Sikkerhetshull hos FotoKnudsen

[abene]

Sikkerhetshull hos FotoKnudsen

Det ble i forrige uke oppdaget et sikkerhetshull hos bildetjenesten FotoKnudsen som gjorde at alle brukere kunne bla i andres bilder i databasen.

 

Les artikkelen her

[quakie]

Auch, det var ikke bra:S Noen som gjorde det her? :!:

[xminator]

Det er jo ikke en gang en bakdør. Det er skikkelig dårlig programmering. Ett hull de har vert klar over i over ett år og eneste forsøk på tetting har vert å legge en sjekk i javascript. De som surfet uten javascriptstøtte (og det er ikke få) har kunnet endre i lenken og sett vilkårlige bilder.

 

Synest e-posten Fotoknudsen sendte er arrogant. Det er ikke en bagatell. Det er alvorlig. De påstår man skulle ha ekstrem kompetanse for å utnytte hullet. Det er feil, slik jeg har fått det forklart kunne man gjøre dette uten kompetanse i det hele tatt.

[Dahl]

Amatørmessig og svært kritikkverdig av FotoKnudsen. "Sikkerhetsmekanismen" FotoKnudsen hadde lagt inn var Javascript-funksjonen self.close, som skal lukke vinduet. Dette kan imidlertid forhindres svært enkelt, ettersom Javascript kjøres på klientsiden, og ikke på serversiden. Man kan lure seg unna ved å blant annet skru av Javascript eller å svare "nei" når man får beskjed om at websiden forsøker å lukke vinduet (IE). Jeg er av den oppfatning at kunder burde saksøke FotoKnudsen, slik at selskaper forstår at ordentlig sikkerhet er viktig.

[efikkan]

Latterlig av FotoKnudsen.

 

Jeg ville dessuten aldri lagt personlige bilder i ei slik database.