Gå til innhold

Webkafeen

enden

Av enden
i Programmering og webutvikling

Anbefalte innlegg

Videoannonse

Videoannonse
Annonse
Dahl

Dahl

Skrevet
Skrevet (endret)

http://blink.dagbladet.no/phpinfo.php

 

Hihi.

 

Over til noe mer seriøst: Som det kommer frem av PHPinfo til Blogging.no benyttes Basefarm sine servere (db-cgi.osl.basefarm.net). Dette er fra samme selskap som hoster Dagbladet.no, Blink.no og flere andre store nettsteder. I følge samme PHPinfo-fil kjører disse serverne på PHP 4.3.11 med Zend Engine 1.3.0, Oracle 9.2.0 og Apache 1.3.33. Samtlige av disse er utdatert, og har en rekke alvorlige sikkerhetshull. For å vite hvordan man skal utnytte disse er det bare å se på POC-kode og changelog.

 

Med andre ord skal det ikke være vanskelig å utføre et angrep mot samtlige av Basefarm sine servere, og potensielt ta ned flere av de største nettsidene i Norge. Hvordan i all verden skal Basefarm klare å forsvare dette? Selskapet burde politianmeldes for inkompetanse.

Endret av Dahl
Lenke til kommentar
Bolson

Bolson

Skrevet
Skrevet
http://blink.dagbladet.no/phpinfo.php

 

Hihi.

 

Over til noe mer seriøst: Som det kommer frem av PHPinfo til Blogging.no benyttes Basefarm sine servere (db-cgi.osl.basefarm.net). Dette er fra samme selskap som hoster Dagbladet.no, Blink.no og flere andre store nettsteder. I følge samme PHPinfo-fil kjører disse serverne på PHP 4.3.11 med Zend Engine 1.3.0 og Apache 1.3.33. Samtlige av disse er utdatert, og har en rekke alvorlige sikkerhetshull. For å vite hvordan man skal utnytte disse er det bare å se på POC-kode og changelog.

 

Med andre ord skal det ikke være vanskelig å utføre et angrep mot samtlige av Basefarm sine servere, og potensielt ta ned flere av de største nettsidene i Norge. Hvordan i all verden skal Basefarm klare å forsvare dette? Selskapet burde politianmeldes for inkompetanse.

8211237[/snapback]

 

Send en lite tips til nyhetsavdelingene i NRK, TV2 og enkelte konkurrerende aviser om saken, og hvilke mulige sikkerhetshull som er åpne. Kanskje det gjør at noen våkner

 

Jeg hadde samme tanke vedrørende versjoner (lenge siden jeg hadde noe på disse versjonene), hvorfor har de ikke oppgradert. 4.3.11 ble lansert 31.3.2005 og ver. 4.4.0 den 11.6.2005 (gjeldende er 4.4.6). Apache er 1.3.37 som siste.

 

De kjører faktisk med Linux 2.6.9 kjerne, er det ikke 2.6.19++ som er gjeldende versjon.

 

Men spørsmålet er vel om de ikke har utviklet applikasjoner som nesten gjør det umulig å oppgradere (patche) på en effektiv og enkel måte.

Lenke til kommentar
Matsemann

Matsemann

Skrevet
Skrevet
Med andre ord skal det ikke være vanskelig å utføre et angrep mot samtlige av Basefarm sine servere, og potensielt ta ned flere av de største nettsidene i Norge. Hvordan i all verden skal Basefarm klare å forsvare dette? Selskapet burde politianmeldes for inkompetanse.

8211237[/snapback]

Nybegynnerfeil virker det som. Eller de tenker at så lenge det virker trenger de ikke gjøre noe. Men utviklingen går liksom fremover da...

 

Å politianmelde noen for inkompetanse hadde vært rimelig kult, hehe :!:

Lenke til kommentar
Vindstille

Vindstille

Skrevet
Skrevet
Fant følgende i skolens PC-reglement:
3.3.2 Kontroller

....

Det anbefales at elevene ikke oppbevarer filer av personlig karakter på PC-en.

...Eleven skal, om mulig, varsles før eventuelle filer blir slettet.

Er det virkelig lovlig for skolens IKT-avdeling å se samtlige dokumenter jeg har på maskinen? Riktignok er det ikke min maskin, men vi betaler leie for den. Jeg har selvsagt dokumenter av personlig karakter på den eneste laptopen jeg bruker daglig...

8210557[/snapback]

Hørtes fryktlig strengt ut. Hvilken skole er det snakk om?

 

Vis jeg var deg ville jeg klaget på det. Jeg ser ingen grunn til at de skulle ha behov for å snoke i pcene deres, spesielt vis dere faktisk må betale for dem. Og slik jeg ser det er det mye verre enn overvåkingskameraer på gata og at ledere kan snoke i ansattes epost (Det er så vidt jeg vet ikke lov å snoke i epost som ser ut til å være privat. Selv om den ligger på arbeidsgivers server.)

 

Dessvere har nok skolen loven på sin side vis du har undertegnet på det (foresattes underskrift kreves kun vis du er under 15 år. Se VG sin artikkel).

Lenke til kommentar
Dahl

Dahl

Skrevet
Skrevet
Hørtes fryktlig strengt ut. Hvilken skole er det snakk om?

8211602[/snapback]

Nesodden Videregående Skole.

 

Hvis jeg får et svar fra Datatilsynet som kan tyde på at det er ulovlig, så har jeg absolutt ingenting imot å politianmelde skolen. Det gjør jeg mer enn gjerne. :)

Lenke til kommentar
Matsemann

Matsemann

Skrevet
Skrevet
Hvis jeg får et svar fra Datatilsynet som kan tyde på at det er ulovlig, så har jeg absolutt ingenting imot å politianmelde skolen. Det gjør jeg mer enn gjerne. :)

8211626[/snapback]

Hvilken nytte har de av å se igjennom alle filene dine? Vel, du kan jo for morro skyld sette opp et batch-script eller lignende som generer tusenvis av filer, eller med php for den saks skyld ;)

 

Det er ihvertfall ikke måten å oppdage juks på. Da er det bedre med juksefiltre som It's Learning har. Den sjekker opp tekstene mot daria, wikipedia og alt mulig annet på nettet, og viser læreren hva som er likt.

Lenke til kommentar
Vindstille

Vindstille

Skrevet
Skrevet
Hørtes fryktlig strengt ut. Hvilken skole er det snakk om?

8211602[/snapback]

Nesodden Videregående Skole.

 

Hvis jeg får et svar fra Datatilsynet som kan tyde på at det er ulovlig, så har jeg absolutt ingenting imot å politianmelde skolen. Det gjør jeg mer enn gjerne. :)

8211626[/snapback]

Ta i hvert fall å lag en stor sak om det på HW.no (kanskje flere store aviser/mediakanaler følger etter). Uansett om det er lovlig eller ikke er det grovt krtikkverdig at man ikke for lov å ha litt privatliv på sin egen pc.

Lenke til kommentar
Dahl

Dahl

Skrevet
Skrevet
Ta i hvert fall å lag en stor sak om det på HW.no (kanskje flere store aviser/mediakanaler følger etter). Uansett om det er lovlig eller ikke er det grovt krtikkverdig at man ikke for lov å ha litt privatliv på sin egen pc.

8211677[/snapback]

Spørsmålet er om det ikke er i strid med Vær Varsom-plakatens punkt 2.4:

Redaksjonelle medarbeidere må ikke utnytte sin stilling til å oppnå private fordeler.

 

På den andre siden sier punkt 1.4 dette:

Det er pressens rett å informere om det som skjer i samfunnet og avdekke kritikkverdige forhold. (...)

 

(Jeg går ut ifra at du tenkte at jeg skulle skrive saken selv.)

Lenke til kommentar
Vindstille

Vindstille

Skrevet
Skrevet (endret)
(Jeg går ut ifra at du tenkte at jeg skulle skrive saken selv.)

8211716[/snapback]

Ikke nødvendigvis nei. Du kan jo få en annen ansatt til å skrive artikkelen eller skrive et leserbrev/lederartikkel om saken hvor det går klart frem at det er du som mener dette.

 

EDIT: Ellers kan du jo ta det opp med elevrådet og evt. ha en underskriftskampansje. (Går ut fra at de fleste hadde skrevet under)

 

EDIT: Er ikke denne paragrafen i PC-reglementet deres litt motstridene:

3.3 Personvern

Alle brukere har krav på at deres personvern og integriteten til deres data ikke krenkes av skolen. Skolen skal også bidra til å beskytte brukernes integritet slik at informasjon og personlige data ikke blir misbrukt eller krenket utenfra.

 

EDIT3: Dahl: Jeg tror du nettop brøt en av Cyperspace-reglene deres :tease:

1. Du må aldri fortelle noen du ikke kjenner på Internett hva du heter, hvor du bor eller hvilken skole du går på
Endret av JonT
Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste
×
×
  • Opprett ny...