image

Verlopen domeinnaam zorgt voor pornovideo's op grote nieuwssites

vrijdag 23 juli 2021, 10:32 door Redactie, 8 reacties

Een verlopen domeinnaam heeft voor allerlei pornovideo's op grote nieuwssites gezorgd, waaronder de Huffington Post, New York magazine, The Washington Post en tal van andere websites. De domeinnaam in kwestie was van Vid.me, een videohostingdienst die in 2014 werd gelanceerd en zichzelf omschreef als een mix tussen YouTube en Reddit. In 2017 werd de stekker uit de dienst getrokken.

De vorige eigenaar van de domeinnaam liet die onlangs verlopen, waarna die begin deze maand werd geregistreerd door een pornosite. Allerlei websites hadden in het verleden video's van Vid.me op hun eigen pagina's geëmbed. Hoewel Vid.me al jaren offline is bleef de geëmbedde code op deze pagina's actief.

De pornosite die Vid.me registreerde liet het domein vervolgens naar de eigen pornosite wijzen. Daardoor laten alle nieuwssites en andere websites die nog van de geëmbedde code gebruikmaken nu een overzicht van bekeken video's op de betreffende pornosite zien, zo meldt Vice Magazine.

Het incident laat zowel het risico zien wanneer websites code van een derde partij gebruiken en wat voor gevolgen een verlopen domeinnaam kan hebben. Eind vorig jaar werd een verlopen domein van een WordPress-plug-in nog gebruikt om malware te verspreiden.

Reacties (8)
23-07-2021, 10:42 door Anoniem
Het gemak waarmee websitebeheerders allerlei javascript code die benodigd is voor hun site gewoon direct van de
bron halen verbaast me ook wel een beetje. Het lijkt natuurlijk aantrekkelijk, je hoeft niet zo te letten op updates, dat
regelt je leverancier allemaal (of dat nou een bedrijf is waar je de code "gekocht" hebt of een opensource repository).
Maar wel maak je je helemaal afhankelijk van die aanbieder. Niet alleen voor akkefietjes zoals hierboven vermeld,
maar ook zou die aanbieder de ooit werkende code zomaar kapot kunnen maken. Daar was laatst al een voorvalletje
van waarbij iemand uit frustratie over het beleid van de repository gewoon al zijn code gedelete had, waaronder een
tamelijk low-level functie die ook weer door anderen gebruikt wordt. Dan ligt zomaar ineens je site of app eruit en
moet je dat eerst maar weer eens opmerken (klachten van gebruikers?) en hoe ga je dat dan fixen...

Beter maar copietjes van al die code in je eigen omgeving (server, CDN) hosten, en zelf bepalen wanneer er geupdate
wordt. Dan kun je tenminste testen als er iets verandert.
23-07-2021, 11:26 door Anoniem
Zelf hosten is altijd veiliger - als je ziet hoeveel sites er voor een eenvoudige nieuwssite aangesproken worden - dan moet je je vragen gaan stellen over de veiligheid. Het is fundamenteel aan't mislopen. Zelfs een eencellige zou dat kunnen vaststellen.
23-07-2021, 11:28 door Anoniem
Deze print ik uit en hang ik boven mijn werkplek, voor het geval mijn werkgever of echtgenoot een keer komt mopperen.
23-07-2021, 12:10 door Anoniem
Ja, dat krijg je als de mensen, die er geen verstand van hebben de beslissingen nemen
en de mensen, die er verstand van zouden moeten hebben, hiernaar moeten luisteren.

Security is dus te vaak een last resort thing. Sluitpost op de begroting met alle gevolgen vandien.
23-07-2021, 13:27 door Anoniem
Door Anoniem: Ja, dat krijg je als de mensen, die er geen verstand van hebben de beslissingen nemen
en de mensen, die er verstand van zouden moeten hebben, hiernaar moeten luisteren.

Security is dus te vaak een last resort thing. Sluitpost op de begroting met alle gevolgen vandien.
Het is gewoon een risicoafweging. Wat heeft het gekost om dit uiteindelijk te fixen, versus wat had het gekost om zelf een videoplatform op te tuigen.

Ik weet het antwoord wel hoor. Dus de volgende vid.me gaat gewoon gebruikt worden door deze sites.
24-07-2021, 07:38 door Anoniem
Door Anoniem: Zelf hosten is altijd veiliger - als je ziet hoeveel sites er voor een eenvoudige nieuwssite aangesproken worden - dan moet je je vragen gaan stellen over de veiligheid. Het is fundamenteel aan't mislopen. Zelfs een eencellige zou dat kunnen vaststellen.
Zelf hosten zal meestal niet kunnen, een website schendt auteursrecht als ze kopieën maken en die verder verspreiden.

Maar professioneel gerunde nieuws-sites kunnen echt wel maatregelen nemen. Het is heel goed mogelijk om volautomatisch alle verwijzingen naar externe inhoud te inventariseren, om te kijken of de domeinen nog bestaan, of URLs die eerder werkten nu fouten of redirects opleveren, of de resulterende inhoud nog overeenkomt. Link checkers bestonden in de jaren '90 al. Vandaag de dag zou ik verwachten dat dergelijke oplossingen prima met ingebedde video's om kunnen gaan en gebruik kunnen maken van de safe browsing-infrastructuren zoals bijvoorbeeld die Google of Microsoft om ongewenste inhoud te signaleren, als daar API's voor zijn die (al dan niet via een abonnement) door andere software dan webbrowsers gebruikt kunnen worden.

Ik heb niet bijgehouden wat er aan concrete implementaties beschikbaar is die kant en klaar ingezet kunnen worden, maar het valt evident wel binnen wat technisch mogelijk is. Elke tent met een beetje automatiseringsvaardigheid in huis had in de decennia sinds de jaren '90 dit zelf verder kunnen uitbouwen en verdachte links automatisch kunnen verwijderen of vervangen door iets onschuldigs. De wereld is groot, dus dat is ongetwijfeld echt wel hier en daar gedaan. De vraag is waarom er grote, gerenommeerde nieuwswebsites zijn die een reputatie hoog te houden hebben die dit blijkbaar in het geheel niet doen.
24-07-2021, 11:03 door Anoniem
Door Anoniem:
Maar professioneel gerunde nieuws-sites kunnen echt wel maatregelen nemen. Het is heel goed mogelijk om volautomatisch alle verwijzingen naar externe inhoud te inventariseren, om te kijken of de domeinen nog bestaan, of URLs die eerder werkten nu fouten of redirects opleveren, of de resulterende inhoud nog overeenkomt.

Ik heb niet bijgehouden wat er aan concrete implementaties beschikbaar is die kant en klaar ingezet kunnen worden, maar het valt evident wel binnen wat technisch mogelijk is. Elke tent met een beetje automatiseringsvaardigheid in huis had in de decennia sinds de jaren '90 dit zelf verder kunnen uitbouwen en verdachte links automatisch kunnen verwijderen of vervangen door iets onschuldigs. De wereld is groot, dus dat is ongetwijfeld echt wel hier en daar gedaan. De vraag is waarom er grote, gerenommeerde nieuwswebsites zijn die een reputatie hoog te houden hebben die dit blijkbaar in het geheel niet doen.

Ik denk dat ze het bij beheer veel te druk hebben met het implementeren van cookie- en paywalls om daar nog aan toe
te komen! Als je ziet hoeveel werk daar ingestoken wordt... bij die Amerikaanse sites ook nog eens gekoppeld aan
regiodetectie enz....
27-07-2021, 16:24 door Anoniem
Nooit gehoord van een CSP en deze met enige regelmaat up-to-date houden? Dan ook niet huilen als er wat mis gaat.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.