'Fok-hacker biedt naw-gegevens uit databases te koop aan'

Reacties

« 1 2 3 4 5 6 7 »

Door oXygeN, zaterdag 5 september 2009 10:59

Eh ja, en nu? Peter R. de Vries erbij ofzo?

Door Xoindotnler, zaterdag 5 september 2009 11:31

Zou niet eens gek zijn om hem even face to face uitteleggen wat zijn daden voor impact hebben. Als hacker(voor de gene die zeggen dat het een cracker is lees cracker) zijnde kan je al snel vergeten dat je andere personen enorm in de problemen duwt.

Door Dutchphoto, zaterdag 5 september 2009 12:11

In dit geval is het volgens mij ook een "cracker"nu hij wel kwade bedoelingen schijnt te hebben. Iets dat in het eerdere artikel niet het geval bleek te zijn.

De tekst hierboven "Deze hacker kiest er bewust niet voor on ernstige schade aan te richten omdat hij een GREY HAT HACKER is" is door dit laatste bericht dus niet bewaarheid.Hij is nu fout en strafbaar bezig.

Door Gomez12, zaterdag 5 september 2009 12:44

Tja, toch wel grappig om te zien dat er altijd geschreeuwd wordt over het verschil tussen hacker / cracker.
Maar als puntje bij paaltje komt hangt het grotendeels af van wat de hacker zelf zegt, latere ontdekkingen kunnen het toch blijkbaar weer veranderen...

Door Kevinp, zaterdag 5 september 2009 14:08

Niet wat de hacker zelf zegt, maar van wat de hacker zelf doet.

Ik zou ook niet zeggen dat ik kwade bedoelingen heb, maar als ik dan toch zoiets doe valt dat natuurlijk om.

Door JoJo_nl, zaterdag 5 september 2009 14:19

buiten het feit dat het een hoop uren kost en geld om het lek op te zoeken en te dichten. wat al tijden er voor niet nodig is geweest.
het is natuurlijk van de zotte dat je als gedupeerde de schuld krijgt omdat je geen 10000 euro hebt voor een betere beveiliging. dat is net zoiets als een inbreker vrijspreken omdat men 5 van de 10 sloten niet op slot heeft gedaan ten tijde van het gebeuren.

Door dukegoryan, zaterdag 5 september 2009 18:23

Bij een goed softwareontwerp en een nette implementatie zijn er geen grote veiligheids lekken, Als je NAW gegevens verzamelt moet je weten waar je mee bezig bent en moet je niet nalatig zijn in het beschermen van deze gegevens, uiteraard is de hacker ook geen lievertje, maar een relatief simpel iets als een sql injectie moet niet mogelijk zijn.

Door Chatslet, zondag 6 september 2009 11:13

Je bent eenvoudigweg afhankelijk van de software die je gebruikt. Denk je alles dicht te hebben en blijkt er vervolgens een 0-day exploit voor je firewall te zijn dan kun je best wel eens het zaadje zijn. Jouw schuld? Jij hebt toch die firewall uitgekozen omdat hij in jouw degelijke ontwerp paste?

Door kimborntobewild, maandag 14 september 2009 09:28

maar een relatief simpel iets als een sql injectie moet niet mogelijk zijn.

De meeste webmasters weten daar niks over, laat staan dat ze 't zelf kunnen dichten zonder een expert in te schakelen.

en moet je niet nalatig zijn in het beschermen van deze gegevens

Dat klopt in elk geval wel. En dat houdt in dat je geen gegevens moet verzamelen als je zulke zaken als QDL-injecties niet kent. 'T probleem is natuurlijk dat men niet weet dat er iets is wat men zou moeten weten.
Dus zou je misschien eerst een vergunning moeten hebben wil je een website op mogen zetten waarmee je NAW-gegevens verzamelt. Zo'n vergunning krijg je dan alleen als je de nodige technische kennis hebt. Heb je niet zo'n vergunning en wil je toch NAW-gegevens verzamelen, dan zal je dus een specialist in _moeten_ huren die wel zo'n vergunning heeft.

Bij een goed softwareontwerp en een nette implementatie zijn er geen grote veiligheids lekken

Euhm... Zo lang er een veiligheidslek over is - klein of groot - is er een lek die er niet zou mogen zijn. En vaak zit 't lek ook 'extern': in code van iemand anders of in software om de applicatie heen (zoals een besturingssysteem).

Door Dutchphoto, zaterdag 5 september 2009 20:25

Niet wat de hacker zelf zegt, maar van wat de hacker zelf doet.

Juist zoals ik ook al aangaf in m'n reply hierboven.en discussie daarover is dus onnodig.

Door Jaco69, zaterdag 5 september 2009 14:39

Een hacker is een naam voor iemand die code genereert of aanpast, dus ook een normale programmeur.
Als je in sites inbreekt ben je altijd een cracker of je nu goede bedoelingen hebt of niet.

Volgens mij dan.

Door mariusjr, zaterdag 5 september 2009 14:45

volgens mij niet.

Door _Thanatos_, zaterdag 5 september 2009 15:13

Iets algemener eigenlijk: een hacker is iemand die onoplosbaar lijkende problem kan oplossen. Een programmeeur kan dus een hacker zijn, maar een sysadmin ook.

Als je op sites inbreekt, is het nog maar de vraag of je het inbreken mag noemen. In veel gevallen heet het eerder "binnensluipen", gezien de afwezigheid van goeie beveiliging. Dat mag ook niet, maar het is wel heel iets anders.

Dan nog de kwestie of je dingen kapot maakt of gevoelige info downloadt. Dát heeft weer niets met hacken of cracken te maken, omdat je dan allang binnen bent. Dan zouden je moralen in moeten kicken, die je zeggen "doe dit nou niet".

Door !GN!T!ON, zaterdag 5 september 2009 16:49

hacker betekend volgens mij leraar letterlijk "iemand die iets gebruikt voor een doel waar het voorwerp of ding origineel niet voor is gemaakt"

Door Blackbird-ce, zaterdag 5 september 2009 17:52

Voor zover ik het ken zijn er verschillende "categorieën" hackers:

1) White-hat hackers: deze mensen proberen door beveiligingen heen te komen om het product er beter te van te kunnen maken. Normaliter is dit ook volkomen met medeweten én toestemming van de eigenaar van het systeem.

2) Grey-hat hackers: Zelfde idee, maar dan zónder de toestemming en medeweten van de eigenaar. Deze mensen willen aantonen dat er iets niet helemaal goed zit.

3) Black-hat hackers: De mensen die de term "hacker" een slechte naam hebben gegeven (oorspronkelijk ook "cracker" als ik het me goed herinner). Crackers zijn degenen die met kwade bedoelingen door de beveiliging heen proberen te komen.

Door Dutchphoto, zaterdag 5 september 2009 20:30

Voor zover ik het ken zijn er verschillende "categorieën" hackers:

3) Black-hat hackers: De mensen die de term "hacker" een slechte naam hebben gegeven (oorspronkelijk ook "cracker" als ik het me goed herinner). Crackers zijn degenen die met kwade bedoelingen door de beveiliging heen proberen te komen.

Ik kan me niet voorstellen dat hij die kwade bedoelingen al niet had toen hij FOK plat legde. Hij wist het zelf nog niet maar toen was ie al een cracker Hij had, naar nu blijkt dus geen idealistische idee-en.

Door Clementine, zondag 6 september 2009 01:00

Jij haalt nu 2 verschillende nieuwsberichten door elkaar.

Hij heeft gegevens gestolen van Fok en heeft dit gemeld.

Hierna zijn er een paar websites offline gegaan waaronder Fok maar dit is nooit gelinkt aan deze hacker/cracker of hoe je hem ook dient te noemen.

@ nieuwsbericht:

Iedereen is te koop. Als er maar genoeg geld wordt geboden hapt iemand vanzelf.

Daarnaast heeft iedereen het erover dat het raar is dat iemand die 15 is dit voor elkaar krijgt. Hopelijk worden deze mensen binnenkort eens wakker en komen ze erachter dat dit DE mensen zijn waar we tegenwoordig voor op moeten passen!

Als er niks aan gedaan wordt (hij is echt niet de enige, het zijn er een hoop) hebben we in 5 jaar een GROOT probleem qua cyber criminaliteit.

[Reactie gewijzigd door Clementine op zondag 6 september 2009 01:07]

Door bjokke, zondag 6 september 2009 09:10

En tot welke soort behoort een kernel hacker?

Door Goderic, zondag 6 september 2009 14:24

Black-hat hacker, aan een kankergezwel werk je alleen mee als je kwade bedoelingen hebt hoor

Door martijnsch, zondag 6 september 2009 23:11

Nu begin ik me af te vragen waar de naam RedHat vandaan komt.

Door Rizon, zaterdag 5 september 2009 19:36

Kom dat hele hacker en cracker gedoe is zo oud. De oude hackers noemen we gewoon tweakers, het andere boeltje kunnen we dan mooi in een pot nat steken en naar de ruimte sturen.

Door BoringDay, zaterdag 5 september 2009 23:07

Waarom jat hij dan een hele database?

Er is degelijk wel schade want je kan niet nagaan wat hij met de gegevens doet of gedaan heeft.

Normaal zal een hacker alleen aangeven dat het systeem niet waterdicht is om de site beheerder op zijn hoede te laten zijn.

Gelukkig is de techniek zo dat hij vrij eenvoudig moet te achterhalen zijn.
Naast zijn IP adres laat hij ook zijn Mac-adres gegevens achter welke weer oproepbaar zijn bij providers. So there is a trail!

Door bjokke, zondag 6 september 2009 09:18

Euh, een mac-addres kan je ook verbergen/wijzigen.

http://www.alobbs.com/macchanger & http://www.klcconsulting.net/smac/

Door Maikel_1976, zondag 6 september 2009 12:55

Euh, niet om het een of ander hoor, maar toen ik bij een hardwarefabrikant werkte hadden alle experimentele het mac adress 00-00-0E-00. Die dingen werden om kosten te besparen omgebouwd tot kantoormachines, waardoor ze niet achter 1 switch konden, ik stuurde vanaf mijn prive-mail naar realtek een mailtje met dit probleem, en die kwam 2 weken later terug, met de flashtool voor de hele realtek serie als bijlage en een hele hoop chinees gelul ertussen. Aan het einde van de flashprocedure kon je het macadres handmatig ingeven, en die was geschikt voor ongeveer elke realtek 10/100 chipset op de markt. Je hoeft dus niet eens moeilijk te doen.

Verder denk ik dat iemand die zoiets bewust doet niet zo dom is om een zak met geld ergens achter een boom te laten gooien.

[Reactie gewijzigd door Maikel_1976 op zondag 6 september 2009 13:02]

Door compufreak88, maandag 7 september 2009 10:04

IIRC, wordt een mac adres nooit meegestuurd. Die verdwijnt al na de eerste router.

Door Nickname55, zaterdag 5 september 2009 13:02

Het gaat hier om een jochie van 15 jaar. Als je site zodanig in elkaar zit dat zo'n kind em kan kraken, denk ik dat het eerst eens tijd word om wat docs over beveiliging te gaan lezen en stevig te sleutelen aan je site.

Het hele verhaal stond gister online op FOK!. Ik snap er niks van, volgens mij hebben ze het inmiddels offline gehaald, ik kan het niet meer vinden. Als ik de pagina vanuit mn browsergeschiedenis open, zegtie: "Op deze URL kon geen review worden gevonden. Ga terug en probeer een andere link."

[Reactie gewijzigd door Nickname55 op zaterdag 5 september 2009 13:20]

Door Jaco69, zaterdag 5 september 2009 14:40

Jochies van 15 hebben veel meer tijd beschikbaar dan iemand met een voltijdbaan en een sociaal leven.

Door YopY, zaterdag 5 september 2009 21:38

Iemand met een voltijdbaan en een sociaal leven (de mensen die de software voor Fok enzo schrijven) hebben veel meer ervaring en kennis van - bijvoorbeeld - het schrijven van veilige code dan iemand van 15, mag ik aannemen / hopen.

Door Zanthr, zondag 6 september 2009 07:23

Ja, want die jochies werken bijna nauwelijks (?) en die hebben geen sociaal leven (???).

Door Maikel_1976, zondag 6 september 2009 12:56

Idd toen ik 15 was had ik genoeg tijd om urenlang ultima en privateer te spelen. Kan nu echt niet meer, al vind ik het terugkijken leuk.

Door Darun1a, zaterdag 5 september 2009 23:57

Wat een onzin. Misschien is die gozer van 15 wel iemand met ontzettend veel talent. Op basis van iemands leeftijd kan jij niet bepalen wat iemand wel en niet kan.

Door PaddoSwam, zaterdag 5 september 2009 11:34

Ik ga toch ook niet de straat op met allemaal messen en pistolen om me te beschermen?

Leuke opmerking, alleen dit is meer het niveau van raam half open laten staan, of voordeur met sleutel aan de achterkant er nog in.

Door PuzzleSolver, zaterdag 5 september 2009 11:51

SQL injection is toch iets waar je al wat moeite voor moet doen. Je moet al gaan uitzoeken hoe de database er uit ziet voordat je er iets mee kan.

Dit valt dan ook niet te vergelijken met een open raam of voordeur met de sleutel er nog in aangezien er redelijk wat kennis nodig is.

Er worden hier diensten aangeboden, dat valt ook niet te vergelijken met een huis, eerder een postkantoor. En dan komt er een hacker over de balie heen en jat de rolodex van iemand z'n buro om die vervolgens te verkopen

Door dfader, zaterdag 5 september 2009 11:56

Neuh, volgens mij kun je in MySQL (waar het ongetwijfeld onder draait) gewoon een statement uitvoeren die alle tabellen returned. Weet even niet uit mijn hoofd welke, maar het kan ongetwijfeld.

Door kluyze, zaterdag 5 september 2009 14:06

En wat ben je daar mee. Dan moet de achter liggende code al heel slecht geschreven zijn, als die dan ook nog eens die tabellen gewoon in de html code plaatst.

Wat eerder gebeurt is denk ik dat er een statement wordt gebruikt als
"INSERT INTO users Username="dummy", Password="", Type=Admin;
Iets als
SHOW DATABASES; en SHOW TABLES;
gaat natuurlijk niet lukken als je code een kolom 'Artnr' of zo verwacht. Nuja, het zou me ook niet verbazen dat er code bestaat die zelfs daar geen rekening mee houdt. Maar toch ...

Door plempkat, zaterdag 5 september 2009 15:40

Zelfs dan is het in veel gevallen nog mogelijk: door het overblijvende gedeelte van de query uit te commenten kun je queries op specifieke kolommen wegfilteren. Als het specifieke kolom gedeelte voor de SQL-injectie komt kun je de query simpelweg altijd naar true laten evalueren en een tweede query uitvoeren.

Door mokkol, zaterdag 5 september 2009 12:03

valt wel mee. waarschijnlijk zit het in de tabel users

maar als je niet voor sql injectie beveiligd ben.... dat is gewoon dom..... en dan verdien je het om gehackt te worden

Door Little Penguin, zaterdag 5 september 2009 12:10

En wat te denken van het hashen van de wachtwoorden, bij voorkeur met een salt - want alleen hashen is niet meer voldoende. Mocht je er echter een salt aan toegevoegd hebben wordt het een stuk lastiger om iets met de hash te doen.

Maar goed, het begint bij het ontwerp en dna moet je inderdaad voorbereid zijn op SQL-injection...

Door mokkol, zaterdag 5 september 2009 12:17

als ze nog geeneens beveiligd zijn met sql injectie.... dan zullen de passwords ook wel niet beveiligd zijn inderdaad..... ik hoop niet voor fok dat ze hun passwords ongehashed opslaan

je kan het proberen door wachwoord vergeten te klikken en kijken of ze je wachtwoord meesturen in de mail

Door watercoolertje, zaterdag 5 september 2009 12:19

Nou er zal wel minimaal een MD5je gebruikt worden lijkt me, dat wordt al aangeraden bij de meeste noobachtige tutorial die ik kon vinden

Door mokkol, zaterdag 5 september 2009 12:30

ik betwijfel het... helemaal omdat ze nu password resets hebben gedaan

wat natuurlijk ook gedaan moet worden al waren de passwords wel goed beveiligd

Door GhostShinigami, zaterdag 5 september 2009 13:15

van wat ik uit de berichtgeving op fok zag, was het MD5, en zijn ze gereset voor a: nieuwe hash methode (sha1 uit me hoofd maar of het met salt was weet ik niet!) en b) gezien alle hashes bekend waren is het gewoonweg niet veilig deze te houden. dus een password reset na zo'n hack is niet meer dan normaal.. lastig voor je "klanten" maar nodig.

Door Kazu, zaterdag 5 september 2009 16:21

De wachtwoorden waren ook alleen met een MD5 hash opgeslagen in de database. Maargoed, MD5 is tegenwoordig zo makkelijk te kraken dat je het net zo goed in plain text kan opslaan.

Door wica, zaterdag 5 september 2009 17:32

beveiling van je php code / sql code wordt vaak pas in hoofdstuk 12 behandelt. Meeste mensen komen niet verder dan hooofdstuk 4 en denken dan te kunnen programmeren.

Zelfde geld voor cursussen, beveiliging is vaak een apparte cursus, jammer genoeg.

[Reactie gewijzigd door wica op zaterdag 5 september 2009 19:37]

Door Memori, zaterdag 5 september 2009 12:50

En wat dacht je van persoonsgegevens? Eigenlijk zouden deze gegevens ook geëncrypt moeten worden. Het probleem is dat je dus geen md5 of sha# kan gebruiken. Dus je zult zelf iets in elkaar moeten zetten d.m.v. een xor tabel bijvoorbeeld.

Vooral bij de adresgegevens kun je hiermee heel ver gaan, aangezien deze gegevens niet continu opgevraagt worden, en de pc dus niet continu deze gegevens hoeft te decoden.

Iets wat xor'd is kan gemakkelijk worden gekraakt door de gemiddelde reverser, maar het maakt het wel moeilijker voor de "cracker". (in mijn ogen is het een script kiddie maar goed)

@dukegoryan: Ja dat is een mogelijkheid. En het toepassen van xor d.m.v. een sleutel is geen security: De data die de hacker heeft is omkeerbaar en dat betekend dus dat de persoonsgegevens op straat liggen. Maar er bestaat wel een kans dat de hacker geen succes heeft met het decoderen van de gegevens, en besluit op te geven.

[Reactie gewijzigd door Memori op zaterdag 5 september 2009 14:23]

Door dukegoryan, zaterdag 5 september 2009 13:42

Klinkt mij als security through obscurity, XOR is gewoon een omkeerbare bewerking, of wil je de sleutel ergens anders bewaren dan in de database ?

Door white modder, zaterdag 5 september 2009 18:17

verdien je het om gehackt te worden? Als jij ongewapend en zonder kogelvrij vest op straat rondloopt, verdien je dan om neergeschoten te worden?

Sommige mensen kunnen het zich nu eenmaal niet veroorloven van veel tijd en geld te steken in beveiligingen. Toch kan het zijn dat deze mensen iets nuttig aan onze gemeenschap kunnen bieden via het internet. Ik denk niet dat het de bedoeling kan zijn dat ze daarom maar gehacked moeten worden. Je oma mag toch ook nog het straat op met de auto, ondanks dat haar reacties niet meer goed zijn etc...?

Door Zer0, zaterdag 5 september 2009 20:04

Sommige mensen kunnen het zich nu eenmaal niet veroorloven van veel tijd en geld te steken in beveiligingen

Als dat zo is dan moet je geen privacy-gevoelige informatie van anderen op gaan slaan.
^{btw, Oma moet na haar 70e medisch gekeurt worden bij elke vernieuwing van haar rijbewijs}

Door bjokke, zondag 6 september 2009 09:39

Nee, je ziet het verkeerd. Als je thuis vertrekt en je laat een venster tegenstaan. Zal niemand dat zien, dus ben je relatief veilig.

Maar als er iemand per ongeluk tegenkomt, gaat het open. Ook kan iemand aan alle vensters gaan voelen, als hij een vermoeden heeft.

Eenmaal het venster openstaat, hang het er van af wie er in de buurt is of er al dan niet wordt ingebroken.

Dus: Ja, de dief is in fout en verdient een "straf". Maar, had jij je raam gesloten, dan was hij niet binnen geweest. Dan speelt dan weer een rol voor de verzekeraar, die de polis zal verhogen ...

Edit: Sorry, blijkbaar was iemand me voor.

[Reactie gewijzigd door bjokke op zondag 6 september 2009 09:45]

Door Spacecowboy, zaterdag 5 september 2009 14:08

Naar aanleiding van deze Fok hack heb ik er eens over zitten lezen, en e.e.a. geprobeerd op een test db. Het valt mee hoeveel moeite moet doen (uiteraard kost het tijd, maar uiteindelijk lukt het).

Het is wel een kwalijke zaak dat de gemiddelde website beheerder tegenwoordig zo weinig kaas heeft gegeten van security. Het is vrij voor de hand liggend dat er een heleboel schimmige personen er een boel tijd, geld en moeite voor over hebben om een database met persoonsgegevens te bemachtigen. Bedrijven en personen die zich dat niet voldoende relaiseren zijn in mijn ogen slecht en érg dom bezig...

Door Rick2910, zaterdag 5 september 2009 19:05

Het is naar mijn idee ook niet zo'n slimme hacker. Hij heeft geen proxy gebruikt tijdens de hack, en hij gebruikt een Hotmail account waar gewoon zijn IP adres in de X-OriginatingIp header wordt meegestuurd.
Uiteraard kan hij ook best geen kwaad in de zin hebben, maar dat is een aanname en aannames zijn gevaarlijk.

Door maartend, zaterdag 5 september 2009 11:56

/Quote on
Leuke opmerking, alleen dit is meer het niveau van raam half open laten staan, of voordeur met sleutel aan de achterkant er nog in.
/Quote off

Ja, en dan? Geeft dat een ander recht om binnen te koem?

Niet dus en aan die onzinnige gedachte wens ik ook niet mee te doen

[Reactie gewijzigd door maartend op zaterdag 5 september 2009 11:57]

Door Zcuu, zaterdag 5 september 2009 12:12

Welkom in de niet perfecte wereld, een wereld waarin rotte appels leven. Dat wil zeggen dat het zowel fout is van de inbreker om in te breken. Maar dat het ook fout is van de huiseigenaar om naïef te zijn en lekker de ramen open te laten staan.

Vertaling:
De hacker is strafbaar bezig, maar een site-eigenaar moet zeker ook alle maatregelen treffen dat er niet word ingebroken. Beide hebben dus blaam.

Zijn er trouwens wetten met betrekking tot de beveiliging van persoonlijke informatie op websites?

Door kramer65, zaterdag 5 september 2009 13:23

Ik vind zowel de vergelijking met de wapens, als de vergelijking met het raam open laten in je eigen huis niet helemaal correct. Je ramen open in je eigen huis is niet slim, maar het gaat nog altijd om je EIGEN spullen en gegevens.

Ik zou het eerder vergelijken dat je een heel groot archief met allemaal persoonlijke info van een grote groep mensen in je woonkamer hebt staan EN het raam open te laten staan. In dit geval vind ik dat onacceptabel omdat je niet alleen info van jezelf gevaar laat lopen, maar de info van anderen. En dat jij de info van anderen beheerd geeft je toch wel een bepaalde verantwoordelijkheid vind ik.

Door bjokke, zondag 6 september 2009 10:49

Zijn er trouwens wetten met betrekking tot de beveiliging van persoonlijke informatie op websites?

in België is er deze wet
Art16 §4 zegt:

Om de veiligheid van de persoonsgegevens te waarborgen,
[moeten de verantwoordelijke voor de verwerking, en in voorkomend geval zijn vertegenwoordiger in België, alsmede de verwerker, de gepaste technische en organisatorische maatregelen treffen die nodig zijn voor de bescherming van de persoonsgegevens] tegen toevallige of ongeoorloofde vernietiging,
tegen toevallig verlies, evenals tegen de wijziging van of de
toegang tot, en iedere andere niet toegelaten verwerking van
persoonsgegevens.
Deze maatregelen moeten een passend beveiligingsniveau
verzekeren, rekening houden, enerzijds, met de stand van de
techniek terzake en de kosten voor het toepassen van de
maatregelen en, anderzijds, met de aard van de te beveiligen
gegevens en de potentiële risico's.
Op advies van de Commissie voor de bescherming van de
persoonlijke levenssfeer kan de Koning voor alle of voor bepaalde
categorieën van verwerkingen aangepaste normen inzake
informaticaveiligheid uitvaardigen.

In Nederland zal dat wel niet zo veel verschillen (denk ik).

Als programmeur/beheerder/... moet je doen wat jij noodzakelijk acht gezien de risico's. Als er ooit een zaak van komt, is het aan de rechter om uit te maken of de gegevens voldoende beschermd zijn.

Over de invulling heeft natuurlijk iedereen zijn eigen mening.

Door cobis taba, zaterdag 5 september 2009 12:40

Nee, maar dat beweerde hij dan ook niet

. De eigenaar van gratisoptehalen.nl maakt echter ook en vergelijking die niet terecht is. Hij vind het zot dat je jezelf tegenwoordig moet beveiligen met van alles en nog wat, en of hij daar nu gelijk in heeft of niet, je raam open laten staan wordt door de meeste van ons ook als "niet bijster slim" ervaren

Door JoJo_nl, zaterdag 5 september 2009 13:22

ik wil nie veel zeggen , maar als je databases met persoonsgegevens wil gaan verkopen ... dan is dat gewoon gestolen spul helen.

Door GreatDictator, zaterdag 5 september 2009 15:18

Ik denk dat de gemiddelde spammer daar niet zo mee zit.

Door white modder, zaterdag 5 september 2009 19:44

je raam open laten staat is niet bijster slim. Ik dacht dat niet iedereen airco heeft op een warme dag/nacht

en dat geld net zo voor de beveiliging van sites etc.. Niet iedereen heeft het geld en de tijd, kennis en inzicht, om hun site volledig te beveiligen.

Niet iedereen heeft elke kamer deftig beveiligd tegen een inbreker, terwijl net zoals op een site ook daar gevoelige informatie ligt van anderen. Men moet dit gewoon zwaar bestraffen, het systeem moet ervan uit gaan dat er nu eenmaal sites zijn met gaatjes. Net zoals men deze nacht een seksvideo van jouw en je ex kan vinden en stelen. (puur fantasie eh

)

lees ook mijn reactie hierboven:

quote: white modder
Door white modder, zaterdag 5 september 2009 18:17
Score: 1
verdien je het om gehackt te worden? Als jij ongewapend en zonder kogelvrij vest op straat rondloopt, verdien je dan om neergeschoten te worden?

Sommige mensen kunnen het zich nu eenmaal niet veroorloven van veel tijd en geld te steken in beveiligingen. Toch kan het zijn dat deze mensen iets nuttig aan onze gemeenschap kunnen bieden via het internet. Ik denk niet dat het de bedoeling kan zijn dat ze daarom maar gehacked moeten worden. Je oma mag toch ook nog het straat op met de auto, ondanks dat haar reacties niet meer goed zijn etc...?

[Reactie gewijzigd door white modder op zaterdag 5 september 2009 19:47]

Door BlackOwl, zondag 6 september 2009 18:35

je raam open laten staat is niet bijster slim. Ik dacht dat niet iedereen airco heeft op een warme dag/nacht en dat geld net zo voor de beveiliging van sites etc.. Niet iedereen heeft het geld en de tijd, kennis en inzicht, om hun site volledig te beveiligen.
[...]

Als je geen degelijke beveiliging weet te maken moet je niet een site bouwen / beheren die er wel een nodig heeft.

Door HndSm, zaterdag 5 september 2009 12:27

Ook al staat de deur open, iemand maakt een eigen besluit om naar binnen te gaan en dus dus geheel verantwoordelijk te stellen voor wat hij doet.
Deze blaag is strafbaar. "Grey Hat" of niet.
En een flinke metaforische schop onder zijn achterste zou geheel op zijn plaats zijn.

Door Foxl, zaterdag 5 september 2009 14:23

Uiteraard is een huis in een straat net even wat anders dan een website op het internet.

Als jij in je huis je raam of deur openzet dan haalt geen fatsoenlijk mens het in z'n hoofd daar door naar binnen te kruipen..

Maar als jij je website zo gaar beveiligd dat je zomaar door kunt lopen, b.v. door de querystring te tweaken, dan is dat geen inbraak, lijkt me.. Dat is hetzelfde als een winkel openen en mensen verbieden naar binnen te lopen..

Door ppl, zaterdag 5 september 2009 14:27

Zo zwart/wit is het echter helemaal niet. Als jij aanleiding tot iets geeft en iemand pakt dat met beide handen aan dan ben jij ook de sjaak. Zoiets kan namelijk ook opgevat worden als uitlokking alleen is dat nogal afhankelijk van de mate waarin je die aanleiding geeft. Dat trucje van Fok om die hacker erin te luizen zou als uitlokking en heling in aanmerking kunnen komen. Beetje lastige situatie omdat je die dingen niet mag doen en ook niet voor eigen agentje mag spelen maar je mag dan wel weer bewijs verzamelen en met de hele bundel naar de politie stappen om aangifte te doen.

Het punt hier is een stukje wetgeving waar Fok eigenlijk aan zou moeten voldoen, namelijk het goed beschermen van de persoonsgegevens die zij in beheer hebben. Als je kijkt naar de hack zelf dan is het vrij duidelijk dat Fok hier niet aan heeft voldaan. De hele situatie is te knullig voor woorden. Documentatie van dit soort zaken ligt al wijdverspreid op het internet en is eenvoudig te voorkomen maar dat hebben ze dus nagelaten. Daarmee hebben ze dus verzachtende omstandigheden gecreëerd en zichzelf ook in een mogelijke strafbare positie gebracht.

Als je het mij vraagt is de hele situatie ontzettend knullig en mag Fok wel een hele harde schop onder de kont krijgen omdat ze zo ontzettend slecht omgaan met gegevens en de beveiliging ervan. Kunnen ze daarna die hacker een schop onder z'n kont geven want ook die gaat ook niet vrijuit. Het lijkt er meer op dat dit kwajongens streken zijn gezien de leeftijd maar of zoiets vandaag de dag nog op gaat...

Door Bazilfunk, zaterdag 5 september 2009 17:27

Inderdaad, je loopt niet over straat met wapens maar je hebt wel een slot op je deur en als je een bedrijfje hebt op zijn minst een alarmsysteem.

Door plankton123, zondag 6 september 2009 12:04

Nee, gewoon opwachten met een paar man waar je de zak met geld zou achterlaten

Door Niak, zaterdag 5 september 2009 10:59

Door mor0n, zaterdag 5 september 2009 11:00

10 euro.

Nee, zonder gekkigheid. Dit zal steeds vaker gaan voorkomen. Hoeveel sites zijn er nou tegenwoordig waar zoveel persoonlijke gegevens om gemoeid zijn en er technisch zo slecht in elkaar zitten.

Is de schuld misschien niet bij de eigenaar van de site? Hij heeft zijn zaakjes gewoon niet op orde. Net als ik mijn voordeur half open zet en er wordt ingebroken...

[Reactie gewijzigd door mor0n op zaterdag 5 september 2009 11:02]

Door Swerfer, zaterdag 5 september 2009 11:16

Het is natuurlijk van belang dat de eigenaar van de site zijn beveiliging op orde heeft. Maar soms (regelmatig) is er een lek waar de eigenaar in eerste instantie niks aan kan doen. Een pas gevonden lek/bug kan al geexploid zijn zonder dat het lek al bekend was, en zonder dat er al een fix was...

Door TD-er, zaterdag 5 september 2009 11:20

Geruststellende gedachte dan dat onze eigen overheid eigenlijk al onze gegevens op min of meer vergelijkbare wijze beschikbaar wil stellen.

Door sundace, zaterdag 5 september 2009 11:51

Als het daadwerkelijk om een SQL-injectie gaat is het gewoon nalatigheid van de coder.
SQL-injecties zijn al zo oud als de weg naar Rome. Iedereen weet dat je de sql-opdracht die via een website wordt gegenereerd moet dichtbouwen en screenen voordat je hem doorstuurt naar de database.

Door Fastman, zaterdag 5 september 2009 12:04

Nalatigheid?

Als de sloten van Kryptonite met een balpen te openen zijn, mag je dan de motor stelen waar het slot rond zit?

Keihard aanpakken dat 'hackertje'. Voor de politie lijkt me dit eerder kinderspel om hem op te sporen. Een gerechtelijk bevel hier en daar en dat loopt wel lekker. Verder hoop ik dat Danny van Fok een schadeclaim gaat eisen tegen dat jongetje.

Ik heb eens een discussie gehad met een 'programmeur' van Fok en naar ik mij weet te herinneren was dat nu geen dertiger uit het bedrijfsleven. Eerder een tiener/twintiger (recent) uit het studentenleven. Begrijp me niet verkeerd, maar zo'n populaire site zou ik toch eerder laten ontwikkelen door een team van ervaren mensen of tenminste af en toe laten inspecteren.

En verder ook geen persoonlijke info achterlaten op een site. Natuurlijk is dat wellicht in strijd met de wet, want je uitgeven voor iemand anders was recent in België (of niet?) verboden. Nu ja, mijn geboortedatum vul ik ook verkeerd in op alles sites. Verder zou je in principe voor elke site een ander wachtwoord moeten hebben, maar dat is zo lastig!

Ik vermoed dat 90% van de hotmail gebruikers vult bij de registratie op een website gewoon hun hotmail adres in! Tja..

[Reactie gewijzigd door Fastman op zaterdag 5 september 2009 12:15]

Door Little Penguin, zaterdag 5 september 2009 12:15

Word wakker en welkom in de grote mensen wereld. Als de sloten van Kryptonite met een balpen te openen zijn, mag je dan de motor stelen waar het slot rond zit?

Nee, dat niet.

Maar op het moment dat zoiets bekend is (SQL-injection is al heel lang bekend) en je beheert een populaire site, dan moet je wel werken aan een goede beveiliging.

Overigens is het ook niet onverstandig om je wachtwoord uit letters, cijfers en leestekens te laten bestaan als beheerder* - want een MD5-hash (zonder salt) is tegenwoordig met brute force te kraken. Die brute force neem dan echter gewoon een woordenboek en gaat de inhoud daarvan hashen, net zolang tot er een match is - eventueel kun je 't woordenboek nog aanvullen met namen en dergelijke...

*: Natuurlijk geldt dit ook voor normale gebruikers, maar een beheerder heeft meestal meer rechten en op het moment dat men jouw wachtwoord gekraakt heeft kan men dus onder jouw account verder. Tel daarbij op dat veel mensen slechts een beperkt aantal wachtwoorden in gebruik heeft...

Door AlBundy, zaterdag 5 september 2009 13:57

Brute forcen zou veel teveel werk zijn. Als je een mogelijk wachtwoord voor een MD5-hash nodig hebt, zijn daar de rainbow tables voor. Daar staat zo'n beetje elke mogeljke hash in, met een bijbehorende string.
Het feit dat dat mogelijk is, maakt het hashen zonder een salt ongeveer even onveilig als wachtwoorden gewoon in plain text opslaan.

Door mokkol, zaterdag 5 september 2009 12:21

ik vind dit dus echt niet de fout van de hacker, maar toch echt van fok. bedroevig om je voor zoiets niet te beveiligen... een amateur webprogrameur zou zichzelf hier zelfs voor beveiligen....

Die hacker heeft ze eens goed wakker geschud dacht ik zo! Bedroevig als een site de deuren openhoud voor amateur hackertjes terwijl ze heel veel vertrouwelijke informatie hebben zoals emails en wachtwoorden!

Door Drazor, zaterdag 5 september 2009 12:40

Je hebt een punt. Natuurlijk zou fok hun gegevens beter moeten beschermen, maar dat praat deze actie nog niet goed. Inbreken in een website is altijd verkeerd. Of het nou gemakkelijk is of niet, dat maakt niets uit.

Deze hacker laat nu (mits het bericht waar is) zien dat hij daarnaast ook nog niet eens zo 'onschuldig' is als hij zich wil voordoen. Ik zou geen traan laten als dit jongetje een flinke boete krijgt en een tijdje achter de tralies verdwijnt.

Door Athalon1951, zaterdag 5 september 2009 13:53

Als ik dit goed lees, betekend het dat de website FOK een beroerde beveiliging heeft en degene die ze daar op wijst door de boel te hacken een crimineel is

Zou het niet zo moeten wezen dat degene die de boel heeft laten versloffen een stevige gevangenis straf krijgt een een enorme boete en degene die de boel gekraakt heeft een mindere gevangnisstraf en een boete, dat lijkt mij iets logischer.

Want als hetzelfde figuur mijn router hackt om kinderporno binnen te halen, ben ik opeens wel aanspakelijk en gaat de ander (in dit geval de hacker vrijuit.

[Reactie gewijzigd door Athalon1951 op zaterdag 5 september 2009 13:56]

Door Arnoud Engelfriet, zaterdag 5 september 2009 14:05

In beide situaties ben je allebei aansprakelijk, alleen is hacken een zwaarder misdrijf dan onzorgvuldig omgaan met persoonsgegevens. Dat vind ik trouwens best kwalijk maar zo is de wet.

Door cobis taba, zaterdag 5 september 2009 12:43

"Als de sloten van Kryptonite met een balpen te openen zijn, mag je dan de motor stelen waar het slot rond zit?"

Het gaat er niet om of het dan mag, het gaat er om of de eigenaar van de website zelf ook stom bezig is geweest. Als jij je sleutels in de deur laat zitten, of een raam open laat staan, of je tas ergens laat slingeren dan mag ook niemand hier misbruik van maken. Echt slim kun je het echter moeilijk noemen lijkt me

.

En hoe populairder de website, hoe groter je risico wordt. Ook niet iedere buurt in Nederland is even veilig immers, en op sommige plekken (lees: websites) moet je dus meer aan beveiliging doen. Dat praat niet goed wat een hacker of inbreker doet, maar toch zul je zelf ook moeten..

Door Nickname55, zaterdag 5 september 2009 12:56

Als de sloten van Kryptonite met een balpen te openen zijn, mag je dan de motor stelen waar het slot rond zit?

Nee, het mag niet, maar je moet niet gaan staan te janken als het toch gebeurt.

Door Gomez12, zaterdag 5 september 2009 13:35

Tja, als jij denkt dat SQL-injecties enkel vanaf sql via een website komen dan heeft elk project van jou minimaal zo veel nalatigheid.

Zijn redelijk wat voorbeelden van bijv nalatige log-parsers waarbij de sql-injections uit de logs komen...

Beveiliging is geen one-trick pony dat als je de sql die de webuser genereert controleert dat je klaar bent, je moet alle gebruikte / te genereren sql controleren...

Door SPee, zaterdag 5 september 2009 14:10

Inderdaad.
Zo heb ik bijvoorbeeld gebruik gemaakt van een (opensource) server, die de claim maakte beveiligd tegen SQL injection te zijn.
Dat was/is gelukkig wel zo, maar enkel omdat ze gebruik maakte van functies die zo ontworpen waren. Dat was naar mijn mening dus een leuke bijkomstigheid voor hun

Maar gaf de DB bij het ophalen een fout, dan werd de volledige melding naar de client gestuurd.

'lekker makkelijk voor de (web)developer'. Ja, maar ook heeel veilig om berichten te zien als "Fout in query: SELECT bla from bla where bla=bla" bij bezoekers

Ze hadden ook niet veel zin om die bug op te lossen; "doe het zelf maar"

Door himlims_, zaterdag 5 september 2009 11:29

ongetwijfeld dat de tnetters wat 'terughoudend' zijn met naw gegevens invullen.
Wij zijn wat meer bekend met het hebben en houden in digi-land.

Maar waarom denk een website/fora/blog mijn NAW gegevens voor nodig te hebben. Hoeveel fora wordt wel niet op straat/huisnummer etc. gevraagd. Ik vul het lijstje altijd in met; first/last/lange straat 1/grote stad/1111AA, dus met fake gegevens.

Ongetwijfeld dat er veel mensen zijn die daar hun echte gegevens in kloppend.

Door Slashdotter, zaterdag 5 september 2009 12:09

Psies, ik zou echt niet weten waarom ik daar WEL m'n echte gegevens zou moeten invullen. Waarom zou ik?

Bij sommige webwinkels willen ze ook je geboortedatum en telefoonnummer hebben.
Wat hebben ze daaraan? Het enige wat ze nodig hebben is m'n postadres om het pakketje naar toe te sturen en als ze contact met me willen opnemen dan mogen ze een mailtje sturen. Daar vul ik dan ook altijd braaf dummy data in als het verplicht gesteld is

Door Fastman, zaterdag 5 september 2009 12:14

Ik heb recent een postbus gehuurd! Nu ben ik bedrijfsmatig actief op internet en wil ik niet overal m'n eigen adres zetten, bv bij website registraties (whois records). Een postbus kost me 60 euro per jaar en ben ik verlost van eventuele narigheden!

Een gsm nummer willen sommige sites om je de status van een bestelling door te sms'en: verstuurd/...

Door Bjorn_V, zaterdag 5 september 2009 14:43

Natuurlijk ligt een deel van de verantwoordelijkheid bij de eigenaar. Ze moeten er voorzorgen dat het veilig is. toch is niet alles is te voorkomen.

Maar als ik mijn huis openlaat heeft nog steeds niemand het recht om naar binnen te gaan. een slot op de deur zou gewoon niet nodig moeten zijn.

Mensen (ik het eigenlijk geen mensen wil noemen) die het in hun hoofdhalen om aan ander mans spullen te zitten horen gewoon niet op deze aarde thuis. Hoewel dit wel een beetje erg idealistisch is natuurlijk. Zouden er toch veel hardere maatregelen genomen moeten worden tegen dit soort criminele beesten.

Door TommyGun, zaterdag 5 september 2009 11:01

Dus hij biedt het te koop aan, is daadwerkelijk van plan een afspraak te maken maar verkoopt het uiteindelijk niet? Wazig verhaal dit.

[Reactie gewijzigd door TommyGun op zaterdag 5 september 2009 11:10]

Door Blokker_1999, zaterdag 5 september 2009 11:15

Nee, hij wil de gegevens van Fok niet verkopen, wel die van andere websites.

Door magnetronnie, zaterdag 5 september 2009 11:16

Ik denk dat de "spammer" de Fok! database wilde kopen, vervolgens een mail terug kreeg dat hij dat niet kon omdat zijn IP bekend is, maar dat hij eventueel wel andere databases te koop heeft (GratisOpTeHalen bijvoorbeeld).

Door Morrar, zaterdag 5 september 2009 12:01

Wat dus best dom is om toe te geven, want via deze uitspraak is zijn IP nu dus ook gekoppeld aan de andere inbraken... Maar goed, als de slachtoffers eerst de lekken gaan dichten en dan pas wat gaan ondernemen komt ie er toch wel mee weg. Na een hack heb je hooguit een dag om de NAW gegevens van het IP te achterhalen bij de provider, langer houden ze de logs niet vast. Of je moet net de mazzel hebben dat de hacker een vast IP op z'n lijn heeft...

@hieronder: dat is juist mijn punt... Door in een e-mail (=rechtsgeldig) toe te geven dat zowel de FOK-hack als de andere hacks op zijn naam staan koppelt hij zijn IP / gegevens dus aan alle hacks....

[Reactie gewijzigd door Morrar op zaterdag 5 september 2009 13:33]

Door Precision, zaterdag 5 september 2009 12:55

Neen net niet, bij de andere inbraken heeft hij een proxy gebruikt en hier niet.

Door zeemeerman2, zaterdag 5 september 2009 11:19

Waarschijnlijk zodra hij het geld heeft binnengehaald gaat hij ervan door zonder daadwerkelijk de database over te dragen aan de "koper".

Door Beuzelarij, zaterdag 5 september 2009 11:22

Dus hij biedt het te koop aan, is daadwerkelijk van plan een afspraak te maken maar verkoopt het uiteindelijk niet?

"Grappiger" zou zijn geweest als hij de database van GratisOpTeHalen.nl, gratis af te halen zou hebben aangeboden óp GratisOpTeHalen.nl.

Door Bubbles, zaterdag 5 september 2009 11:02

In de mailwisseling, die even op FOK! te lezen was, bleek dat de hacker in eerste instantie helemaal niets van plan was, maar omdat er werd uitgelokt en aangedrongen is 'ie overstag gegaan om andere databases te verkopen, met het argument dat hij 15 jaar zou zijn en een flinke zak geld (in dit geval zelfs letterlijk) wel erg aanlokkelijk klonk, gezien zijn zakgeld wat hij van zijn ouders (neem ik aan) kreeg.

Jammer dat dat hier niet in het artikel wordt genoemd, want het geeft toch een iets ander kleurtje aan de berichtgeving...

Door wesjuhdabomb, zaterdag 5 september 2009 11:07

Hoi mama , ja dat is mijn nieuwe scooter ja. Hoe ik die gekocht heb? jaa gespaard...

Door Ras, zaterdag 5 september 2009 12:27

Dat is inderdaad wel belangrijke achtergrondinformatie.

Ik zal zelf nooit van plan zijn om gebrande cd'tjes van artiest X te gaan aanbieden, maar als iemand me vraagt om het te branden en geeft me er een 10tje voor, dan heb je best kans dat ik dat doe (of dat ik het cd'tje gewoon tegen kostprijs doorgeef natuurlijk).

Tuurlijk is het aanbieden van persoonsgegevens veel erger, maarja, als die jongen nog maar 15 is en z'n geweten laat het afweten (lees: ouders die van niks weten)...

Als waar is wat jij zegt (ik heb de mail niet gelezen), dan is dit pure uitlokking en geeft tweakers hier een verkeerd beeld van de werkelijkheid neer door kennelijk belangrijke informatie uit het nieuwsbericht te laten.

[Reactie gewijzigd door Ras op zaterdag 5 september 2009 12:32]

Door HyperioN, zaterdag 5 september 2009 13:21

Dat verandert het verhaal nogal ja, vind ik.
Ik heb het even aan de redactie gemeld op GoT.

Mocht het inderdaad zo zijn, dan vind ik de actie van de "potentiele koper" net zo kwalijk: het aanzetten van een 15-jarige tot een misdaad (hoewel die al deels begaan is), in het vooruitzicht van een zak geld.. We weten allemaal dat je op die leeftijd makkelijk te overtuigen bent.
Natuurlijk is het niet goed te praten wat deze jongen gedaan heeft; maar wat de "potentiele koper" in dit geval doet vind ik net zo kwalijk.

Door Tijmen007, zaterdag 5 september 2009 11:02

Nou nou, hij heeft zich wel tot een heel laag niveau gewerkt..

Met van den Hoogden ben ik het eens, vroeger kon je gewoon lekker surfen zonder om de haveklap een virus op te lopen

Door HAL 9000, zaterdag 5 september 2009 11:09

Jep, toen kreeg je virussen door een diskette in je pc te rammen.

Ik surf trouwens héél vaak, en ook niet altijd de begane paden op (lees; niet enkel de grote betrouwbare sites), en eerlijk gezegd heb ik nog nooit een infectie opgelopen op deze manier.

Ergo: vroeger was niet alles beter hoor...

Door GWTommy, zaterdag 5 september 2009 11:21

Ik krijg door gewoon surfen geen virus binnen. Door een spam mailtje te openen al helemaal niet.. Das gewoon onzin.
Je moet alleen niet zo maar op serial sites executables gaan downloaden, dan ben je wel ver van huis.

Door densoN, zaterdag 5 september 2009 12:49

ik heb toch al vaker gelezen dat grote websites werden gehacked en hun downloads werden geinfecteerd met virussen of andere zaken. dus ook met 'veilig surfen' alleen blijf je kwetsbaar. Om maar niet te spreken over alle virussen die bij de anti-virus bedrijven nog steeds niet bekend zijn.. Geloof me dat zijn er genoeg. Om maar een voorbeeld te geven van een grote site:

Asus

Door BAS80, zaterdag 5 september 2009 11:03

Ik heb mijn Fok wachtwoord nog steeds niet veranderd, staat toch niks belangrijks in. Ik kom er ook héél weinig...

Hackers zijn goed om b.v. bedrijfsnetwerken te testen waar gevoelige persoonlijke info achter hangt. Maar dit soort site's hacken vind ik echt onzinnig....

Door Danny, zaterdag 5 september 2009 11:06

Je FOK! wachtwoord werkt niet meer. Alle wachtwoorden op FOK! zijn gereset. Je zult de passmailer moeten gebruiken om weer een wachtwoord toegezonden te krijgen.

Door TD-er, zaterdag 5 september 2009 11:21

Dan moet die passmailer wel werken.

Door GlowMouse, zaterdag 5 september 2009 11:23

Bij mailto:forum@fok.nl zijn ze heel behulpzaam hoor, als je problemen hebt met de passmailer

Door lifeguard, zaterdag 5 september 2009 12:23

Zolang je niet uitlogt is er niks aan de hand

Door thedarkdefender, zaterdag 5 september 2009 11:03

Het is nou ook weer niet heel lastig om je te beschermen tegen SQL injection, het is vaak het eerste wat ik doe als ik software schrijf en ik heb ondertussen gewoon mijn eigen libraries die alles voor me afhandelen zodat er geen query is die niet wordt gecheckt op injection. Maar als ik kijk naar enkele grote spelers in NL waar ik mee heb samen gewerkt lijkt het af en toe wel of ze denken dat het toch niet fout kan gaan. Ook op dingen als XSS wordt lang niet altijd gecheckt. Er hoeft er dan maar 1 hacker tussen te zitten met slechte bedoelingen en dan krijg je dit soort dingen terwijl het een en ander vrij gemakkelijk te voorkomen is.

[Reactie gewijzigd door thedarkdefender op zaterdag 5 september 2009 11:10]

Door kmf, zaterdag 5 september 2009 11:06

Heel leuk voor je, maar ik neem aan dat FOK en andere websites niet bewust niks doen tegen sql-injection. Anders waren zij al tig jaren geleden tegen dit soort problemen tegen gekomen.

Door GWTommy, zaterdag 5 september 2009 11:22

Daar kunnen ze wel wat tegen doen.
Er hoeft maar één query niet gechecked te worden en je bent in zo'n positie.

Door kmf, zaterdag 5 september 2009 11:42

dat zeg ik dus...

Door ZpAz, zaterdag 5 september 2009 11:49

Imho ik snap het niet, tijdens je query's moet je altijd rekening houden met 'heeft de gebruiker invloed op dit gedeelte van de query?' zo ja, dan altijd escapen. Dat lijkt me toch niet zo lastig.

Door GWTommy, zaterdag 5 september 2009 12:05

Maar het kan soms (door slordig werken) vergeten worden, in de ergste gevallen krijg je dan zoiets.

Door kmf, zaterdag 5 september 2009 14:20

Oh, ik kan me genoeg situaties voorstellen waarbij zoiets gebeurd.
Bv een interface SP/query die eigenlijk niet direct aangesproken mag worden, maar toch gebeurd.
Of een SP/query die textuele data moet opslaan en dus eigenlijk alleen gesaniteerde data via een db-klasse aangeroepen mag worden, maar net bij dat ene debugpoging direct werd aangeroepen, en die debugpoging ook als echte fix wordt opgeleverd.

Al met al, het blijven fouten die voorkomen KUNNEN worden, maar daarom heten ze ook fouten.

Door c70070540, zaterdag 5 september 2009 11:36

Door xxxneoxxx, zaterdag 5 september 2009 11:56

Door GuidoH, zaterdag 5 september 2009 12:24

Haha, wat een reactie. Ik neem aan dat hij het over het niveau van de programmeurs van Fok heeft, niet over de gebruikers. Doordat ze hun site niet tegen iets basics als SQL injecties beveiligen, zegt wel degelijk iets over hun niveau.

Door xxxneoxxx, zaterdag 5 september 2009 13:26

Door c70070540, zaterdag 5 september 2009 20:26

Nee, 10 jaar geleden kon je nog wegkomen met een fout in je website als SQL injection. Nu in 2009 is dat echt not done. Dat getuigt echt van geen inzicht als devver zijnde. Er zijn heden ten dage gewoon geen excuses voor SQL injection mogelijkheden in websites die je bouwt. Ook als vrijwilliger dien je dit soort zaken op orde te hebben. Punt!

[Reactie gewijzigd door c70070540 op zaterdag 5 september 2009 20:27]

Door cariolive23, zaterdag 5 september 2009 13:37

Het is nou ook weer niet heel lastig om je te beschermen tegen SQL injection

Het begrip "kinderachtig eenvoudig" is hier beter op zijn plaats, dat geeft ongeveer aan hoe onvoorstelbaar simpel het is om SQL injection te voorkomen. Maar ja, wanneer je totaal geen interesse hebt in programmeren, beveiligen en fatsoenlijk beheer van andersmans gegevens, dan ben je uiteraard nog te beroerd om te zorgen voor enige vorm van beveiliging.

SQL injection is een keuze van de programmeur, een programmeur kan hier anno 2009 onmogelijk slachtoffer van zijn. Hij/zij kiest er zelf voor en hoort dus ook aangeklaagd te worden voor wanbeheer. Hij/zij strooit met de gegevens, een hacker raapt de zooi alleen maar bijelkaar. Genoemde sites zouden een verbod moeten krijgen om andermans gegevens te beheren, ze hebben hier wel aangetoond dat ze daar niet toe in staat zijn.

http://wiki.phpfreakz.nl/PreparedStatements

Door sleuth, zaterdag 5 september 2009 11:03

gebruik jullie dan je echte naam en adres enz ?

Door Blokker_1999, zaterdag 5 september 2009 11:17

vind jij schriftvervalsing normaal misschien?

Door blorf, zaterdag 5 september 2009 11:34

Ja hoor, je moet je echte naw gegevens altijd vermelden.

Waar slaat dat op?

[Reactie gewijzigd door blorf op zaterdag 5 september 2009 11:36]

Door kalizec, zaterdag 5 september 2009 11:55

Het is pas schriftvervalsing als ik er bij vermeld dat ik alles naar waarheid ingevuld heb, om vervolgens de plaats, datum en mijn handtekening er onder te zetten.

Door Arnoud Engelfriet, zaterdag 5 september 2009 14:09

Is "schriftvervalsing" iets Belgisch? In Nederland is het valsheid in geschrifte, en daaraan maak je je schuldig zodra je een geschrift (of elektronisch document) vervalst dat zogenaamd bewijs van iets is. Datums en handtekeningen zijn niet nodig, een acceptgiro met een valse mededeling "U moet betalen" is ook al valsheid in geschrifte.

Ik zie niet helemaal hoe een nepnaam invullen bij een gratis dienst "valsheid in geschrifte" oplevert. Al was het maar omdat een naamveld bij een site geen geschrift is. Verder is er het belang van privacy bij online activiteiten (art. 8 EVRM) die dit feit straffeloos maakt in veel gevallen.

Door Xoindotnler, zaterdag 5 september 2009 11:34

Heb graag dat als ik iets aan bied of wil op halen dat ik of zij niet voor een dichte duur staan of dat het persoon er niet woont of het volledige huis niet bestaat.

Door jhead22, zaterdag 5 september 2009 11:03

Waarom vervolgen ze die persoon niet?
Hij is makkelijk te achterhalen en hij heeft een strafbaar feit gepleegd.

« 1 2 3 4 5 6 7 »

Op dit item kan niet meer gereageerd worden.

12:08	KPN komt voorlopig niet met hd-televisie via Digitenne
09:23	Sixaxis zorgt voor 'opschudding' in Ninja Gaiden: Sigma 2

Nieuws I/O

Shortcuts

Categorieën

Lees meer over

Gerelateerde content

Reacties

27-05 Nieuws

00:38 Productreviews

01:13 Vraag & Aanbod

25-05 Jobs

20:30 Etc.

01:31 Reacties

01:31 Forum

25-05 Gesponsorde acties

27-05 Tweakblogs

26-05 Computable headlines

25-05 CRN headlines