InHolland haalt sites offline na hack
Diverse websites van HBO-school InHolland zijn offline gehaald nadat vrijdagavond bleek dat deze vatbaar waren voor sql-injecties en er zelfs wachtwoorden van adminusers in plaintext uit databases gehaald konden worden.
Drie sites van HBO-school InHolland bleken vatbaar voor sql-injectie.De ict-dienst van de school heeft pabo-inholland.nl, mkb-inholland.nl en inhollandtv.nl inmiddels offline gehaald. Via deze laatste url bleek het mogelijk een database te benaderen waarin zeven gebruikersnamen met beheerdersrechten stonden, inclusief de wachtwoorden die niet versleuteld opgeslagen waren. Dat beweert althans GeenStijl, die een e-mail met informatie hierover kreeg.
InHollandtv is de mediasite van de school, waar onder andere video's staan voor leerlingen, docenten en bedrijven. Volgens de vermeende ontdekkers van de lekken, was het mogelijk via het adminpanel na inloggen bestanden te uploaden, waarbij er geen restrictie op bestandstype zou zijn. Ook zou er de mogelijkheid hebben bestaan om via een onderdeel van pabo.inholland.nl mails te versturen uit naam van de school.
Pabo-inholland.nl lijkt overigens een oude site die inmiddels vervangen is door www.leernetwerkeducatie.nl. Ook die site is echter offline, waarbij gemeld wordt dat deze op 28 november weer beschikbaar zal zijn. De woordvoerder van InHolland was zaterdag niet bereikbaar om vragen over het offline halen van de sites en de hack te beantwoorden.
Reacties (65)
Via welk van de sites was het nou exact mogelijk om de waardeloze diploma's af te drukken? InHolland lijkt ook echt geen moeite te doen om nou eens met hun bedrijfsnaam op negatieve manier uit het nieuws te blijven....
Neem aan dat zij ook een HBO-IT opleiding aanbieden -> leren ze de studenten dan ook niets over passwordpolicy's en het niet gecodeerd opslaan van wachtwoorden? Misschien even een aantal IT verantwoordelijke opnieuw in de leer... maar dan bij een andere HS!
Neem aan dat zij ook een HBO-IT opleiding aanbieden -> leren ze de studenten dan ook niets over passwordpolicy's en het niet gecodeerd opslaan van wachtwoorden? Misschien even een aantal IT verantwoordelijke opnieuw in de leer... maar dan bij een andere HS!
Helemaal mee eens trouwens. Maar net zoals alle verouderde systemen: er blijven systemen bijgeplugd worden en niemand kijkt terug naar de basis die in 1990 aangelegd is.
Schandelijk.
[Reactie gewijzigd door TvdW op zaterdag 26 november 2011 14:08]
De vraag is, door wie worden die systemen erbij geplugd? Als IT'er bij een hogeschool zie ik het heel vaak gebeuren dat afdelingen en opleidingen op eigen houtje vanalles doen zonder met de IT afdeling te spreken. Of wordt de IT afdeling gedwongen om iets te doen wat tegen het IT beleid gaat omdat de gebruikers het lastig vinden of een hoge pief vind dat de IT afdeling weer eens zeurt..
Dat komt vaak omdat de IT afdelingen absurde regels hanteren. Beveiliging is 1 ding maar je moet niet vergeten dat de IT er primair en alleen is om alle andere afdelingen te ondersteunen in hun werk. Als die afdelingen uit ellende achter je rug om naar andere oplossingen gaan zoeken dan ligt de schuld niet bij hun maar bij de IT afdeling.
De IT afdelingen proberen een veilige omgeving te maken maar ze creëren met hun starheid juist vreselijk onveilige omgevingen.
De IT afdelingen proberen een veilige omgeving te maken maar ze creëren met hun starheid juist vreselijk onveilige omgevingen.
Okee, misschien heb je een punt. Maar wat stel je dan als oplossing / alternatief voor? Zelf de onveilige omgeving opzetten...?
Mensen aannemen die weten wat ze doen zou al een goed begin zijn. Dat is het grootste probleem in de scholen, er zijn teveel mensen die overgebracht zijn van een of andere afdeling die niets met computers te maken hebben of die een opleiding in management hebben maar niets van systemen weten.
Mensen aannemen is meestal niet het probleem, maar naar de mensen luisteren is nogal eens het probleem voor de meneer met de stropdas.
Dat is zo waar 
Ik weet ook een HS waar je ten eerste IT'er wordt omdat je in het team past. Een en ander resulteert in een hele organisatie die nog op XP werkt omdat er ooit een IT'er was die het zo had ingericht. En als er al eens een goede ICT'er wordt aangenomen wil die zo snel mogelijk weg omdat zijn collega's zo dom zijn.
Ik weet ook een HS waar je ten eerste IT'er wordt omdat je in het team past. Een en ander resulteert in een hele organisatie die nog op XP werkt omdat er ooit een IT'er was die het zo had ingericht. En als er al eens een goede ICT'er wordt aangenomen wil die zo snel mogelijk weg omdat zijn collega's zo dom zijn.Doe zelf Informatica bij Inholland, en wij leren wel degelijk manieren om sql injecties tegen te gaan en wij mogen wachtwoorden niet in plain of md5 opslaan. Wat ik zelf merk op school is dat ze zich zelf wel weer willen bewijzen, en alles gaat nu via regeltjes. Ze werken er dus wel aan, maar als de media (lees Bert Brussen) elke fout genadeloos afstraft, dan is het voor buitenstaanders moeilijk om iets anders te geloven. Anyway, veel mensen lezen alleen berichten van Bert Brussel en hebben hun oordeel klaar. Geloof mij, het is net zo slecht op elke andere HBO..
Ik zit zelf ook op InHolland en ik stoor me ook enorm aan alle mensen die klakkeloos hun oordeel door de media klaar hebben liggen. Er zijn al meerdere onderzoeken geweest die aantonen dat het bij hoge scholen als HvA gelijkwaardig of zelfs slechter is geregeld. Dit wordt natuurlijk bijna allemaal stilgehouden in de media, want InHolland is natuurlijk de zwakke prooi voor de media.
Bronnen van die onderzoeken?
Ik zelf bekijk nooit van die onderzoeken, maar ik weet wel dat Elsevier zo'n onderzoek heeft, en weet ook dat er scholen veel slechter scoren dan Inholland.
Elsevier heeft inderdaad zo'n onderzoek net als de HBO Keuzegids.
InHolland staat in de Elsevierlijst niet helemaal onderaan, maar als je naar de onderste 3 kijkt, staat InHolland er toch tussen.
Mocht je naar de HBO keuzegids kijken, dan is InHolland in het algemeen hekkensluiter, maar enkele studies scoren toch goed.
Bron: http://www.dub.uu.nl/cont...recht-lager-dan-inholland, HBO Keuzegids
InHolland staat in de Elsevierlijst niet helemaal onderaan, maar als je naar de onderste 3 kijkt, staat InHolland er toch tussen.
Mocht je naar de HBO keuzegids kijken, dan is InHolland in het algemeen hekkensluiter, maar enkele studies scoren toch goed.
Bron: http://www.dub.uu.nl/cont...recht-lager-dan-inholland, HBO Keuzegids
[Reactie gewijzigd door H92! op zaterdag 26 november 2011 16:27]
Dit 'onderzoek' zegt echter niks over de kwaliteit. Dit vullen ze namelijk zelf in, het zijn de studenten die het invullen. Maar deze worden ook beïnvloed, kleinere scholen zullen altijd in zulke onderzoeken hogere scores krijgen. De studenten hebben niks om het mee te vergelijken, ze vergelijken het met dingen die ze over andere scholen horen of lezen.
School komt slecht in het nieuws → Studenten van andere scholen lezen dat → Denken dat hun eigen school beter is als dat wat ze lezen → Hogere scores → Scholen die slecht in het nieuws kwamen komen er weer slecht uit
Overigens gaan de meeste dingen in die enquête niks over de kwaliteit van onderwijs, ook de gebouwen, voorzieningen en dergelijke worden meegenomen. Ook de stad zelf telt mee, in Utrecht zijn geen kamers beschikbaar, dus daarom geven studenten daar lage scores voor.
Maar wat maakt een werkgever het uit of iemand in een slecht gebouw een opleiding heeft gevolgd of dat er geen huisvesting beschikbaar is in die stad. Het gaat om de vaardigheden van de afgestudeerde.
Toevoeging: Sommige scholen hebben ook meer doorstromers van het MBO, en ja. Als je je huidige HBO-opleiding gaat beoordelen met je MBO-opleiding in je gedachte hoef ik niet uit te leggen. In steden waar universiteiten staan zullen er ook mensen eerst een universitaire studie hebben gestart maar uiteindelijk toch een HBO-opleiding zijn gaan doen, of meer mensen kennen die op een universiteit zitten. Dat zorgt volgens mij ook voor hogere scores in steden waar geen universiteiten staan.
School komt slecht in het nieuws → Studenten van andere scholen lezen dat → Denken dat hun eigen school beter is als dat wat ze lezen → Hogere scores → Scholen die slecht in het nieuws kwamen komen er weer slecht uit
Overigens gaan de meeste dingen in die enquête niks over de kwaliteit van onderwijs, ook de gebouwen, voorzieningen en dergelijke worden meegenomen. Ook de stad zelf telt mee, in Utrecht zijn geen kamers beschikbaar, dus daarom geven studenten daar lage scores voor.
Maar wat maakt een werkgever het uit of iemand in een slecht gebouw een opleiding heeft gevolgd of dat er geen huisvesting beschikbaar is in die stad. Het gaat om de vaardigheden van de afgestudeerde.
Toevoeging: Sommige scholen hebben ook meer doorstromers van het MBO, en ja. Als je je huidige HBO-opleiding gaat beoordelen met je MBO-opleiding in je gedachte hoef ik niet uit te leggen. In steden waar universiteiten staan zullen er ook mensen eerst een universitaire studie hebben gestart maar uiteindelijk toch een HBO-opleiding zijn gaan doen, of meer mensen kennen die op een universiteit zitten. Dat zorgt volgens mij ook voor hogere scores in steden waar geen universiteiten staan.
[Reactie gewijzigd door TheodoorDG op zaterdag 26 november 2011 17:50]
Toevallig dat er vorige week een onderzoek is gepubliceerd waaruit blijkt dat Inholland en de universiteit Utrecht het meest in de smaak vallen onder scholieren. Voornamelijk de studiekeuzebegeleiding en het adviseren wat betreft profielen doen ze erg goed. Overigens denk ik dat het hele onderwijs in Nederland geen drol voorstelt. Gek is dat ook niet, welke idioot kwam ooit op het idee om pas geld te geven aan een instelling nadat een student afgestudeerd is?!
"Bij anderen is het slechter". Dat is wel de slechtste manier om de verdediging in te gaan. Als je dit soort fouten maakt moet je gewoon erkennen dat je er een zootje van hebt gemaakt en beterschap beloven. Dan pak je het professioneel op. Niet laf naar anderen gaan wijzen waar het nog slechter zou zijn.
@nas6ldr: Ja en nu komen ze lekker in het nieuws. Als ze slim zijn publiceren ze straks een stuk waarin staat hoe het heeft kunnen gebeuren, hoe ze het opgelost hebben en wat ze er in de toekomst aan gaan doen om dit soort dingen te voorkomen. Als ze daar ook de studenten nog eens bij betrekken (door vb als opdracht de studenten een audit uit te laten voeren) zijn ze helemaal goed bezig.
@nas6ldr: Ja en nu komen ze lekker in het nieuws. Als ze slim zijn publiceren ze straks een stuk waarin staat hoe het heeft kunnen gebeuren, hoe ze het opgelost hebben en wat ze er in de toekomst aan gaan doen om dit soort dingen te voorkomen. Als ze daar ook de studenten nog eens bij betrekken (door vb als opdracht de studenten een audit uit te laten voeren) zijn ze helemaal goed bezig.
[Reactie gewijzigd door sys64738 op zaterdag 26 november 2011 15:19]
En zodra Inholland dat inderdaad doet staat iedereen te wijzen en de brallen wat een zooitje het wel niet is.
Verder kijken dan je neus lang is.
Verder kijken dan je neus lang is.
Men (in het algemeen) is eigenlijk zo goed als nooit open in zulke zaken. Alhoewel het vele anderen zou kunnen helpen (preventie), zal men nooit vrijwillig de vuile was buiten hangen.Als ze slim zijn publiceren ze straks een stuk waarin staat hoe het heeft kunnen gebeuren, hoe ze het opgelost hebben en wat ze er in de toekomst aan gaan doen om dit soort dingen te voorkomen.
Wil je dit soort lekken grotendeels voorkomen, dan moet er openbaarheid worden afgedwongen: zodra het bekend is dat je gehackt bent, moet je dan gewoon met de billen bloot.
Maar dat gaat er niet komen - men hecht teveel aan vrije marktwerking en niet aan toezicht/controle/preventie. Die zaken hebben gewoon te weinig prioriteit als je vrije marktwerking aanhangt.
Tja, practice what you preach! Als ze het tijdens de lessen zo goed weten uit te leggen is het juist extra zuur dat hun site al deze fouten wel bevat.
En ga nou niet de gebeten hond uithangen door te roepen dat elke fout genadeloos afgestraft wordt. Je weet dat je met zo'n geschiedenis sowieso door de media in de gaten gehouden wordt. En fouten zoals dit mogen absoluut niet gebeuren natuurlijk en worden dus besproken in de media.
En ga nou niet de gebeten hond uithangen door te roepen dat elke fout genadeloos afgestraft wordt. Je weet dat je met zo'n geschiedenis sowieso door de media in de gaten gehouden wordt. En fouten zoals dit mogen absoluut niet gebeuren natuurlijk en worden dus besproken in de media.
Waarom zou hij niet de gebeten hond (mogen) uithangen, het is toch gewoon waar wat hij zegt? Daarnaast denk ik dat "practice what you preach" hier niet echt toepasbaar is. Dat de IT-docenten van InHolland weten waar ze het over hebben, wil nog niet zeggen dat het bedrijf dat verantwoordelijk is voor de websites dat ook doet...
Ik geloof direct dat InHolland over het gemiddelde van de Nederlandse HBO's zo slecht nog niet is. Zelf ben ik afgestudeerd aan een HBO in Friesland en het niveau van het school/opleidingsmanagement (en dus niet zozeer de lesstof) aldaar was ook echt treurig te noemen. Hoewel het wel heel gezellig was...
Ik geloof direct dat InHolland over het gemiddelde van de Nederlandse HBO's zo slecht nog niet is. Zelf ben ik afgestudeerd aan een HBO in Friesland en het niveau van het school/opleidingsmanagement (en dus niet zozeer de lesstof) aldaar was ook echt treurig te noemen. Hoewel het wel heel gezellig was...
Tja, heb op meerdere HBO's en uni's rond gelopen. Kan idd bevestigen dat voor zover ik heb gezien het verhaal van inholland overal opgaat. Er wordt aan alle kanten maar wat geklungeld en openlijk gefraudeerd. Maar die beerput gaat nog wel eens open...
Het is niet anders als het gemiddelde bedrijf waar net zo hard geklungeld wordt. Menig beslissing word genomen door mensen die in theorie het allemaal zouden moeten weten, maar in praktijk moet het zo goedkoop en zo snel mogeljk.
Vaak betreft het de beslissingnemers of stakeholders die bepaalde overwegingen maken en dat ten koste gaat van de kwaliteit. Of ik nu bij Overheid A, School B of bedrijf C binnen loop.
Vaak wordt er niet gekeken naar het type applicatie, het type functionaliteit, neej, alleen maar wat kost het, en wanneer kan het af zijn. Het liefst gisteren.
Daarbij komt het ook nog is een keer dat niet de kwaliteitsmensen worden ingehuurd om te toetsen of een applicatie voldoet aan de standaarden, veiligheid, etc.
Vaak betreft het de beslissingnemers of stakeholders die bepaalde overwegingen maken en dat ten koste gaat van de kwaliteit. Of ik nu bij Overheid A, School B of bedrijf C binnen loop.
Vaak wordt er niet gekeken naar het type applicatie, het type functionaliteit, neej, alleen maar wat kost het, en wanneer kan het af zijn. Het liefst gisteren.
Daarbij komt het ook nog is een keer dat niet de kwaliteitsmensen worden ingehuurd om te toetsen of een applicatie voldoet aan de standaarden, veiligheid, etc.
[Reactie gewijzigd door Mystic_Slayer op zondag 27 november 2011 03:20]
Inholland heeft inderdaad geen makkelijke periode achter de rug (om maar een understatement te gebruiken), maar voortdurende ongefundeerd negatieve opmerkingen als deze zullen ook niet bijdragen aan meer vertrouwen. Met dank aan onder andere GeenStijl die telkens een stok zoekt om Inholland mee te slaan. Waarom? Pageviews, als je het mij vraagt. Het werkt aanstekelijk, zo blijkt nu wel weer.
Ik weet dat er bij Inholland zowel in het openbaar (lees de interviews met Doekle Terpstra) als achter de schermen heel veel veranderingen plaatsvinden om beter en meer gedegen onderwijs aan te bieden. Daar doet deze ongerelateerde "scoop" over de subsites niets aan af.
Trouwens, als dit zulk groot nieuws is, zou ik wel de namen willen weten van al die grote organisaties die wél volkomen foutloos bezig zijn op ict-gebied...
Ik weet dat er bij Inholland zowel in het openbaar (lees de interviews met Doekle Terpstra) als achter de schermen heel veel veranderingen plaatsvinden om beter en meer gedegen onderwijs aan te bieden. Daar doet deze ongerelateerde "scoop" over de subsites niets aan af.
Trouwens, als dit zulk groot nieuws is, zou ik wel de namen willen weten van al die grote organisaties die wél volkomen foutloos bezig zijn op ict-gebied...
Ik kan me niet aan het idee onttrekken dat jij niet helemaal objectief bent in deze materie. Blijkbaar trappen mensen er nog in ook gezien je +2 scores.
Dat is inderdaad nogal een understatement. Typeer de periode gewoon correct in plaats van zo'n communicatietaal trucje te gebruiken.geen makkelijke periode
Zo ongefundeerd is alles niet want Geenstijl heeft vaak gewoon bronnen waarom het weer eens niet klopt bij InHolland. Bij jouw post zie ik geen enkele bron staan waarom het wel goed zou zijn bij InHolland of waarom deze berichtgeving (van Geenstijl) niet klopt. Iets wat overigens alle bedrijven en organisaties in Nederland al weten. Mensen met een InHolland diploma worden bij voorbaat afgewezen of komen onderop de stapel.voortdurende ongefundeerd negatieve opmerkingen
Mooi dat jij het weet. Jij bent waarschijnlijk een van de weinigen.Ik weet dat
Ze gaan proberen te doen wat ze eigenlijk al lang hadden moeten doen dus? Gewoon gedegen HBO onderwijs geven. Dat zal nog een zware dobber worden want dat hebben ze de voorbije jaren verzuimd om te doen.om beter en meer gedegen onderwijs aan te bieden.
[Reactie gewijzigd door ChicaneBT op zaterdag 26 november 2011 16:06]
Omdat je me zo persoonlijk aanspreekt, ga ik kernachtig op je reactie in.
- Ironisch taalgebruik komt vaak niet over op het web. Maakt niet uit .
- Volstrekte objectiviteit is niet vereist in reacties op Tweakers. Ik geef zoals de meesten hier enkel mijn standpunt weer. Doe ermee wat je wilt. Het gaat eerder om de kracht van argumenten; die van Martijntj waren zwak en daar reageerde ik op.
- De bron die ik noem zijn diverse interviews met Doekle, waar hij (en de hogeschool) op afgerekend kunnen worden. Sowieso is dit bericht van GeenStijl veel geschreeuw en weinig wol, zeker als je dit geval vergelijkt met andere, veel ernstigere hackpogingen.
- Veel werkgevers kijken gelukkig meer naar persoonlijke kwaliteiten en/of ervaring dan alleen naar de opleiding. Heb ik geen hard bewijs van, moet je maar van me aannemen.
- Goede kans dat Inholland van alle hogescholen nu wel het scherpst op kwaliteit gefocust is. Best een goede garantie voor kwaliteit de komende jaren, lijkt mij.
[Reactie gewijzigd door Randfiguur op zaterdag 26 november 2011 18:47]
Wel een hele zware beschuldiging terwijl je bij even wat onderzoek kunt zien dat bijv. pabo-inholland.nl een ip-adres heeft die op naam staat van Protagonist. Dit is een organisatie die o.a. websites bouwt en host. Het is vrij normaal dat organisaties, hoe groot of klein dan ook, websites uitbesteden aan derde partijen. Zij moeten zich dan baseren op wat die hun vertellen. Zomaar eventjes dit soort dingen op sites gaan testen is iets wat juridisch een hele lastige zaak zal zijn. Je mag namelijk wel je eigen spul zo testen maar niet dat van een ander. Dan spreekt men van hacking (en alle bijbehorende termen zoals computervredebreuk) wat bij wet verboden is. Je hebt dus ook niet echt een andere keus dan af te gaan op wat die partij je doet geloven. Als zij de boel bouwen, hosten en verder beheren dan moet je dit soort security issues ook bij die derde partij in de schoenen schuiven en niet bij de opdrachtgever (inHolland). En dan heb ik het nog maar niet over het feit dat het zelfs niet eens vast staat dat Protagonist ook de bouwer van de site is, wellicht doen die alleen de hosting. Er zijn dus veel te veel mogelijkheden waardoor je meer onderzoek moet doen om de schuldige(n) aan te kunnen wijzen. inHolland als schuldige aanwijzen is dan ook pure gemakzucht.
Dit is dus weer typisch Geenstijl: vooral heel hard brullen, een beetje onderzoek naar al die dingen...sja, daarmee schrijf je geen mooie journalistiek en vang je geen bezoekers. Dan doemen dingen als smaad/laster al vrij snel in de verte op...
Dit is dus weer typisch Geenstijl: vooral heel hard brullen, een beetje onderzoek naar al die dingen...sja, daarmee schrijf je geen mooie journalistiek en vang je geen bezoekers. Dan doemen dingen als smaad/laster al vrij snel in de verte op...
[Reactie gewijzigd door ppl op zaterdag 26 november 2011 15:44]
Hallo Martijn,
Als je goed naar de domeinnamen had gekeken had je kunnen zien dat het niet gaat om subdomeinen van Inholland. De sites zijn buiten verantwoordelijkheid, maar waarschijnlijk met de beste bedoelingen, van Inholland door derden ontwikkeld en beheerd. Het heeft de beheerders ook veel moeite gekost om middels de providers deze sites te laten sluiten.
Oftewel Inholland grijpt in bij slecht gemaakte en slecht beheerde websites met naam Inholland er in. Je zou hooguit kunnen zeggen dat een dergelijke maatregel, het ingrijpen in andermans websites, een wel erg vergaande maatregel is.
Overigens verteld onderdstaande discussie veel over het ontstaan van dergelijke websites. Ik zou zeggen, schrijf je in voor een opleiding BI, dan leer je wat over het omgaan met dergelijke dilemma's
Als je goed naar de domeinnamen had gekeken had je kunnen zien dat het niet gaat om subdomeinen van Inholland. De sites zijn buiten verantwoordelijkheid, maar waarschijnlijk met de beste bedoelingen, van Inholland door derden ontwikkeld en beheerd. Het heeft de beheerders ook veel moeite gekost om middels de providers deze sites te laten sluiten.
Oftewel Inholland grijpt in bij slecht gemaakte en slecht beheerde websites met naam Inholland er in. Je zou hooguit kunnen zeggen dat een dergelijke maatregel, het ingrijpen in andermans websites, een wel erg vergaande maatregel is.
Overigens verteld onderdstaande discussie veel over het ontstaan van dergelijke websites. Ik zou zeggen, schrijf je in voor een opleiding BI, dan leer je wat over het omgaan met dergelijke dilemma's
Heeft het offline halen van deze sites niet wat lang geduurd? 
Dat is nou jammer, die school had nou juist zo'n goede naam opgebouwd...
On-topic: ik zou verwachten dat een beetje competente beheerder die het ICT-nieuws de laatste maanden gevolgd heeft uit zichzelf ook al na gaat of zijn systemen in basis al veilig zijn (dus wachtwoorden versleuteld opslaan, basistest voor SQL injecties...)
Zonder verstand van zaken te hebben: als je *nu* nog vatbaar blijkt voor dit soort aanvallen, dan heb ik het gevoel dat er of te weinig tijd/geld/whatever voor ICT is, of dat de beheerder incompetent is.
On-topic: ik zou verwachten dat een beetje competente beheerder die het ICT-nieuws de laatste maanden gevolgd heeft uit zichzelf ook al na gaat of zijn systemen in basis al veilig zijn (dus wachtwoorden versleuteld opslaan, basistest voor SQL injecties...)
Zonder verstand van zaken te hebben: als je *nu* nog vatbaar blijkt voor dit soort aanvallen, dan heb ik het gevoel dat er of te weinig tijd/geld/whatever voor ICT is, of dat de beheerder incompetent is.
Vaak dat laatste... 'Oude rotten, vastgeroest in hun werk...'
Dat is niet mijn ervaring. Vaak zijn ontwikkelaars goed op de hoogte van de gevaren van dingen als SQL Injectie en weten daar ook mee om te gaan.
Het probleem ligt hem vaak dat het alleen toegepast kan worden op nieuwe projecten of wanneer een deel aangepast moet worden. De tijd en geld voor het nalopen van oude code is er vaak niet.
Gelukkig heb ik nu wel een gevoel dat door alle berichten de laatste tijd hier meer tijd en geld voor vrij komt.
Het probleem ligt hem vaak dat het alleen toegepast kan worden op nieuwe projecten of wanneer een deel aangepast moet worden. De tijd en geld voor het nalopen van oude code is er vaak niet.
Gelukkig heb ik nu wel een gevoel dat door alle berichten de laatste tijd hier meer tijd en geld voor vrij komt.
Het is vaak niet dat men kijkt naar nieuwe projecten of wat dan ook. Het is vaak dat men pas gaat aanpassen of verbeteren indien er aan het ligt komt dat er een grove fout aanwezig is.
Het is allemaal reactief ipv pro-actief.
Ohh een site draait al 10 jaar zonder problemen, dan kan deze prima nog gebruikt worden. Voegen we even wat toe en voìla het werkt prima
Dat een eindgebruiker niet weet hoe hij of zij een SQL injection moet testen dat is logisch, maar een willekeurig bedrijf dient in weze iedere functionaliteit grondig na te lopen jaarlijks om met de recente ontwikkelingen mee te komen, te toetsen en opnieuw vast te stellen of het voldoet.
Zolang men dat niet doet, kan men er donder opzeggen dat dit soort ellende naar voren blijven komen.
Het is allemaal reactief ipv pro-actief.
Ohh een site draait al 10 jaar zonder problemen, dan kan deze prima nog gebruikt worden. Voegen we even wat toe en voìla het werkt prima
Dat een eindgebruiker niet weet hoe hij of zij een SQL injection moet testen dat is logisch, maar een willekeurig bedrijf dient in weze iedere functionaliteit grondig na te lopen jaarlijks om met de recente ontwikkelingen mee te komen, te toetsen en opnieuw vast te stellen of het voldoet.
Zolang men dat niet doet, kan men er donder opzeggen dat dit soort ellende naar voren blijven komen.
Onderschat ook vooral niet de financiële kant. Tijd voor refactoring en maintenance om oude systemen te verwijderen of op zijn minst up-to-date te houden moet je ook maar krijgen van een management dat nauwelijks resultaat ziet van toch erg nuttig werk ("kost veel, levert weinig op" lijkt de gedachte).
Desalniettemin wederom schande dat wachtwoorden door een developer in plaintext worden opgeslagen. Iedere instantie zou het afgelopen jaar toch op zijn minst moeten hebben gedacht om een security audit te houden.
Desalniettemin wederom schande dat wachtwoorden door een developer in plaintext worden opgeslagen. Iedere instantie zou het afgelopen jaar toch op zijn minst moeten hebben gedacht om een security audit te houden.
Zal vast wel weer PHP zijn, en die code kan je nalopen met een simpele grep. Het vinden zal niet meer dan een paar uur kosten. Het fixen een paar dagen. Nu moet dat alsnog gebeuren en moet er omgegaan worden met de negatieve publiciteit. Wat is duurder?
Dingen als plain text passwords kan je natuurlijk in een minuut in de database direct zien. En het aanpassen + testen is nu ook niet weer zo heel ingewikkeld.
Dingen als plain text passwords kan je natuurlijk in een minuut in de database direct zien. En het aanpassen + testen is nu ook niet weer zo heel ingewikkeld.
Wachtwoorden in plaintext? Dan moet je je echt schamen als ontwerper.
Ik lees dat wel vaker bij geslaagde hacks. Oude sites worden -natuurlijk- niet meer up-to-date gehouden en blijkbaar is er niemand binnen zo'n organisatie die eens op het idee komt om de oude zooi offline te halen.Pabo-inholland.nl lijkt overigens een oude site die inmiddels vervangen is
[Reactie gewijzigd door dataworm op zaterdag 26 november 2011 14:07]
Misschien de volgende keer eerst even goed kijken bij sidn. Alle genoemde sites zijn niet van inholland maar van derde.
Dus iedere organisatie brengt voortaan de website onder in een stichting om vervolgens daar heen te wijzen als het kwa beveiliging misgaat, ook als is die organisatie de gebruiker of zelfs opdrachtgever van de site?
Wauw, dat zou makkelijk zijn. Overigens is het niet waar wat je zegt. Alleen de bij de laatste wijst de domeinhouder niet direct op betrokkenheid.
Het zou ook wel netjes zijn als je bij je reactie vermeldt dat je zelf van de ICT-afdeling van InHolland bent...
Wauw, dat zou makkelijk zijn. Overigens is het niet waar wat je zegt. Alleen de bij de laatste wijst de domeinhouder niet direct op betrokkenheid.
Het zou ook wel netjes zijn als je bij je reactie vermeldt dat je zelf van de ICT-afdeling van InHolland bent...
- pabo-inholland.nl: Hogeschool Inholland, School of Education
- mkbloket-inholland.nl: Stichting Hoger Onderwijs Nederland, direct verbonden aan Inholland
- inholldandtv.nl: houder volgens LinkedIn Gast docent at Hogeschool Inholland
[Reactie gewijzigd door Floppus op zaterdag 26 november 2011 15:00]
Aan de andere kant: wel dapper dat iemand zo open, zonder vreemde nick name maar met z'n eigen naam, hier op het forum reageert. Ik mag aannemen dat een beetje ICTer wel weet dat z'n naam zo ge-googled is.
Siert niet echt om iemand als schuldige aan te wijzen als allerminst duidelijk is dat die ook daadwerkelijk het ontwerp en het beheer doet! Ben jij soms onderdeel geweest van het Tolteam die met alle geweld Andre de Vries voor de rechter veroordeeld wilde krijgen voor de vuurwerkramp? Ook daar werd 1 iemand als schuldige aangewezen terwijl van alle kanten bleek dat ie er niets mee te maken had. Pas daar mee op want je zit zo aan de smaad/laster!
Doe even normaal... Ik wijs niemand als persoonlijke schuldige aan voor wat dan ook. Ik houd me bij de feiten, en feit is dat hij bij ICT van Inholland werkt, en probeert het nieuws te invalideren met de stelling dat Inholland er geen betrokkene bij is.
Iedere organisatie ongeacht of hij nu zijn websites of applicaties uitbesteed aan een derde partij is en blijft verantwoordelijk voor de kwaliteit.
Iedere organisatie dient dus de kwaliteit te waarborgen ongeacht of het nu uitbesteed is of niet. En indien je applicatie beheerder bent, of change manager bent of je bent stakeholder dien je je verantwoordelijkheid te nemen.
Ik ben geheel met Floppus eens, het invalideren van nieuws is niet wijs, en indien de heer inderdaad van InHolland is, is het misschien wijzer om niet in te gaan op nieuwsitems gaande over zijn werkgever. (TIP!)
Iedere organisatie dient dus de kwaliteit te waarborgen ongeacht of het nu uitbesteed is of niet. En indien je applicatie beheerder bent, of change manager bent of je bent stakeholder dien je je verantwoordelijkheid te nemen.
Ik ben geheel met Floppus eens, het invalideren van nieuws is niet wijs, en indien de heer inderdaad van InHolland is, is het misschien wijzer om niet in te gaan op nieuwsitems gaande over zijn werkgever. (TIP!)
Als ik even snel op scheunhage zoek, zie ik dat u M. Scheunhage bent, medewerker bij Inholland.
Informatief om te laten weten dat het sites van derde zijn, maar misschien volgende keer dit middels een persbericht, of een e-mail aan Tweakers.net zodat zij het artikel een update kunnen geven?
Informatief om te laten weten dat het sites van derde zijn, maar misschien volgende keer dit middels een persbericht, of een e-mail aan Tweakers.net zodat zij het artikel een update kunnen geven?
Welke tweaker heeft die mail gestuurd? 
Maar de hogeschool maakt zijn reputatie wel waar.
Maar de hogeschool maakt zijn reputatie wel waar.
Ze kunnen beter de naam Inholland opdoeken en met een andere naam beginnen om wat geloofwaardigheid te krijgen
Ze nemen inderdaad een dienst af, maar dat maakt ze toch niet minder verantwoordelijk? Als ze slechte trappenhuizen hadden gekocht en deze storten op een drukke dag allemaal in, reken maar dat InHolland dan verantwoordelijk is. Of ze de schadeclaims dan doorspelen naar Jan Ladders & co. moeten ze zelf weten.
Op dit item kan niet meer gereageerd worden.
Populair: Tablets Samsung Websites en communities Mobiele telefoons Google Microsoft Sony Games Politiek en recht Galaxy S
© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies
Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True
