Lekken in e-learningsuite BlackBoard laat studenten cijfers aanpassen

Er zitten tientallen lekken in de e-learningsoftware Blackboard, zo melden Nederlandse onderzoekers. De zwakheden stellen aanvallers in staat onder meer cijfers van studenten aan te passen. Blackboard onderzoekt de zaak.

In het meest extreme geval kan een student zelfs onterecht afstuderen door de zwakheden in het systeem, ontdekten onderzoekers Jobert Abma en Michiel Prins van het beveiligingsbedrijf Online24. Bovendien loopt de privacy van studenten gevaar via de software, meldt Webwereld. In totaal vonden de onderzoekers tijdens hun onderzoek 84 lekken in Blackboard Academic Suite 8.0. In de nieuwste versie 9.1 zouden veel van deze lekken al gedicht zijn, waaronder lekken die cross site scripting-aanvallen mogelijk maken.

Blackboard gaat kijken naar de zwakheden, maar chief architect Bob Alcorn relativeert het gevaar voor gebruikers. "Dit zijn veel voorkomende kwetsbaarheden in alle webgebaseerde applicaties." Het is onduidelijk of de kwetsbaarheden in de praktijk al zijn uitgebuit.

Blackboard is wereldwijd in gebruik bij 74 procent van de topuniversiteiten, aldus de site van de software suite. In Nederland maken universiteiten, hogescholen en roc's gebruik van het systeem voor e-learning. Onder meer de TU Delft, Universiteit van Amsterdam en Rijksuniversiteit Groningen maken gebruik van het systeem.

IT-banen

Reacties (101)

alex3305 30 oktober 2010 15:43

In BlackBoard zitten inderdaad een aantal flinke lekken. Een half jaar terug heb ik er zelf nog eentje gerapporteerd. In dat lek konden mensen zonder daadwerkelijk ingelogd te zijn toegang verkrijgen tot zo ongeveer alle content in het BlackBoard systeem. Ook was het mogelijk door het aanpassen van de URL in 'willekeurige' pagina's terecht te komen, waar geen login voor vereist was. Als laatste was het ook nog mogelijk deze url's te doorzoeken door middel van Google's 'site:'-tag.

Ook is het zo ongeveer algemeen bekend dat in de eigenschappen pagina van BlackBoard het wachtwoord van de student wordt opgeslagen in een hidden input tag (HTML). Dit wachtwoord is wel gehasht met enkelvoudige MD5 als ik het goed heb. Niet echt veilig dus.

Daarnaast staat/stond er bij onze school een melding dat je geen bestanden naar het content systeem mag uploaden waarbij de bestandsnaam niet uit ASCII bestaat, omdat anders het gehele content systeem (voor alle studenten) kan crashen... Dit zou je mijn inziens gemakkelijk af kunnen vangen, danwel mogelijk kunnen maken.

Overigens heb ik destijds niet actief op lekken gezocht, maar kwam ik erachter door een deeplink door te sturen via IM, waarbij de ander persoon gewoon in de content kon browsen zonder een login.

GebakkePizza @alex3305 • 30 oktober 2010 18:27

Klopt, dat laatste kan ik zeker bevestigen en is momenteel nog steeds het geval voor bijvoorbeeld de roosters van mijn academie. Die staan mooi 'verborgen' achter het inlogsysteem van BlackBoard, maar met een copy-paste van de link heeft iedereen gewoon toegang zonder in te loggen.

Freekers 30 oktober 2010 13:31

De TU/e maakt gebruik van een eigen systeem, genaamd 'Studyweb'. Dit is volgens mij geheel zelf geprogrammeerd en ik vraag mij dan ook af hoeveel beveiligingslekken hierin zitten.
Het systeem is echter niet gekoppeld aan de cijfers, die staan op een andere site genaamd OWInfo, wat ook weer zelf geprogrammeerd is....

Remcoder @Freekers • 30 oktober 2010 14:07

Correct me if I'm wrong, maar volgens mij is studyweb gebaseerd op sharepoint.

Het deelt iig een groot aantal overeenkomsten met de sharepoint programma's waar ik mee in aanraking gekomen ben. Onder andere in de layout en de gebruikte images komen heel sterk overeen met sharepoint en andere microsoft producten.

jip_86 @Remcoder • 30 oktober 2010 14:40

Sharepoint kun je natuurlijk wel gebruiken om een eigen onderwijssysteem in elkaar te programmeren.

robvanwijk

Beveiliging
Privacy

@Freekers • 30 oktober 2010 14:40

Is Studyweb zelf gebouwd? Ik dacht dat het ook gewoon ingekocht was. Niet dat ik het veel gebruik, bij Technische Informatica is het gelukkig meer regel dan uitzondering dat docenten Studyweb totaal negeren. Of er beveiligingsproblemen inzitten weet ik niet, maar het is op een boel andere manieren brak.
Wat OWInfo betreft, is dat ook het systeem dat de onderwijsadministraties gebruiken om cijfers in te voeren? Lijkt me niet; dan zouden docenten dat zelf wel kunnen doen. Zolang OWInfo alleen leesrechten heeft op de cijferdatabase kun je het niet misbruiken om cijfers aan te passen (wel om bijvoorbeeld andermans cijfers op te zoeken). Anyway, ook van OWInfo heb ik nooit iets meegekregen dat er beveiligingsfouten in zouden zitten.
Het zou eigenlijk wel mooi zijn als iemand dat een keer zou mogen testen... Zal wel flink moeite kosten om daar toestemming voor te krijgen, maar wie weet... Hmm, denk dat ik dat even aan iemand voor ga stellen.

Olaf van der Spek 30 oktober 2010 13:08

Blackboard gaat kijken naar de zwakheden, maar chief architect Bob Alcorn relativeert het gevaar voor gebruikers. "Dit zijn veel voorkomende kwetsbaarheden in alle webgebaseerde applicaties."

Gebaseerd op PHP?

Wat een zwaktebod zeg..., die opmerking van Bob.

haneev @Olaf van der Spek • 30 oktober 2010 13:11

Inderdaad, het is (met de nodige kennis) heel goed mogelijk om een waterdicht systeem te maken. Het is een opmerking die je professionaliteit niet ten goede komt. Zo hebben mijn klasgenoten ook een blackboard bug gebruikt om aan wachtwoorden van mensen te komen. Via cross-site injectie. Het probleem was dat men bij het email-veld ook <script> e.d. kon gebruiken (niet zo makkelijk, maar wel bijna). Overigens studeer ik op de Universiteit van Twente waar ze ook Blackboard gebruiken.

PerfectLight @haneev • 30 oktober 2010 13:27

Maar wat ik me afvraag, hoe is dit gerelateerd aan Osiris?

Want de definitieve cijfers op de UT komen niet op Blackboard, dat is eigelijk alleen voor vakmaterialen en deelcijfers. Of valt Osiris onder Blackboard? (in dat geval heb ik iets gemist volgens mij..)

haneev @PerfectLight • 30 oktober 2010 13:31

Nee, cijfer gedeelte wordt niet gebruikt op blackboard. Daar is osiris voor, en voor zover ik weet zit dat wel goed in elkaar. Soms wordt blackboard gebruikt voor deel-resultaten, en die zijn dus aan te passen. Tentamens worden niet door blackboard geregistreerd. Blackboard wordt gebruikt als vak-ondersteuning niet voor cijfer registratie.

Verwijderd @haneev • 30 oktober 2010 14:11

Correct. De administratie van cijfers, inschrijvingen e.d. vindt plaats m.b.v. isis, osiris of het nieuwe sis systeem. Ik ben betrokken geweest bij de conversie naar sis van de universiteit van amsterdam afgelopen zomer en kan verzekeren dat blackboard geheel los staat van van dit systeem.

In sommige gevallen worden cijfers op blackboard weergegeven, maar deze zijn handmatig overgenomen uit de cijfer administratie (of worden door de docent zelf geupload). Het veranderen van de cijfers op blackboard haalt dus niks uit.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 12:15]

Patriot @Verwijderd • 30 oktober 2010 18:47

Correct. De administratie van cijfers, inschrijvingen e.d. vindt plaats m.b.v. isis, osiris of het nieuwe sis systeem. Ik ben betrokken geweest bij de conversie naar sis van de universiteit van amsterdam afgelopen zomer en kan verzekeren dat blackboard geheel los staat van van dit systeem.

In sommige gevallen worden cijfers op blackboard weergegeven, maar deze zijn handmatig overgenomen uit de cijfer administratie (of worden door de docent zelf geupload). Het veranderen van de cijfers op blackboard haalt dus niks uit.

Het kan natuurlijk zo zijn dat er op andere universiteiten of hogescholen wel gebruik word gemaakt van Blackboard als cijferregistratiesysteem.

Verwijderd @Patriot • 30 oktober 2010 23:27

In principe is dat niet nodig. In het artikel op Webwereld wordt ook de veelgebruikte single sign-on techniek binnen universiteiten aangehaald. Dit wil zeggen dat docenten voor veel systemen binnen de instelling hetzelfde wachtwoord hebben als op Blackboard. Door een docent's wachtwoord te stelen via een kwetsbaarheid in Blackboard, kan men dus ook bij een scala andere applicaties.

Verwijderd @Verwijderd • 31 oktober 2010 00:31

Volgens mij betekent single sign-on toch iets anders dan 'hetzelfde wachtwoord voor meerdere applicaties'...

kaas-schaaf @PerfectLight • 30 oktober 2010 14:53

Laten we niet over Osiris beginnen want dat is echt een van de slechtst ontworpen onderdelen van het onderwijssysteem ooit. Slechte interface, mogelijkheden om onder andere namen in te loggen met A-Select en daarna veranderingen door te voeren om maar wat te noemen. (Waarop de antwoord van het systeembeheer is dat zo'n fout niet erg genoeg is om naar te kijken of door te sturen naar de producenten).

Niet dat blackboard perfect is maar het doet zijn nut als je roostersystemen en cijfersystemen appart houd. Er zitten wel wat fouten in zoals inschrijven voor vakken waarna je niet ingeschreven staat en je niet meer kan inschrijven, maar dat is in mijn ogen niet iets dat moeilijk op te lossen is.

Mijn vraag is meer: Hoe verhouden de fouten zich tot geimplementeerde modules van derden? Als die ook schade daardoor ondervinden kan bij die modules (van bijvoorbeeld andere cijfersoftware) wel schadelijk zijn, en nog moeilijker op te sporen.

[Reactie gewijzigd door kaas-schaaf op 23 juli 2024 12:15]

robvanwijk

Beveiliging
Privacy

@Olaf van der Spek • 30 oktober 2010 14:17

Gebaseerd op PHP?

Waar lees jij iets over PHP?

Wat een zwaktebod zeg

Nou ja, zwaktebod, eerder een leugen. In de meeste (professionele hobbyprojectjes van 12-jarigen is een ander verhaal) webgebaseerde apps zijn lekken een uitzondering.
Bovendien, zelfs al zou het waar zijn dan nog sta je eigenlijk te beweren "iedereen is incompetent, dus het is niet erg dat wij het ook zijn". Hoe kun je met zo'n instelling ooit chief architect worden...!?

depeje @robvanwijk • 30 oktober 2010 14:33

Voor hen die het niet weten: blackboard is op jsp gebaseerd. De relevantie om de programmeertaal erbij te betrekken zie ik wel niet direct.

Xthemes.us @depeje • 30 oktober 2010 14:41

Omdat mensen graag PHP als de amateur/pruts taal zien waar mensen zonder vooropleiding die hier specifiek op gericht is mee aan de slag kunnen.
Dat PHP dezelfde mogelijkheden aanbied als andere talen om een hoop van deze ellende te voorkomen (denk b.v. aan prepared statements) is deze 'experts' niet bekend.

New @Xthemes.us • 30 oktober 2010 18:02

Het probleem blijft dat de prutsers het verkeerd blijven doen doordat ze zich niet goed informeren.

Ik ben het wel met je eens dat PHP geen prutstaal is. Maar het is wel een gereedschap dat goed gebruik niet afdwingt. Dat heeft ook te maken met de doelen die men nastreeft (zoals backwards compatibility), maar ik zou het niet afkeuren als PHP met een wat schonere variant zou komen. Ik meen dat men daar ook mee aan de gang is.

Ik zou er niet voor kiezen omdat ik denk dat er krachtigere tools zijn, maar met de keus voor PHP is opzichzelf niets mis. Mits de ontwikkelaar zijn verstand gebruikt, maar dat geldt voor elke taal.

SuperDre @Olaf van der Spek • 30 oktober 2010 15:10

Wat een onzin zeg, PHP kan net zo veilig of onveilig zijn als bv een .NET gebasseerde website..

Gwaihir @Olaf van der Spek • 30 oktober 2010 20:06

Erg verontrustend dat de chief architect er zo in zit. Uiteraard kan en hoort zo'n applicatie gewoon veilig te zijn.

swtimmer 30 oktober 2010 13:15

Heb nooit begrepen waarom Blackboard zo groot is dat iedere universiteit waar ik ben geweest ze dit pakket gebruiken. Ik vind het verschrikkelijke onhandige software en snap niet dat dit het beste is wat er te krijgen is. Als je dan ook nog hoort hoe gemakkelijk over bugs wordt gedacht en hoe er maar even vanuit wordt gegaan dat hier nooit misbruik van gemaakt is. bah!

tim427 @swtimmer • 30 oktober 2010 13:25

Hier ben ik het volkomen mee eens!

Ik vind BB echt een verschrikkelijk pakket. Op de TUDelft gebruiken we het in hoofdlijnen om de PowerPoint-slides online te zetten en anders documenten.

FTP zou bewijs van spreken al voldoen aan die functie-eis.

BB wordt op de TUDelft voor maar 10% van de functie gebruikt gok ik. En trecht, het zou beter zijn als TUDelft door hun eigen Technisch Informatica studenten bijvoorbeeld een eigen pakket schrijven.

Welke site maakt tegenwoordig nog gebruik van frames

[Reactie gewijzigd door tim427 op 23 juli 2024 12:15]

MikeN @tim427 • 30 oktober 2010 13:44

Er zijn wel degelijk opleidingen op de TU die BB ook voor toetsing, groepsindelingen, samenwerken en dergelijk gebruiken. Dat ze bij jouw opleiding blijkbaar de volledige mogelijkheden niet gebruiken betekent niet dat dat TU breed ook zo is.

1 van de frames is al uit Blackboard geschrapt sinds versie 9.x, helaas is er inderdaad nog wel een topframe. Eigen TI studenten wat laten klussen lijkt me ook een tamelijk slecht plan, gezien het gemiddelde niveau van een TI student

dwilmer @MikeN • 30 oktober 2010 14:11

En daarom moet je het dus noet door de gemiddelde TI-student laten doen, maar door een groepje van de beste studenten (leuk opzetje voor een bachelorproject?)

Maar wel brak dat er zo veel lekken in zitten, of iig zaten. Hopelijk doen ze (BB) er iets goeds mee.

MikeN @dwilmer • 30 oktober 2010 14:54

En hoe ga je die beste studenten vinden? En hoe gaan die het binnen de 3 maanden die er voor het BSc project staan afronden? Alleen je requirements verzamelen kost je al meer tijd. En kunnen die beste studenten niet betere opdrachten krijgen?

Als 1 van de auteurs van de huidige roosterweergave Blackboardmodule op de TU kan ik je in ieder geval verzekeren dat binnen de TU niet echt veel mensen beschikbaar zijn die tijd over hebben om zo'n project te leiden. Zelfs als het al lukt zit je vervolgens met een brok custom software wat nergens mee integreert, onderhouden moet worden (door wie?) en waarschijnlijk niet veel beter is dan Blackboard.

kaas-schaaf @dwilmer • 30 oktober 2010 15:05

Er was ooit eens een Tentamen Aanmeld Systeem (TAS) dat door studenten was geklust. Gevolg: Geen ondersteuning na implementatie, en relatief makkelijk te 'beinvloeden'. Laat staan kwaliteitscontrole...

Het niveau van een gemiddelde TI student wil ik overigens niet onder dat van een bedrijf stellen, aangezien er genoeg rotzooi geproduceerd wordt wat ook door iedereen's strot gedruwt is. (Specifiek TU Delft het roostersysteem (oude, niet nieuwe) bijvoorbeeld of het Osiris systeem)

Sommige faculteiten, zoals TBM gebruiken meer van de mogelijkheden van blackboard dan de faculteiten van de wat meer 'nerderige' studies. Wellicht heeft dit met voorkeur van docenten te maken.

[Reactie gewijzigd door kaas-schaaf op 23 juli 2024 12:15]

tim427 @kaas-schaaf • 31 oktober 2010 10:43

Een kleine aanvulling. OSIRIS is ontwikkeld door een bedrijf en wordt door meerdere Universiteiten/Hoge Scholen gebruitkt. Google maar naar OSIRIS

Gammro @swtimmer • 30 oktober 2010 13:44

Eens, ik vind het als 1e jaars student ook een vreselijk slechte interface hebben. Het heeft wel even geduurd voor ik doorhad waar ik bepaalde dingen kon vinden.
Daarbij werkt het ontzettend traag(hoewel dat ook aan de server zou kunnen liggen).

[Reactie gewijzigd door Gammro op 23 juli 2024 12:15]

Geronimous

@swtimmer • 31 oktober 2010 02:45

exact mijn mening. Ik wordt nu al ruim 3 jaar gedwongen ermee te werken bij Hogeschool Zuyd, en verbaas me er ook over dat dit een toonaangevend product zou zijn. Ik denk dat hier een enorm gat in de markt zit.

Ik bedoel, de aangeboden content van de Hogeschool is niet eens te doorzoeken met blackboard. Nee, je moet iedere map handmatig door om te kijken wat er in zit. Dat is nogal frustreren aangezien veel docenten weer op een eigen manier categoriseren.

fonsoy 30 oktober 2010 13:06

Het scheen dat een jaar of vijf geleden nog simpele SQL-injectie bij dit systeem mogelijk was. Belachelijk eigenlijk. Goed dat er nu aandacht voor komt, en slechte corporate software onder de loep genomen wordt.

Limaad @fonsoy • 30 oktober 2010 15:13

Helaas kan het bij ons op school niet. Gezien zelfs de docenten er zelf al problemen mee hebben om cijfers toe te voegen, ga ik me er niet eens aan wagen!

dasiro @Limaad • 30 oktober 2010 15:27

docenten in het algemeen zijn nu niet direct mensen waarvan het ICT-technisch vernuft hoge toppen scheert.

voorlopig blijf ik het grappig vinden dat lectors ook oefeningen of zelfs examens op BB laten afleggen, terwijl dit niet verplicht in een bewaakte omgeving gebeurd. overlaatst nog iemand horen opscheppen over het feit dat hij een 19 had omdat zijn zus de oefeningen had gemaakt

FreezeXJ @dasiro • 30 oktober 2010 16:59

Helaas is ook onze docent programmeren niet in staat blackboard deftig te laten werken

Idem met enige andere toch-best-technisch-aangelegde figuren, die gewoonlijk liever hun eigen site scripten dan met Blackboard te rommelen.

mace @FreezeXJ • 31 oktober 2010 09:24

Newsflash, programmeurs zijn over het algemeen niet goed in IT-zaken. Ja ze kunnen programmeren maar als het op servers aankomt bedenken ze de meest vreemde oplossingen die vaak slecht werken, niet te beheren zijn of onveilig zijn geïmplementeerd omdat ze lui zijn . (slechte wachtwoorden bijvoorbeeld)

Ja ik heb ervaring daarmee.

Martijn___ @Limaad • 30 oktober 2010 17:02

Jouw docenten proberen het via de legale manier te doen,
Op de illegale manier is het misschien makkelijker, ook bij jou op school.

SuperDre @fonsoy • 30 oktober 2010 15:10

Tja, hoezo belachelijk? Elke dag worden er lekken/exploits gevonden in stukken software waar voorheen nooit gedacht van zou zijn dat daar uberhaupt een lek zou kunnen zitten..
Tja nu zie je SQL-injectie als iets simpels, maar in het begin had niemand door dat het kon, en nu is het jou dus ook geleerd wat je moet doen om SQL-injectie te voorkomen, maar zo zijn er nog duizenden andere lekken, en nog vele die nog niet gevonden zijn.

Juist bij webapplicaties is de kans op lekken een stuk groter omdat er nog eens een boel meer factoren bij komen kijken dan bv bij een local app..

BackwardsDown @SuperDre • 31 oktober 2010 10:36

Tja nu zie je SQL-injectie als iets simpels, maar in het begin had niemand door dat het kon, en nu is het jou dus ook geleerd wat je moet doen om SQL-injectie te voorkomen, maar zo zijn er nog duizenden andere lekken, en nog vele die nog niet gevonden zijn.

Er zijn ook tooltjes die je site kunnen checken op SQL injecties (dmv brute force). Ik denk niet dat met een blik goede testers nog SQL-injectie's zal tegenkomen.

Urza- 30 oktober 2010 13:10

Gelukkig wordt blackboard bij de uu niet gebruikt voor de uiteindelijke cijferregistratie, maar een ander systeem.
Ik vraag me af of dat hierdoor kwam.

Roytoch @Urza- • 30 oktober 2010 13:15

Progress zeker? Wel op de rug in ieder geval. Nou moet ik zeggen dat ik progress voor cijferregistratie prettiger vindt, omdat blackboard nogal snel onoverzichtelijk wordt.

CornéM @Roytoch • 30 oktober 2010 17:04

Nee, UU gebruikt ook Osiris voor cijfers, cursusregistratie e.d.

AlexanderB @Urza- • 30 oktober 2010 13:17

TUdelft ook, gebruiken ook het cijfersysteem van blackboard zelf niet, maar hebben sinds dit jaar een aparte APP die je tentamens, en je resultaten bijhoud..

Steffannnn @Urza- • 30 oktober 2010 13:43

Helaas speelt dit al jaren. Bij ons op school wordt voor elk systeem hetzelfde wachtwoord gebruikt. Via XSS kon/kun je op eenvoudige wijze mensen om te tuin leiden en nog een keer hun wachtwoord laten invoeren. Informatica studenten hadden/hebben namelijk een eigen course. Als 'teacher' van een course kan je willekeurige mensen in je course zetten. Door HTML in de naam van de course te zetten kon je nog een inlogvenster tevoorschijn toveren en mensen 'opnieuw' laten inloggen.
Ook kunnen/konden teachers namen van studenten aanpassen en daar HTML bij in zetten. Op het beginscherm van blackboard krijg je die naam te zien... plus de eventuele andere html.

edit:
Typo

[Reactie gewijzigd door Steffannnn op 23 juli 2024 12:15]

SuperDre @Urza- • 30 oktober 2010 15:12

En dat andere systeem is misschien nog wel onveiliger ook...

Maximus 30 oktober 2010 13:09

Mag aannemen dat de opmerking dat het voor elke webapp geldt niet als leidend wordt gezien door de firma Blackboard. Dat het een oude versie betreft doet me denken dat een deel van de genoemde fouten door henzelf al zijn opgelost.

Fouten komen altijd voor maar ik mag hopen dat Blackboard niet alles af doet als "dat kan in elke webapplicatie".

De Rijksuniversiteit Groningen gebruikt echter wel ProgresWWW voor de cijferregistratie.

[Reactie gewijzigd door Maximus op 23 juli 2024 12:15]

roy-t @Maximus • 30 oktober 2010 13:53

Je mag je wel wat verdiepen in ProgressWWW.

Dit is een systeem ontwikkeld door de Letterenfaculteit, door politieke spellejtes is dat systeem uiteindelijk leidend geworden voor de hele Rijksuniversiteit Groningen. Dit terwijl meerdere andere faculteiten (bedrijfskunde en Informatica bijvoorbeeld) ook systemen hadden ontwikkeld die, onder andere, niet op MS Access gebaseerd waren. Het systeem van Letteren was duidelijk het zwakste systeem, maarja, informatici kunnen niet zo goed lullen

.

Anyway...

Uiteindelijk is het beheer onder Informatica en daarna het UOCG gekomen. DIe hebben het langzaam omgebouwd van het gare MS Access databaseje naar een echt programma. Echter is het nog steeds spaghetti, omdat een of ander helder licht vroeg in de ontwikkeling bedacht had het ook te verkopen aan andere onderwijsinstellingen, waardoor er dus, door de mensen die het moeten onderhouden, nooit een drastische refactoring ronde heeft plaats kunnen vinden.

ProgressWWW bestaat eigenlijk uit meerdere delen. Een daarvan is de daadwerkelijke database Progress. ProgressWWW is een (volgens mij gespiegelde) database voor toegang via internet, waarvan de changes weer terug gemergde worden in de echte database.

[/offtopic]

My Tec Master @roy-t • 30 oktober 2010 15:17

En vervolgens is het ook in gebruik genomen bij een hele rits andere instellingen, ach het werkt prima nog geen problemen mee gehad. Wel handig voor tentameninschrijvingen cijfers etc.

Verwijderd @roy-t • 30 oktober 2010 22:02

Klopt niet helemaal. ProgressWWW is gebaseerd op een nog ouder sql gebaseerd database systeem, zelfs nog erger dan Access. Maar momenteel is het UOCG min of meer klaar met een migratie naar Progress.NET, wat aanzienlijk beter in elkaar zit, zowel qua architectuur als qua database beheer. En ook heel wat meer secure dan het vorige systeem, dat daarom achter ge-encrypte tunnels is verstopt. 't Is maar dat je het weet...

roy-t @Verwijderd • 31 oktober 2010 09:04

Ah ja dat klopt. Ik ben erg benieuwd naar Progress.Net, dat maakt die taak van het UOCG stukken makkelijker.

latka 30 oktober 2010 13:12

"Dit zijn veel voorkomende kwetsbaarheden in alle webgebaseerde applicaties."

M.a.w. omdat het in het grote domme-fouten-in-webapplicaties-boek staat je deze fouten mag maken. Trieste bedoeding, zeker als het al i.i.g. 8 versies lang erin zat. Reden temeer om dit soort software direkt uit productie te nemen (zeker na het inholland verhaal).

SuperDre @latka • 30 oktober 2010 15:13

Tja, dan mag je elke software wel meteen uit de productie nemen, want bijna alle software bevat wel lekken/exploits, alleen ben jij er nog niet van op de hoogte..

latka @SuperDre • 30 oktober 2010 19:33

Er is een verschil tussen claimen dat de fouten in je software standaard fouten zijn versus onverwachte fouten. De eerste categorie had je eruit moeten halen (en ik heb een informatica achtergrond en weet dus heel goed dat foutloze software niet kan).
Een groter probleem is dus dat deze software ook gebruikt wordt voor cijferregistratie. Ik kan je verzekeren als er achterdeuren zitten in een financieel pakket heel erg snel de stekker eruit gaat om reputatieschade te voorkomen (vandaar de inholland referentie). Als dit gemeengoed is in de BB software zal ieder diploma wat van een instituut komt waar dit gebruikt wordt een farce zijn.

Stevie-P 30 oktober 2010 13:28

In de nieuwste versie 9.1 zouden veel van deze lekken al gedicht zijn, waaronder lekken die cross site scripting-aanvallen mogelijk maken.

In het artikel op webwereld zijn ze pessimistischer.

Dat versie 8 van de software is onderzocht en niet de nieuwste 9.1 versie maakt volgens Prins weinig verschil en zijn veel lekken niet verholpen: “In versie 9.1 zijn een aantal problemen aangepakt, maar Blackboard heeft nog een lange weg te gaan.”

Hoe dan ook zijn er flink wat gaten die nog gedicht moeten worden. Tot die tijd maar eens uitvogelen of ik ook mijn afstuderen op de vu wat kan versnellen.

SuperDre @Stevie-P • 30 oktober 2010 15:17

Dat versie 8 van de software is onderzocht en niet de nieuwste 9.1 versie maakt volgens Prins weinig verschil en zijn veel lekken niet verholpen: “In versie 9.1 zijn een aantal problemen aangepakt, maar Blackboard heeft nog een lange weg te gaan.”

WTF, dan maak je jezelf als onderzoeker alleen maar belachelijk met zo'n uitspraak..
Dit is net zoiets zeggen als, 'dat window 95 van de software is onderzocht en niet windows 7 maakt niet eel uit, veel lekken zijn niet verholpen'....
Hoe weet je nu of veel lekken niet zijn verholpen als je de nieuwste versie niet eerst grondig onderzoekt, komt meer dan genoeg voor dat veel changes niet in de publieke changelog staan..

Verwijderd @SuperDre • 30 oktober 2010 23:22

Deze opmerking is gebaseerd op contact dat wij onderhouden met Blackboard. Daarnaast hebben wij toegang tot een acceptatieomgeving met versie 9.1, waarop we onze voorspelling hebben getest. Resultaat: een aantal problemen zijn aangepakt, maar ze zijn er nog lang niet.

Er wordt wel aan gewerkt kan ik vertellen.

Touchdomex 30 oktober 2010 13:44

ik ken ze en heb een deel van de fouten gezien... ze zijn best ernstig

maar wat ik mis in het artikel is dat naast het bedrijf wat ze hebben is dat ze nog student zijn aan de hanze hogeschool in groningen.

had zelf vorig jaar ook al enkele fouten gevonden... je kan in titels van courses namelijk volledige HTML en scripts neerzetten die werken! daardoor kan je hem bijvoorbeeld bij het bezoeken van de course direct doorgestuurd worden naar een random website... de enige manier om het netjes op te lossen is om scripts uit te zetten en zo de tags wijzigen... veel lol mee gehad maar het hoort absoluut niet...

GENETX @Touchdomex • 30 oktober 2010 14:36

Ik ben ook wel benieuwd eigenlijk. Het vreemde is wel dat de Hanzehogeschool net als de RuG ProgressWWW gebruikt. Dus vreemd dat ze daar naar zijn gaan zoeken, aangezien ze niet hun eigen cijfers kunnen aanpassen.

Wel echt hulde voor beide heren. Jobert Abma heeft ook een eigen blog vol met leuke artikelen. Heb er wel eens een aantal gelezen. Echt heel interessant leesvoer: http://www.jobertabma.nl/ . En Michiel heeft blijbaar ook zo'n blog: http://prins.ms/

[Reactie gewijzigd door GENETX op 23 juli 2024 12:15]

MikeN @GENETX • 30 oktober 2010 15:00

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-3421 is een voorbeeldje van wat bugs die nog steeds niet opgelost zijn en al 2 jaar open staan.

Op dit item kan niet meer gereageerd worden.

Lekken in e-learningsuite BlackBoard laat studenten cijfers aanpassen

Lees meer

IT-banen

Reacties (101)

Sorteer op:

Weergave: