Flere tusen nettsteder angrepet

[abene]

Over 55 000 nye nettsteder brukes til å spre skadelig programvare.

 

Les mer

[Drømmemannen]

Jeg legger merke til at alle nettsidene som blir listet i artikkelen er laget i .net. Det er enkelt å være fordomsfull i slike situasjoner.

[DarkSlayer]

Jeg legger merke til at alle nettsidene som blir listet i artikkelen er laget i .net. Det er enkelt å være fordomsfull i slike situasjoner.

Er Java bedre? Eller PHP?

 

Tro meg - de fleste utviklere vet for lite om sikkerhet. Det er mange utviklere som er fornøyd med den balasten de har fra skolen(ingen kunnskap), og bruker fint lite av sin egen tid til å oppdatere seg. Bedriften ønsker kanskje ikke å kurse sine ansatte da det er dyrt - og usikkert hva utbyttet er.

 

Kunden som kjøper softwaren bryr seg ikke, eller ønsker ikke å betale så mye ekstra - for det er tross alt et fordyrende ledd. Det er faktisk svært fordyrende om man i tillegg skal bevise at det er sikkert, for da er det ikke fint lite man skal teste mot.

 

Da ender man opp med å stole på sine verktøy. Her er ingen spesielt gode med mindre man lager helt trivielle ting.

[Bolson]

Er det en tilfeldighet at alle disse nettstedene kjører på Microsoft plattform?.

 

Jeg bare spør? Og det er ikke en påstand om at nettsteder som kjøres på andre plattformer er sikre, men både denne iframe "sårbarheten" og den som man var plaget med for over et år siden var nesten 100 % eksisterende på nettsider som bruker Microsoft plattform.

 

I og med at seriøse nettsteder er berørt (som ved forrige), hvor man skulle tro at kvaliteten på publiseringsløsning er relativt høy, begynner jeg å lure på om det faktisk finnes en generell svakhet et eller annet sted i Microsoft sine nettverktøy.

 

@DarkSlayer:

Så det du egentlig påstår er at de som utvikler ved hjelp av Java, PHP, Python, Ruby er langt dyktigere på sikkerhet. .

 

Nå regner jeg faktisk at de fleste av disse nettstedene bruker publiseringsløsninger som er tilgjengelige i markedet (kommersielle/open source). Og at om man hadde gått grundigere tilverks i analysen ville finne at det var primært løsninger fra mindre og mellomstore aktører.

Endret 25. august 2009 av Bolson

[morten_b]

Fordommer kommer gjerne av erfaring ???

 

Etter å ha prøvd .net for noen år siden og opplevd at PCen ble treger og mindre stabil (og dermed avinstallerte) har jeg alltid unngått alle programmer som er avhengig av .net og heller funnet alternativer.

 

Jeg mener Microsoft er altfor kåt på å lager Windows med mest mulig scripting, plugins og lignende slik at mulig skal kunne skje i bakgrunnen fullstendig automatisk.

 

Og muligheten for å kjøre script (som IE legger inn fra en nettside, sikkert med en plugin) ved neste reboot FØR noen andre programmer starter (virusprogrammet) er jo genial, ikke sant ?

[gerri28]

Så langt jeg kan se er sidene i artikkelen laget i ASP og ikke ASP.NET

[The Jackal]

...og sårbarheten ligger i iframe elementet i html, så ser ikke helt hva det har med .NET eller ASP for den saks skyld.

[Bolson]

...og sårbarheten ligger i iframe elementet i html, så ser ikke helt hva det har med .NET eller ASP for den saks skyld.

 

For å få lagt inn selve iframe elementet, som er en såkalt usynlig iframe (1 x 1 px) som inneholder en side med skadelig kjørbare kode må man hacke seg inn på publiseringsløsningen. Altså man må bruke et sikkerhetshull i nettløsningen for å legge inn den skadelige koden, som er en iframe script tag.

 

iframe si seg selv er akkurat like lite eller mye sårbart som enhver annen HTML-tag. Faren med iframe er at den kan brukes til å kjøre en nettside inne i en annen, og kan settes til usynlig størrelse, slik at man ikke ser at den finnes. Så det er i realiteten ingen sårbarhet i iframe, men sårbarhet i nettløsningen som gir mulighet til å legge inn iframe med skadelig kode.

 

Tilsvarende angrep er gjort med å legge inn javscriptsnutter uten bruk av iframe.

 

Poenget er at alle angrepene servere kjører på Microsoft plattform og teknologi. Og ingen bør komme med utbredelse som argument, da 50 % av webservere faktisk ikke kjører på Microsoft plattform.

[The Jackal]

...og sårbarheten ligger i iframe elementet i html, så ser ikke helt hva det har med .NET eller ASP for den saks skyld.

*snip*

 

Bare knotete skrevet av meg, og du har selvfølgelig rett. Poenget her var at sårbarheten ikke har noe med .NET å gjøre.

[Bolson]

At det "bare" er nettsteder som bruker Microsoft basert teknologi som er angrepet tyder sterkt på at det finnes en svakhet knyttet til denne teknologien. Ikke nødvendigvis teknologien i seg selv, men bruks- og implementeringsmåter kan være en årsak.

 

Faktisk skulle jeg ønske at noen tok seg bryet med å undersøke nærmere hvorfor.

[GeirGrusom]

Sårbarheten ligger enten i IIS eller i god gammeldags brukerfeil og uvitenhet.

[Bolson]

IIS har jeg liten tro på. Omtrent alle nettstedene bruker faktisk IIS 6 som faktisk ikke har åpne sårbarheter. Til og med IIS 5 har minimalt med sårbarheter. Apache er faktisk ikke bedre på dette området.

 

Brukerfeil er det garantert ikke (brukeren oppdager ikke at han er på et hacket nettsted), det kan være utviklerfeil og uvitenhet. Men hvorfor er da ikke alle de nettstedene som bygger på PHP under angrep. Er PHP utviklere så mye mer sikkerhetsbevisste og kompetente enn utviklere som bruker Microsoft verktøy?