Får tilgang til andres webkamera via norsk skoleprogramvare: – Det er ikke et sikkerhetshull, svarer selskapet

[Martin Braathen Røise]

Får tilgang til andres  webkamera via norsk skoleprogramvare: – Det er ikke et sikkerhetshull, svarer selskapet

[Nimrad]

It's not a bug, it's a feature!

[tHz]

Useriøst.

 

Man lar ikke brukere laste opp kode som kjøres i kontekst av andre brukere.

Om de ikke defnerer det som et sikkerhetshull bør de slutte å lage programvare og levere pengene tilbake til samtlige kunder.

[XJAXFAKF]

Ironisk at det heter itslearning...

[Spoki0]

Er dyrt med dårlig sikkerhet nå med GDPR, spesielt siden de ikke regner det som en sårbarhet.

[2N1711]

Kan ikke vente noe mer fra itslearning, dessverre.

 

Dette er samme folka som brukte flere år på å fikse slik at man kunne logge seg ut, uten å avslutte hele nettleseren.

[OscarWoHA]

Useriøst.

 

Man lar ikke brukere laste opp kode som kjøres i kontekst av andre brukere.

Om de ikke defnerer det som et sikkerhetshull bør de slutte å lage programvare og levere pengene tilbake til samtlige kunder.

 

Sikker på at de ikke hindrer det av andre årsaker, som for eksempel at brukere benytter filopplasteren til å laste opp kode og binaries fra programmering i spesifikke fag som omfatter det?

[Shruggie]

 

Useriøst.

 

Man lar ikke brukere laste opp kode som kjøres i kontekst av andre brukere.

Om de ikke defnerer det som et sikkerhetshull bør de slutte å lage programvare og levere pengene tilbake til samtlige kunder.

Sikker på at de ikke hindrer det av andre årsaker, som for eksempel at brukere benytter filopplasteren til å laste opp kode og binaries fra programmering i spesifikke fag som omfatter det?

 

Kode som skal kjøres direkte i nettleseren til alle som ser filen? Nei.

[tHz]

 

Useriøst.

 

Man lar ikke brukere laste opp kode som kjøres i kontekst av andre brukere.

Om de ikke defnerer det som et sikkerhetshull bør de slutte å lage programvare og levere pengene tilbake til samtlige kunder.

Sikker på at de ikke hindrer det av andre årsaker, som for eksempel at brukere benytter filopplasteren til å laste opp kode og binaries fra programmering i spesifikke fag som omfatter det?

 

 

Om man laster opp kode skal det lastes opp på en måte som gjør at lærer kan hente ned koden og se igjennom (samt eventuelt kompileres). Den skal aldri kjøres automatisk, hverken for lærer eller andre elever.

 

At man har mulighet for å kjøre kode i kontekst av andre er en sikkerhetsrisiko.Dette åpner for CSRF og annen XSS.

 

Binaries er ikke trygt å laste opp, men det bør også være totalt unødvendig.

 

Nei.

Dette er useriøst.

Jeg håper inderlig det er en i ledelsen som har uttalt seg om dette, og at de nå faktisk går å spør noen kompetente mennesker som kan forklare dem at dette er usikker og tåpelig funksjonalitet.

[Shruggie]

 

 

Useriøst.

 

Man lar ikke brukere laste opp kode som kjøres i kontekst av andre brukere.

Om de ikke defnerer det som et sikkerhetshull bør de slutte å lage programvare og levere pengene tilbake til samtlige kunder.

Sikker på at de ikke hindrer det av andre årsaker, som for eksempel at brukere benytter filopplasteren til å laste opp kode og binaries fra programmering i spesifikke fag som omfatter det?

 

 

Om man laster opp kode skal det lastes opp på en måte som gjør at lærer kan hente ned koden og se igjennom (samt eventuelt kompileres). Den skal aldri kjøres automatisk, hverken for lærer eller andre elever.

 

At man har mulighet for å kjøre kode i kontekst av andre er en sikkerhetsrisiko.Dette åpner for CSRF og annen XSS.

 

Binaries er ikke trygt å laste opp, men det bør også være totalt unødvendig.

 

Nei.

Dette er useriøst.

Jeg håper inderlig det er en i ledelsen som har uttalt seg om dette, og at de nå faktisk går å spør noen kompetente mennesker som kan forklare dem at dette er usikker og tåpelig funksjonalitet.

 

Jeg bare ser for meg den ene fyren som faktisk kan noe som løper febrilsk gjennom gangene fordi han har hørt at sjefen snakker med pressen. Han ankommer endelig kontoret, slenger opp døra og roper "jeg slutter!"

[TechMonster]

itslearning gir brukerne en mulighet til å laste opp filer som kan kjøres ved den angitte lenken man får. Det vil si, du kan laste opp for eksempel "Bilder_tur_klasse5.html" og deretter gi lenken til de som ønsker den.

 

Alle brukerne kan laste opp filer, men det er ikke slik at alle brukerene får tilgang så lenge man ikke har lenken.

 

Med andre ord, får du for eksempel en lenke hvor det står at du er vinneren av itslearning konkurransen, bør du ikke trykke på den lenken.

[Bing123]

Hvis det ser ut som søppel, oppfører seg som søppel, stinker som søppel. Så er det antagelig søppel. It's learning er ekte norsk makkverk

[tHz]

itslearning gir brukerne en mulighet til å laste opp filer som kan kjøres ved den angitte lenken man får. Det vil si, du kan laste opp for eksempel "Bilder_tur_klasse5.html" og deretter gi lenken til de som ønsker den.

 

Alle brukerne kan laste opp filer, men det er ikke slik at alle brukerene får tilgang så lenge man ikke har lenken.

 

Med andre ord, får du for eksempel en lenke hvor det står at du er vinneren av itslearning konkurransen, bør du ikke trykke på den lenken.

 

Og hvis det kommer en lenke som indikerer viktig info for klassen?

spesiell lekse for denne uka?

obligatorisk innlevering?

ferie-info?

nye bursdagsregler? 

 

Skal man ikke klikke på de heller?

 

Itslearning lenker kan dermed inneholde alt fra ransomware til trojanere, og itslearning synes det er helt ok.

 

Ser du ikke et problem med det?

 

Dette er en våt drøm for phising-aktører. 

 

Som sagt tidligere. 

Det er useriøst av en såpass stor aktør.

Endret 26. januar 2018 av tHz

[Ernie]

Grøss og gru. Ikke spesielt imponerende svar fra Itslearning. Riktignok så får vel pipen en annen lyd hvis noen virkelig utnytter dette til noe skadelig.

[TechMonster]

 

itslearning gir brukerne en mulighet til å laste opp filer som kan kjøres ved den angitte lenken man får. Det vil si, du kan laste opp for eksempel "Bilder_tur_klasse5.html" og deretter gi lenken til de som ønsker den.

 

Alle brukerne kan laste opp filer, men det er ikke slik at alle brukerene får tilgang så lenge man ikke har lenken.

 

Med andre ord, får du for eksempel en lenke hvor det står at du er vinneren av itslearning konkurransen, bør du ikke trykke på den lenken.

 

Og hvis det kommer en lenke som indikerer viktig info for klassen?

spesiell lekse for denne uka?

obligatorisk innlevering?

ferie-info?

nye bursdagsregler? 

 

Skal man ikke klikke på de heller?

 

Itslearning lenker kan dermed inneholde alt fra ransomware til trojanere, og itslearning synes det er helt ok.

 

Ser du ikke et problem med det?

 

Dette er en våt drøm for phising-aktører. 

 

Som sagt tidligere. 

Det er useriøst av en såpass stor aktør.

 

 

Skjønner ikke hvorfor folk som er ikke-brukere av plattformen uttaler seg om noe de ikke har peiling om, MEN la meg forklare deg det her:

 

Viktig informasjon gis ikke ved at læreren laster opp filer som html/php/css/js, den informasjonen gis via timeplanen, leksekalender og oppslagene i de forskjellige fagene - det er det kun en lærer som kan legge ut.

 

Hvilken som helst av de punktene du nevnte ovenfor gis infoen fra en plattform hvor kun en læreren kan sende ut. 

 

Men elever kan laste opp eggene filer. De kan dele lenken gjennom privat e-post, facebook osv, men ikke gjennom skolens hovedoppslag eller på en hvilken som helst annen måte distribuere til alle elever. 

 

Her må man selv lære å ikke trykke på lenker hvor det står "Du har en ny lekse til fredag" som havner i e-posten, når man vet at man ikke får leksene på e-post. 

 

Funksjonene til itslearning sparer den norske stat for penger, fordi ellers måtte man bestille tilbudet fra en annen aktør.

 

Elever kan i dag laste opp arbeid og andre IT-filer på plattformer som itslearning (som har trygge servere) enn å enten betale for domene/webhotell eller bruke andre gratis nettsider som lagrer informasjonen i andre land.

[Shruggie]

Eller bare bruke Google Drive eller Microsoft sin rare greie som jeg aldri husker navnet på. Nesten alle skoler har en av de to løsningene.

[tHz]

Skjønner ikke hvorfor folk som er ikke-brukere av plattformen uttaler seg om noe de ikke har peiling om, MEN la meg forklare deg det her:

Det er en påstand som er helt uten faktagrunnlag fra din side. Jeg kan si såpass at jeg har logget på itslearning mange ganger. 

 

Itslearning er også et system som brukes av det offentlige og dermed betales av mine skattepenger.

Hvorfor skulle jeg ikke ha rett til å ytre meg?

 

 

Viktig informasjon gis ikke ved at læreren laster opp filer som html/php/css/js, den informasjonen gis via timeplanen, leksekalender og oppslagene i de forskjellige fagene - det er det kun en lærer som kan legge ut.

 

Hvilken som helst av de punktene du nevnte ovenfor gis infoen fra en plattform hvor kun en læreren kan sende ut. 

 

Men elever kan laste opp eggene filer. De kan dele lenken gjennom privat e-post, facebook osv, men ikke gjennom skolens hovedoppslag eller på en hvilken som helst annen måte distribuere til alle elever. 

 

Her må man selv lære å ikke trykke på lenker hvor det står "Du har en ny lekse til fredag" som havner i e-posten, når man vet at man ikke får leksene på e-post.

 

Jeg tror kanskje at jeg heller forklarer deg det, siden du tydeligvis ikke forstår problemet her.

 

files.itslearning.com har et gyldig sertifikat fra itslearning. Et sertifikat som gjør at klienten kan stole på at det ikke finnes noen man-in-the-middle som kan avlytte eller modifisere sidene. F.eks. legge inn malware under veis. 

Her kan de faktisk legge inn kjørbar kode rett på serveren.

 

En link til itslearning.com har i utgangspunktet tillit av brukerene.

At dere har opprettet et subdomene som er totalt uten kontroll er det ingen andre enn dere som har forståelse for.

Du mener at brukeren ikke bør stole på linker som går til itslearning.com og at brukeren selv skal være klar over subdomene-strukturen og applikasjons-urls for å vite hva han/hun bør ha tillit til. Hvilken linker innenfor itslearning.com kan han/hun stole på og hvilke ikke.

 

Det at dere skyver dette ansvaret over på brukeren er ganske utrolig. 

 

Om files.itslearning.com spurte om påloggingsdetaljer i et phising-angrep, hvor mange prosent tror du ville la seg lure? 

Og det ville være brukerens egen feil i følge itslearning?

 

 

Funksjonene til itslearning sparer den norske stat for penger, fordi ellers måtte man bestille tilbudet fra en annen aktør.

 

En annen aktør kan ikke gjøre dette like bra for samme kostnad? Dere er helt unik og ikke har noen konkurranse på markedet?

 

Elever kan i dag laste opp arbeid og andre IT-filer på plattformer som itslearning (som har trygge servere) enn å enten betale for domene/webhotell eller bruke andre gratis nettsider som lagrer informasjonen i andre land.

Serveren er ikke trygge når man ikke kan stole på de ikke inneholder malware. 

 

At folk kan kjøpe et eget domene og legge ut malware er totalt irrelevant. 

Vet du hvorfor det ikke finnes noen files.skandiabanken.no eller files.vg.no hvor brukere kan legge ut hva de vil?   Det er fordi de respektive firmaene vet verdien av domene sitt og ikke vil la andre kjøre kode der. 

 

 

 

 

 

 

 

[TechMonster]

 

Skjønner ikke hvorfor folk som er ikke-brukere av plattformen uttaler seg om noe de ikke har peiling om, MEN la meg forklare deg det her:

Det er en påstand som er helt uten faktagrunnlag fra din side. Jeg kan si såpass at jeg har logget på itslearning mange ganger. 

 

Itslearning er også et system som brukes av det offentlige og dermed betales av mine skattepenger.

Hvorfor skulle jeg ikke ha rett til å ytre meg?

 

 

Viktig informasjon gis ikke ved at læreren laster opp filer som html/php/css/js, den informasjonen gis via timeplanen, leksekalender og oppslagene i de forskjellige fagene - det er det kun en lærer som kan legge ut.

 

Hvilken som helst av de punktene du nevnte ovenfor gis infoen fra en plattform hvor kun en læreren kan sende ut. 

 

Men elever kan laste opp eggene filer. De kan dele lenken gjennom privat e-post, facebook osv, men ikke gjennom skolens hovedoppslag eller på en hvilken som helst annen måte distribuere til alle elever. 

 

Her må man selv lære å ikke trykke på lenker hvor det står "Du har en ny lekse til fredag" som havner i e-posten, når man vet at man ikke får leksene på e-post.

 

Jeg tror kanskje at jeg heller forklarer deg det, siden du tydeligvis ikke forstår problemet her.

 

files.itslearning.com har et gyldig sertifikat fra itslearning. Et sertifikat som gjør at klienten kan stole på at det ikke finnes noen man-in-the-middle som kan avlytte eller modifisere sidene. F.eks. legge inn malware under veis. 

Her kan de faktisk legge inn kjørbar kode rett på serveren.

 

En link til itslearning.com har i utgangspunktet tillit av brukerene.

At dere har opprettet et subdomene som er totalt uten kontroll er det ingen andre enn dere som har forståelse for.

Du mener at brukeren ikke bør stole på linker som går til itslearning.com og at brukeren selv skal være klar over subdomene-strukturen og applikasjons-urls for å vite hva han/hun bør ha tillit til. Hvilken linker innenfor itslearning.com kan han/hun stole på og hvilke ikke.

 

Det at dere skyver dette ansvaret over på brukeren er ganske utrolig. 

 

Om files.itslearning.com spurte om påloggingsdetaljer i et phising-angrep, hvor mange prosent tror du ville la seg lure? 

Og det ville være brukerens egen feil i følge itslearning?

 

 

Funksjonene til itslearning sparer den norske stat for penger, fordi ellers måtte man bestille tilbudet fra en annen aktør.

 

En annen aktør kan ikke gjøre dette like bra for samme kostnad? Dere er helt unik og ikke har noen konkurranse på markedet?

 

Elever kan i dag laste opp arbeid og andre IT-filer på plattformer som itslearning (som har trygge servere) enn å enten betale for domene/webhotell eller bruke andre gratis nettsider som lagrer informasjonen i andre land.

Serveren er ikke trygge når man ikke kan stole på de ikke inneholder malware. 

 

At folk kan kjøpe et eget domene og legge ut malware er totalt irrelevant. 

Vet du hvorfor det ikke finnes noen files.skandiabanken.no eller files.vg.no hvor brukere kan legge ut hva de vil?   Det er fordi de respektive firmaene vet verdien av domene sitt og ikke vil la andre kjøre kode der. 

 

 

 

 

 

 

 

 

Ser ut som du kun ønsker å diskutere enn å lære deg litt fornuft. 

 

Men det siste argumentet ditt var så cancer at dette bør du vite (ellers er det bare trist):

Brukerne av files.skandiabanken.no og files.vg.no har ikke behov for å laste opp dokumenter.

 

Også bør du vite at det finnes sider som ikke er trygge og har gyldig sertifikat - så rett og slett kan man ikke stole på alle nettsider.

 

Og helt til slutt: Kan ikke du komme med et eksempel på en annen aktør som gjør det samme, med sertifikat, høy sikkerhet og ikke mister verdigheten av sitt domene om elever laster opp filer som kan være farlige og ikke glem at det MÅ ha integrert feide innlogging?

[tHz]

Ser ut som du kun ønsker å diskutere enn å lære deg litt fornuft. 

 

Men det siste argumentet ditt var så cancer at dette bør du vite (ellers er det bare trist):

Brukerne av files.skandiabanken.no og files.vg.no har ikke behov for å laste opp dokumenter.

 

Også bør du vite at det finnes sider som ikke er trygge og har gyldig sertifikat - så rett og slett kan man ikke stole på alle nettsider.

 

Og helt til slutt: Kan ikke du komme med et eksempel på en annen aktør som gjør det samme, med sertifikat, høy sikkerhet og ikke mister verdigheten av sitt domene om elever laster opp filer som kan være farlige og ikke glem at det MÅ ha integrert feide innlogging?

 

 

Fantastisk nedlatende holdning du har til å være så blank på it-sikkerhet.

 

Jeg er fullstendig klar over at skandiabanken og vg ikke har behov for å laste opp dokumenter. Jeg forsøkte å illustrere at det er svært unormalt å la brukere laste opp kjørbare kode for andre innloggede brukere på sitt domene.

Jeg skjønner nå at du overhode ikke forstår problemstillingen, og at det skipet har forlatt havnen. Men du trenger ikke stole på en tilfeldig person på et forum. Jeg anbefaler deg å ta kontakt med noen du kjenner (eller en proff) som kan it-sikkerhet og spørre de hva de mener. Jeg kan garantere deg at de vil si det er en svært dårlig ide. 

 

Spesielt når en stor del av brukerene er unge elever som ikke kan forventes å forstå at files.itslearning.com/login.aspx?Feide er en phishing side med gyldig itslearning sertifikat.

 

 

 

 

...så rett og slett kan man ikke stole på alle nettsider.

 

Hele poenget her er at itslearning.com ikke bør være på listen over nettsider man ikke kan stole på...   

 

Det er lett å få et sertifikat for et domene, men det er kun itslearning som kan tildele sertfikater på subdomener av itslearning.com 

Brukere stoler på at itslearning ikke inneholder phishing, malware eller lignende. Igjen, jeg forstår at du overhode ikke klarer å sette deg inn i problemstillingen, så jeg gir opp.

 

Når det gjelder eksemplet du etterspør så vet jeg ikke helt hva du vil frem til. Er det besparelsen du forsøker å forsvare?

At dere har høy sikkerhet og feide innlogging, og det kan ingen annen aktør konkurrere med?