facebook. Autoriteiten doen niets. Om moedeloos van te worden. Hoe erge chaos wil men laten ontstaan?
luntrus

De onbeveiligde data is afkomstig van facebook, door anderen in AWS (Amazon) gezet zodat je het met Google makkelijk op je Apple kan vinden (GAFA). Open source heet veilige te zijn, het zijn alle deze 4 die zo'n bewering grof misbruiken.

Beste karma4 en krakatau, Bitwiper, CaptainHaddock
en andere zeer door mij gewaardeerde forumleden (zonder er eentje te willen vergeten),

Hoe lang blijven wij allen hier nog roependen in de woestijn?

Voelt er dan niemand de noodzaak dat er online iets moet gaan veranderen bij degenen die het Internet bouwen en onderhouden? De mens is wat dat aangaat een raar wezen, doet lange tijd niets als het niet onmiddellijk fout gaat.
Niet patchen en updaten en fouten jagen, tot het spreekwoordelijke kalf is verdronken.
Dan ineens is de wereld te klein.

Dat is de grootste fout in ons primatenkarakter, we roken bijvoorbeeld door tot we klachten krijgen
en dus werken we ook onveilig tot de data weg zijn of er sprake is van een compromittatie of infectie.

Hoe veel ellende heeft dat al veroorzaakt in ons eeuwenlange bestaan.
Hardnekkig spul, die mensheid. Ik hoor er natuurlijk ook bij, maar scan en check wel en rapporteer!

luntrus

Ook sentora dot org, de open source web hosting site van Duck Duck go zit vol met zwakheden
en bijvoorbeeld bootstrap.js issues.

Zie: https://webhint.io/scanner/00f8da5d-ff91-4337-ade7-76f45da5e787#category-Security

#sockpuppet

Leuk natuurlijk dat webhoster en webshopexploiteur bashen. Maar uiteindelijk ontstaat de ellende door criminelen. Het is een beetje hetzelfde als zeggen dat het je eigen schuld is als je op straat beroofd wordt omdat je immers op straat liep i.p.v. in je pantserwagen te zitten.
Die cybercriminals zijn de boosdoeners, niet de slachtoffers.

@ anoniem van 15:25,

Allemaal tot je dienst, maar die cybercriminelen worden wel door wrakke website developers en "sloppy" onderhoud de kans geboden om hun kwaadaardige JavaScript injecties te kunnen uitvoeren en daarmee succes te hebben.

Hadden de developers beter hun stiel verstaan en had men niet gebruik gemaakt van slecht ondersteunde plug-ins en een op PHP-gebaseerd brak CMS op de gecompromitteerde websites, dan hadden die cybercriminelen toch wat vroeger op moeten staan. Zo ligt het ook wel weer. Leer de developers op de opleidingen betere security maatregelen nemen, leer de webserver admins beter de zaak borgen en voedt ook de slachtoffers achter de browsers op om niet overal op te klikken.

Wanneer wordt security online nu eens eindelijk niet een sluitpost op de begroting van CEO, manager en website eigenaar?
Doen we het niet vaak zelf door voor een dubbeltje op de eerste rang te willen zitten?

Cybercriminelen en kwaadaardige hackers, kwaadwillende staatsacteurs en dergelijke, ik hoop dat men een manier vindt om hen in de kraag te vatten en hun uitvalsbases te sinkholen en neer te halen en zorgen dat deze minkukels iets terug moeten doen voor de maatschappij die ze willens en wetens benadelen. Ze voelen zich nu sterk door de zwakheid van anderen en de zeer geringe pakkans in het cybertheater. Er zijn landen, die het ook nog gedogen, begint er dan maar eens aan, die gasten te vervolgen? Hoe pak je vanuit Holland een scriptkiddie uit Sjanghai aan?

Ik ben elke dag bezig om uit te leggen, waar het met JavaScript fout gaat, of vanwege interactie met een bepaalde extensie waardoor een bepaald urchin.js script de tijd niet krijgt om af te lopen, of een developerfout met een property die niet gelezen kan worden, omdat er iets op een verkeerde manier aangeroepen wordt, waar JavaScript zoals het bedoeld is, niet mee uit de voeten kan en 't niet kan lezen met deze error als gevolg. Als er nooit op mijn activiteiten in deze zelden of ooit gereageerd wordt en met doet het nog steeds niet anders, dan zeg ik op mijn beurt: "Verdienen ze het dan niet een beetje zelf, dat ze door een wat pientere malcreant telkens weer te grazen worden genomen".

Degenen, achter de browser, die het overkomt zijn de onschuldige slachtoffers en dat is soms een hard gelag, zij hebben geen 3 jaar een IT developer opleiding gehad om zulke narigheid niet neer te hoeven plempen, het onder tijddruk ontstane veredelde knip en plak codeerwerk voor te zetten en de malcreanten met door hun code zwakheden te faciliteren.

I rest my case,

luntrus