Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 34 reacties
Bron: security.nl

Eerder vandaag meldden we dat er proxyservers (met name die van de KPN) waren die 'gewone' plaatjes vervingen door plaatjes van pornografische aard.
Toen was nog niet duidelijk wat de oorzaak was van het verschijnen van de plaatjes, nu is duidelijk geworden dat het een fout is in de Netcache proxy-servers die ze gebruiken (geen MS-proxy dus, zoals aangenomen werd), wat precies de fout is staat in deze quote:

De bug zorgt er voor dat in extreme gevallen sommige objecten uit de stroom objecten tussen twee sites waarmee de NetCache een persistent connectie opzet met elkaar worden verwisseld (in dit specifieke geval werden plaatjes dus wel verwisseld). Deze bug is erg moeilijk te herkennen en te reproduceren (dat is wel te zien aan de 'vage' meldingen die gedaan werden).

Het is dus niet zo dat er alleen porno-plaatjes verwisseld werden, maar het kan met alle plaatjes gebeurd zijn, alleen bij porno valt het natuurlijk wat meer op en het zou dus bij alle ISP kunnen voorkomen die Netcache proxy's gebruiken (dat zijn er veel).
Het hele verhaal staat hier bij security.nl.

Moderatie-faq Wijzig weergave

Reacties (34)

'k vraag me toch af hoe je zulks verkeerd kan programeren zonder dat het dan gans de tijd misloopt.
hoe programmeer je trouwens dat je 2 plaatjes binnenhaalt en ze dan omwisselt? Lijkt me niet meteen een logische programmeerfout.
Programmer-Barbie: Pointer arithmetic is hard!


Het verwisselen van twee plaatjes is moeilijk. Het verwisselen van twee pointers is een pies of keek.

{Edit:} Simpel, ergens diep in gecompliceerde if-then-else statements wordt per ongeluk *i + 1 gebruikt ipv *i, of andersom, of whatever. Dus Het gaat alleen maar fout als "dit, en dat, en dat, en dat" samen het geval zijn.. waarbij een van de factoren nog op timestamp gebaseerd kan zijn ofzo.. Ik heb wel eens code gelezen die vrij erg was in dat soort dingen.

Disclaimer: IANAP.
IANAP? Wat betekent dat nou weer?
I Am Not A Programmer :)
Zie ook IANAL (.... Lawyer) in juridisch getinte discussies.
Standaard disclaimertje.
Gokje: IANAP = I Am Not A Programmer.
Xunder: Kan ook in C hoor, maar slechte stijl (hou inc/dec en references gescheiden) en de eerste hoogt je pointer op (i), de tweede de data (*i). Zo'n bug zou er heel wat eerder uit zijn.
Disclaimer: IAJACPPP :)
jaja... met de eerste verhoog je de inhoud van geheugenadres 'i' nadat je de waarde doorgegeven heb, en met de 2e doe je hetzelfd alleen dan voor je de dat gepaast heb
i=6
test=i++; -> test=6; i=7;
test=++i; -> test=7; i=7;
Omdat je *i doet spreek je de de waarde aan waaraan door pointer i gerefereerd wordt, en niet de pointer zelf.. i++ zou inhouden dat pointer 'i' met 1 word opgehoogd en niet de waarde, b.v. geheugen adres in 'i'=&h01 en wordt &h02
jah, maar niet zo dat de 'error' moeilijk te reproduceren valt! (dat bedoel'k met die eerste regel)
In C++ dus nog makkelijker ?

*i++ of ++*i ?

Maar ik vraag me af of er wel genoeg gestress-test is.
Blijft een vervelende bug.
Wat dacht je van:
(*i++)++;
:P
Ik heb ooit eens een stukje code gezien van MS SQL 6.5 omdat hij vastliep toonde hij wat debug informatie:
*(spp[4]->sp[i]->data);
Ik ben blij dat ik niet in het onderhoudsteam van MS zit voor SQL Server :)
Euh porno is toch zo gewoon op internet dat het juist opvalt als plaatjes geen porno zijn :7
Jammer dat het niet zo makkelijk te reproduceren valt anders hadden we mooi }:O kunnen zenden naar mensen die plaatjes wilden zien...


Denkend aan Holland zie ik computers vol }:O
porno is toch zo gewoon op internet dat het juist opvalt als plaatjes geen porno zijn
Zo is de fout ook gevonden. Het viel op dat er te veel normale plaatjes op het scherm te zien waren...
[verslaafd]
Normale plaatjes is toch porno?
[/verslaafd]
Als je het artikel op security.nl leest ga je je toch wel even achter de oren krabben. Die NetApp's zijn namelijk niet de goedkoopste apparaten. Maar het ergste is deze quote:
Navraag bij Netapp gaf aan dat er inderdaad sprake is van een bug. (...) Er is een patch, deze zal worden geinstalleerd zodra wijc deze beschikbaar hebben.
Wat zegt dit nu precies: ten eerste, dat Netapp kennelijk geen mailinglist oid voor problemen heeft, of dat KPN daar niet op aangesloten is. Beide erg slordig. Bovendien is het kennelijk niet makkelijk om de nodige patches te pakken te krijgen... Allebei een slechte zaak!
Ik zou inderdaad weleens willen weten hoe dat zit. Of dat Netapp slordig is weet ik niet, maar het ligt niet in de lijn der verwachting dat KPN met man en macht probeert een efficiente en effectieve relatie met haar leveranciers te onderhouden. Ze zijn zelf immers ook niet efficient en effectief in hun bedrijfsvoering :P

En als je dan die verhalen hoort over de eerste weken van Installatie van MXstream, uitgevoerd door een schijnbaar nogal prutserig bedrijf. dat is toch;

A geen manier om een product te introduceren?
B een bewijs dat je je leveranciers niet goed monitored? (ok berijf was na paar weken vervangen, maar ze zijn wel door de "ahem..kwaliteitscontrole" heengekomen.)

Een hekel hebben aan KPN wordt steeds leuker want ze maken fout na fout |:(
Pictures On Random Netcache Objects :)
het is hoe dan ook een goeie grap h, softwarefout of niet! Alleen vervelend als je ff cnn.com zit te bekijken en ze koppen
"Revolution in Yugoslavia"
en je ziet daar ff iemand een vette blowjob geven :P
pot ver drie dubbeltjes
Porno op het internet,,,
mag dat eigenlijk wel, ik vind het maar een vieze zaak hoor. :r

maar dat slaat toch nergens op, ja programmeerfout, hij copieert het porno!!!

Tuurlijk!!!
Het is dus niet zo dat er alleen porno-plaatjes verwisseld werden, maar het kan met alle plaatjes gebeurd zijn, alleen bij porno valt het natuurlijk wat meer op
Het is dus een gewone programmeerfout :( en niet een hele grove Eastern Egg
Lastig te reproduceren bug... ik ken dat :)
Als ik mijn progs de wijde wereld instuur komt er ook soms een hele vage bug, zoals 'als ik dit en dit doe gebeurt er soms dit en soms niet (=dan crasht ie)'.. kan ik weer uitzoeken wat er fout zit, want aan die vage runtime foutmeldingen van VB :o ('Runtime error 5: type mismatch') heb ik ook niet veel.
Gelukkig helpt het om in _elke_ procedure een error handler te zetten die zegt WAAR die pokkenfout opgetreden is :)
Het is waar... 60% van een prog is error handling |:(
Een bug is alleen lastig te reproduceren als je niet precies weet wanneer die optreedt en dus ook nog niet weet wat de bug inhoudt.
Degene die de bug moet oplossen, kan hem vinden in de broncode en dus reproduceren.
Als het niet eens reproduceerbaar is, dan kan het niet opgelost worden. Op het moment dat hij opgelost kan worden, kan hij ook gereproduceerd worden.
En iedereen maar gelijk M$ de schuld geven :r, Bill Gates is niet de enigste die bugs de wereld in lanceert :)
Alle software bevat "bugs" veelal zijn het echter programma REacties die optreden naar onverwachte acties van de gebruiker.

Wie was het die zei "always expect what you least expect" ??

Ben nu zelf bezig met een Siemens GSM modem, die dingen staan standaard op "operate at random" geloof ik :(
Erg slordig natuurlijk als blijkt dat er een bug in zit die al bekend is en ook nog eens wijdverspreidt zit. Echter de KPN valt niets te verwijten. Het enige wat ze verweten kunnen worden is dat ze evt. eerder actie ondernomen hadden "moeten" nemen.

Ikzelf vind het nogal slecht van Netcache dat de patch nogal lang op zich laat w88 want ik had begrepen dat mensen er al vrij lang last van hadden. Het kan zijn dat KPN klanten verloren heeft door dit voorval. Of dit reel is om te zeggen is een ander verhaal, maar ik zou het me voor kunnen stellen.


* 786562 Heerser

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True