Politie dicht privacylek in Mijnpolitiebureau.nl

De regiopolitie Noord-Holland Noord heeft in allerijl een 'privacylek' in zijn website Mijnpolitiebureau.nl gedicht. Op de site kunnen automobilisten hun flitsfoto zien, maar met een beetje creatief surfen waren ook andere foto's te bekijken.

Medio februari maakte het politiekorps bekend een speciale website te hebben geopend waar mensen met een speciale code, die op de beschikking wordt afgedrukt, kunnen inloggen om de flitsfoto te bekijken. Behalve de foto kunnen mensen daar ook aanvullende informatie inzien die volgens de Wet Openbaarheid van Bestuur voor burgers opvraagbaar moet zijn. Hierbij gaat het bijvoorbeeld om het ijkrapport van het flitsapparaat en of de bekeurende politieagent over de juiste bevoegdheden beschikt.

Een bezoeker van Flitsservice.nl heeft echter ontdekt dat de makers van de website het bezoekers niet moeilijk maakten om foto's van andere overtreders op te vragen. Nadat iemand was ingelogd met behulp van de speciale code, bleek het mogelijk om de image-directory te bekijken. Hierdoor konden de flitsfoto's van anderen worden bekeken. "Door een menselijke fout was het mogelijk om van maximaal 22 overtredingen de foto te zien. Wij benadrukken dat er geen enkele andere informatie of gegevens geraadpleegd konden worden. Er waren alleen voertuigen en kentekens te zien", stelt het korps, dat benadrukt dat de fout inmiddels is verholpen.

Volgens Ronald Prins van Fox-IT had deze fout eenvoudig voorkomen kunnen worden. "Dit is basisregel nummer één voor iedere systeembeheerder. Om dit goed te regelen hoef je geen expert te zijn", aldus Prins tegenover de Telegraaf. "De politie heeft over het algemeen haar digitale zaken goed op orde, maar lokale projecten worden vaak geregeld door de ict-leverancier om de hoek. Dan gaat het mis."

De dienst, Boetevolgservice geheten, moet het aanvragen van flitsfoto's voor burgers vereenvoudigen en het administratieve werk bij de politie verminderen. De 25 regiokorpsen in Nederland zouden jaarlijks tienduizenden vragen binnenkrijgen van automobilisten die na te zijn geflitst een bekeuring hebben ontvangen. Sommige automobilisten zouden herhaaldelijk bij de politie gedetailleerde informatie opvragen, met als doel de boeteverwerking te traineren.

Imagecredit: Flitsservice.nl

IT-banen

Reacties (61)

Drexz 24 maart 2009 09:13

Ik snap echt niet dat er niet een volledige securityscan is gedaan voor een site zoals deze live gaat.

De overheid heeft namelijk gewoon een afdeling die dit soort dingen kan doen, govcert.

Eigenlijk zou het verplicht moeten zijn MINIMAAL twee onafhankelijke partijen naar dit soort applicaties te laten kijken en dan met name naar de veiligheid.

Het is een beetje vreemd dat dingen zoals de webrichtlijnen wel verplicht worden, maar security niet...

jbdeiman @Drexz • 24 maart 2009 09:28

En dat is weer een nadeel als het van een corps zelf uitgaat. De overheid gaat daar geen grote kosten aan spenderen en wil eerst eens kijken of er winst uit het systeem gehaald kan worden.
In het artikel wordt het volgende aangegeven:

"De politie heeft over het algemeen haar digitale zaken goed op orde, maar lokale projecten worden vaak geregeld door de ict-leverancier om de hoek. Dan gaat het mis."

Oftewel: Het was geen groot overheidsproject, maar een lokaal project. Dit betekend niet dat de veiligheid minder van belang is, maar wel dat de overheid geen grote kosten maakt voor testen van de veiligheid. Directory listing vind ik overigens ook wel iets wat een hoster standaard uit moet hebben staan, maar wat een klant naar wens aan kan zetten. De klant hoeft er dan, mits hij/zij het zelf niet aanzet, niet eens op te letten dat de boel niet zomaar zichtbaar is in een mapje.

Overigens snap ik jullie ophef niet helemaal, behalve de foto zelf was er niets te zien -> Een auto/ kenteken kan je ook op de weg zien rijden, is dat dan ook privacy gevoelige informatie?
De gegevens van de bekeurde persoon waren verder niet zichtbaar.

Drexz @jbdeiman • 24 maart 2009 09:39

De ophef (voor mij) is niet eens over de gegevens maar de manier waarop er met (web)applicaties wordt omgegaan.

Wat ik dus niet snap is dat hier niet een harde eis voor staat, omdat die wel wordt gesteld aan dingen zoals vormgeving.

Ookal is het misschien een relatief klein project, het gaat wel om een website waar de meeste burgers gebruik van moeten kunnen maken. Als je die doelgroep hebt moeten er naar mijn mening hogere eisen worden gesteld aan zaken zoals veiligheid (ook aan dingen zoals performance en stabiliteit).

Het is misschien duur, maar websites die voor (alle) burgers worden gemaakt zijn geen kleine projecten. De overheid moet beseffen dat ze niet de bakker op de hoek zijn en dus altijd met andere eisen (moeten) werken.

De meeste overheidsorganisaties zijn heel strict als het gaat over publiceren/uitwisselen persoonlijke gegevens. Dan zou je ook wel kunnen zeggen ik weet toch ook het adres van mijn buurman.

Het is wel zo dat veel van deze gegevens ook op een andere manier verkregen kunnen worden, dat vind ik geen excuus om er dan maar slordig mee om te springen.

Want dan zouden ze net zo goed alle foto's online kunnen zetten zonder enige vorm van beveiliging. Zoals bijv. google streetview gewoon alle straten laat zien.

Je kunt niet claimen dat het veilig is terwijl het niet zo is...

[Reactie gewijzigd door Drexz op 24 juli 2024 04:20]

miw @Drexz • 24 maart 2009 10:50

Verder wordt deze site ook nog eens gepromoot door het gebruik van DigiD, waarmee toch een zekere indruk van betrouwbaarheid wordt gewekt.

Firestormer 24 maart 2009 09:09

Daarom kunnen we de overheid onze persoonlijke gegevens niet toevetrouwen.
Blunderen met persoonsgegevens en daarna foutje bedankt

Equator Crew Council @Firestormer • 24 maart 2009 09:18

Niet om het een of ander, maar dit is een initiatief van het regio korps zelf. Dat is waarschijnlijk uitbesteed aan een 3e partij.

Dat zij daarmee blunderen is inderdaad dom. Maar laten we wel wezen: Dit is niet gemaakt/ondersteund/geleverd/gehost door een politie ICT dienst.

kramerty88 @Equator • 24 maart 2009 09:37

Dat zij daarmee blunderen is inderdaad dom. Maar laten we wel wezen: Dit is niet gemaakt/ondersteund/geleverd/gehost door een politie ICT dienst.

Het is inderdaad een fout, maar het is wel de politie, het gerechtelijk zijn van de Nederlandse staat. Zij hebben de taak ons te controleren, dan mag je met zulke privacygevoelige informatie toch wel verwachten dat ze het OF door een capabel bureau laten opzetten/uitvoeren OF het grondig laten checken.

Dan is nu het geluk dat in dit geval het slechts om flitsfoto's gaat, maar wat als bijvoorbeeld de rechtbank dossiers online zet en dit gebeurd? Het is de verantwoordelijkheid van Justitie Nederland om dit in geen enkel geval te mogen laten voorkomen. Zij zijn verantwoordelijk ook voor de kleine korpsen die hun leuke initiatieven hebben.

Equator Crew Council @kramerty88 • 24 maart 2009 12:40

[...]
Het is inderdaad een fout, maar het is wel de politie, het gerechtelijk zijn van de Nederlandse staat. Zij hebben de taak ons te controleren, dan mag je met zulke privacygevoelige informatie toch wel verwachten dat ze het OF door een capabel bureau laten opzetten/uitvoeren OF het grondig laten checken.

Kijk, daar heb je het probleem te pakken. Wanneer een regiokorps dergelijke zaken wil uitbesteden, is dat hun eigen feestje, ze zijn niet verplicht dit via een specifieke route te laten doen. Dan is het dus gewoon een $kantoor-persoon die een derde partij vraagt iets dergelijks te maken. Die derde partij ruikt centjes, en maakt zoiets voor een leuke prijs en het korps is blij. Dat zo'n site dan niet op dergelijke fouten/blunders/veiligheid wordt gecontroleerd is zeer jammer. Maar dat is dan de verantwoordelijkheid van dát korps.
We moeten dan alleen niet de gehele regering/overheid/politie nederland over de spreekwoordelijke kam scheren, want dat is gewoon makkelijk zeuren.

Dan is nu het geluk dat in dit geval het slechts om flitsfoto's gaat, maar wat als bijvoorbeeld de rechtbank dossiers online zet en dit gebeurd? Het is de verantwoordelijkheid van Justitie Nederland om dit in geen enkel geval te mogen laten voorkomen. Zij zijn verantwoordelijk ook voor de kleine korpsen die hun leuke initiatieven hebben.

Uh, Justitie heeft hier niets mee te maken hoor, Politie valt onder het ministerie van Binnenlandse Zaken en Koninkrijksrelaties (Min BZK).

Anoniem: 80487 @Equator • 24 maart 2009 09:40

Daar heb ik als burger gewoon niets mee uit te staan. Politie is politie en dat is onderdeel van de regering.
Laten we trouwens niet doen dat dit de eerste blunder is vanuit regering.
Dat hele OV chipkaart is er nog 1 op nog grotere schaal bijvoorbeeld.

[Reactie gewijzigd door Anoniem: 80487 op 24 juli 2024 04:20]

blouweKip @Anoniem: 80487 • 24 maart 2009 18:47

En de regering haalt zn macht van het parlement, wat ons weer vertegenwoordigd, het is dus eigenlijk mede jou schuld dat er zo "geblunderd" wordt.

Het grote probleem vind ik al die verkeerscriminelen die belastinggeld verspillen door het boete proces te traineren terwijl ze verrekte goed weten dat ze fout zaten, het zijn vaak ook nog eens dezelfde figuren die klagen over politici/overheid/politie, de klaag asotjes (de geenstijl generatie, hoewel deze mensen zeer slecht tegen kritiek op hun eigen handelen kunnen, want ze hebben vanuit hun stormfront wereldbeeld immers de waarheid in pacht)

/rant

Een ontopic: wel jammer dat overheden nog steeds niet instaat zijn om fatsoenlijk ict personeel/bedrijven te vinden wat dit soort problemen voor kan zijn.

Djordjo @Equator • 24 maart 2009 09:38

Wat een onzin zeg. Het maakt mij helemaal niet uit door wie het gemaakt/ondersteund/geleverd/gehost wordt, het gaat mij erom wie het gebruikt. En dat is in dit geval de politie, en die gebruikt onze persoonsgegevens.

Equator Crew Council @Djordjo • 24 maart 2009 12:49

Wat een onzin zeg. Het maakt mij helemaal niet uit door wie het gemaakt/ondersteund/geleverd/gehost wordt, het gaat mij erom wie het gebruikt. En dat is in dit geval de politie, en die gebruikt onze persoonsgegevens.

Een flitsfoto is IMO geen persoonsgegeven. De meeste mensen kunnen niet zomaar de RDW gegevens opvragen en er een naam en adres aan koppelen.

Laten we duidelijk zijn, ik vind het behoorlijk sneu, dat zoiets niet eerder is gevonden, en opgelost, maar om heel Politie NL er nou voor af te zeiken is weer het andere uiterste

MicGlou @Firestormer • 24 maart 2009 10:08

Persoonsgegevens? Een foto die ieder andere gek ook van je auto kan maken en op internet kan plaatsen... overdrijven is ook een vak hè

Het is uiteraard slordig maar wat je nu roept slaat nergens op, het ging puur en alleen om het kunnen bekijken van een directory waar een aantal flitsfoto's instonden. Blunderen? Absoluut niet... slordig, zeer zeker.

noes @MicGlou • 24 maart 2009 10:14

Wel degelijk persoonsgegevens: als je daar je kenteken vindt, weet je dat je te hard hebt gereden. En wellicht staat er ook een timestamp op de foto, dan weet je meteen dat die persoon daar rond die tijd geweest is. En wellicht herken je de kentekenplaat van je buurman/vriend/vriendin/werknemer wel.

Sowieso, slordig! Beveiligen is zo makkelijk in dit geval: een lege index.html (maar dan kan je nog filenames guessen), of gewoon de foto's in een dir boven de public html zetten en middels een PHP file verstrekken. Zodra je als gebruiker de foto zelf probeert te openen (van de server, zonder het PHP bestand), kom je op een 404 aangezien de hele directory (incl de bestanden erin) niet gepubliceerd wordt.

[Reactie gewijzigd door noes op 24 juli 2024 04:20]

MicGlou @noes • 24 maart 2009 12:55

Die foto kan dan toch nog steeds door iedere idioot gemaakt worden, met een timestamp en vermelding van de locatie? Ik heb net even gezocht naar een goed voorbeeld maar kon het bericht niet meer vinden... een tijdje terug was er een of andere idioot die bijna 1500 foto's bij de politie inleverde van bestuurders bij hem in de wijk die niet netjes reden. Politie deed er uiteraard niets mee, maar het gaat om het idee. Diezelfde vent kan die foto's ook zelf op internet plaatsen, dergelijke burgerinitiatieven zie je wel vaker. Of het toegestaan is, is natuurlijk een andere zaak maar het gebeurd wel. Overigens valt een kenteken niet onder de persoonsgegevens, het is een identificatiemiddel voor het voertuig. Behalve dan dat de kans bestaat dat je de eigenaar van het het voertuig van het bewuste kenteken kent, zijn er geen privacy gevoelige gegevens na te trekken via het kenteken.

Ik probeer niets goed te praten, maar ik stoor mij flink aan de toon die door velen wordt gezet. Laten we het aub in het juiste perspectief houden, sommigen doen alsof de politie een misdaad heeft begaan. Het is een hele slordige fout, meer niet... een fout die in principe totaal geen ernstige gevolgen met zich meebrengt, behalve dan dat men nu van zijn of haar bekenden zou kunnen weten dat ze een keer te hard hebben gereden of door rood zijn gegaan. Wat een ramp zeg...

[Reactie gewijzigd door MicGlou op 24 juli 2024 04:20]

? ? @Firestormer • 24 maart 2009 10:47

Dat niet zozeer, het probleem is de centralisatie van gegevens.

Op zich heb ik er geen probleem mee dat de gemeente, de politie, de recherche, de provincie, mijn huisdokter, ziekenhuis a, ziekenhuis b, ... gegevens hebben over mij.

Alleen is het centraliseren van bv. patientengegevens vragen om problemen! Het spreiden van info is zoals security-through-obscurity.
Het is niet veiliger in theorie, maar het werk wel.

B64

@? ? • 24 maart 2009 14:14

Het probleem bij dit geval is volgens mij juist dat het de gegevens decentraal zijn opgeslagen. Als deze website landelijk door Politie ICT zou zijn opgezet, dan was de kans op dit soort fouten toch een stuk minder geweest (hoewel - het blijft natuurlijk mensenwerk)

Anoniem: 190996 24 maart 2009 09:37

Tsja, handig is het niet natuurlijk. Maar er vallen geen doden, de foto's zijn foto's zoals iedereen die gewoon op de openbare weg had kunnen maken, en pech voor de betrokkenen, ze zijn ook gemaakt.

Waar gaat het over. En dan een meneer Prins van een aasgierenbedrijf dat niet zelf de verantwoordelijkheid durft te nemen om ICT systemen te bouwen maar alleen de foutjes bij anderen zoekt die even snel wil scoren in de publiciteit. Neemt Fox-IT dan wel de absolute verantwoordelijkheid over voor een systeem nadat zij het hebben onderzocht? Waarschijnlijk niet en valt ook bij hen het woord inspanningsverplichting.

Een boude stelling: gezien het beperkte belang van de informatie op de aangeboden website heeft het management van de politie een juist niveau van ICT beveiliging gekozen. Een eventueel foutje dat toch aan het licht komt kan eenvoudig worden opgelost door snel te handelen. No guts no glory.

Floor @Anoniem: 190996 • 24 maart 2009 09:53

Zo, jij bent lekker laks. We hebben het wel over de overheid! Ooit gehoord van voorbeeld functie?
Dit soort nalatigheid onderstreept mijn wantrouwen tegen het overhaast digitaliseren van de diverse overheden en diensten. De lijst met privacy gevoelige informatie die de overheid aan het digitaliseren is wordt inmiddels al erg lang. En het aantal missers neemt ook alleen maar toe.
Ik heb al eerder gepleit voor een apart departement dat de digitalisering gaat begeleiden en waarvan een consequent beleid uit gaat.
Weet je, ook bij de overheid werken mensen en ook die maken fouten.

Ik heb inmiddels aardig wat overheidsprojecten zien langs komen en ben verbaasd welke personen worden opgezadeld om informatie uit te zoeken (mensen met geen verstand van zaken). Met alle goede bedoelingen vandien, is het wel vragen om fouten en torenhoge kosten.

Anoniem: 190996 @Floor • 24 maart 2009 10:39

OK, voorbeeldfunctie. Om te beginnen is het wel een typisch Noord-west Europese (haast Rijnlandse) afwijking om de overheid zo op een voetstuk te plaatsen. Amerikanen wantrouwen hun overheid tot op het bot. Ook in het Middellandse Zeegebied zijn de verwachtingen totaal anders.

Die verwachtingen leiden er ook toe dat de overheid niets meer kan ondernemen zonder dat het aan risico-analyses ten onder gaat. Wat ik waardeer in dit initiatief is dat een korps een initiatief heeft genomen. Heeft durven nemen. Dat is zeldzaam aan het worden in Nederland.

De overheid is niet beter dan een keukenhandel of een garagebedrijf. Er is geen enkele reden om dat te veronderstellen. Sterker, die bedrijven opereren voor eigen rekening en risico en er vindt een voortdurende shake out plaats waarbij de zwakke broeders het loodje leggen.

Terwijl we ons hier collectief druk zitten te maken over een lekkende apache directory is er een paar dagen geleden iemand de poort van een instelling uitgewandeld die ten onrechte 15 jaar in een TBS kliniek heeft gezeten. Laten we de zaken vooral in perspectief houden.

Daarbij lijdt de overheid zwaar onder een aantal belemmeringen die het bijzonder lastig maken om goed ICT personeel aan te trekken, te behouden en op een juiste manier projecten aan te besteden. Veel ICTers trekken naar de overheid vanwege het comfort en dat zijn vaak niet degenen die met een enorme gedrevenheid zaken tot op het bot uitzoeken of hun kennis state of the art houden. ICTers worden bij de overheid relatief laag ingeschaald als je het vergelijkt met andere functies, zoals bijvoorbeeld juristen en beleidsmedewerkers. Aanbestedingen leiden tot laagste prijs gunningen. Iets kan altijd een klein beetje goedkoper en heel veel slechter. Bovendien mag je dan nog heel lang betaald verbeteringen uitvoeren als je het slim aanpakt.

En zoals gezegd, nee het is niet handig om je directory even niet dicht te zetten. Maar ik ben wel zo eerlijk om te zeggen dat het mij ook zou kunnen overkomen.

[Reactie gewijzigd door Anoniem: 190996 op 24 juli 2024 04:20]

Floor @Anoniem: 190996 • 24 maart 2009 16:14

Tuurlijk heeft de overheid een voorbeeld functie. Voorbeeld: "Als de overheid zich al niet aan de regels waarom zou een individu dat wel moeten doen."
Daarbij zet ik de overheid niet op een voetstuk, ik wantrouw deze juist (er werken immers ook mensen). De Nederlandse overheid dient wel het goede voorbeeld te geven, ook inzake privacy. Als bedrijf zijnde ben je verantwoordelijk, als overheid wel degelijk ook.

Terwijl we ons hier collectief druk zitten te maken over een lekkende apache directory is er een paar dagen geleden iemand de poort van een instelling uitgewandeld die ten onrechte 15 jaar in een TBS kliniek heeft gezeten. Laten we de zaken vooral in perspectief houden.

Je zit hier op een site dat gaat over techniek, niet over TBS patienten. Ik begrijp je opmerking en frustratie maar berichtgeving over TBS patienten horen hier niet thuis, behalve als door ICT probleem naar buiten zou lopen.

Ik weet niet of een overheidsbaan meer comfortabel is dan bedrijfsleven (op bepaalde aspecten zal dat wel degelijk zijn

) maar je beledigd hier wel een fors aantal mensen die bij de overheid in dienst zijn.
Ik ben zelf van mening dat de overheid te gefragmenteerd bezig is met teveel ICT projecten zonder dat er een zeer duidelijk beleid is. Ik leg de oorzaak niet bij de mens/programmeur neer maar op de procedures waar het e.e.a. scheef zit of zelfs ontbreekt.

EquiNox 24 maart 2009 09:25

Waarom dit nu pas van de grond komt, is mij een raadsel. In Duitsland wordt bijvoorbeeld STANDAARD de foto bij de boete opgestuurd wat (in mijn ogen) niet meer dan normaal is. Maar goed, hier hebben we Wet Mulder, waarbij je eigenlijk schuldig bent totdat je je eigen onschuld bewijst.

Ik heb zelf ook 2 keer via Wet Openbaarheid Bestuur de documenten opgevraagd in de afgelopen 2,5 jaar. Dit heeft ook 2 maal geleid tot gegrond verklaren van mijn bezwaar. 1x omdat er 2 auto's op de foto stonden (snelheid) en 1x omdat het rode licht na nader inzien toch oranje was (iets te fanatieke bonnenschrijver). Als ik de WOB niet gebruikt had, had ik mooi 150+ EUR kunnen aftikken voor iets wat ik niet gedaan had.

Er zullen vast mensen zijn die het gebruiken om te traineren, maar mijn ervaring is dat een significant percentage van de opgelegde boetes niet (helemaal) klopt.

Steije 24 maart 2009 09:48

Gelukkig draaien ze ook geen oude versies van allerlei software:

Server: Apache/2.0.54 (Debian GNU/Linux) mod_jk2/2.0.4 mod_python/3.1.3 Python/2.3.5 PHP/4.3.10-19 mod_ssl/2.0.54 OpenSSL/0.9.7k mod_perl/1.999.21 Perl/v5.8.4

_JGC_ @Steije • 24 maart 2009 11:31

Valt mee, dat is Debian Sarge. Daarvoor is de security support slechts een jaar geleden opgehouden

http://www.debian.org/News/2008/20080229

Dit soort dingen blijven draaien staat bij mij in hetzelfde rijtje als NT4 blijven gebruiken ondanks dat de extended security support allang is verstreken.

Ziet eruit als een shared hostingservertje waar nog allerlei oude projecten op draaien die misschien kapot gaan bij upgrades. Ik vind het totaal onverantwoord om nu nog nieuwe projecten te ontwikkelen en op zulke oude software te draaien.

Sfynx @_JGC_ • 24 maart 2009 16:38

PHP 4 is al sinds 08-08-2008 end of life, wat ook al een jaar daarvoor is aangekondigd o.i.d.... en dan ook geen 4.4 ofzo, nee gewoon lekker 4.3. Ik weet dat Debian het e.e.a. zelf nog wel patcht doorgaans, maar dat is voor die versie inderdaad al eventjes afgelopen. Totaal onverantwoord.

Ziet er inderdaad uit als een gevalletje "mwah installeren en nooit meer naar omkijken, als ie gehackt wordt installeer ik 'm wel eens opnieuw, zo'n ding bijhouden is niet nodig"... En dan dit soort dingen erop hosten

[Reactie gewijzigd door Sfynx op 24 juli 2024 04:20]

_JGC_ @Sfynx • 24 maart 2009 22:53

Niet alleen PHP4 wordt niet meer onderhouden, die hele distro die ze draaien wordt al een jaar totaal niet meer onderhouden. Verder is de Apache die ze draaien gewoon een kerstboom, hang alles er maar in wat je kunt vinden aan modules

Van dat rijtje aan versienummers gok ik dat apache, python, openssl, php en perl lek zijn. Van mod_jk weet ik het zo niet, maar ik gok dat de tomcat die erachter zit ook lek is

Matis 24 maart 2009 09:10

Whaha, het lek dichten door een leeg index.html bestandje in de juiste map te zetten.

Sorry hoor, maar wat voor prutsers werken daar op de afdeling. Ze zouden voor mijn part de dir-listening uit kunnen zetten, maar dan lijkt een leeg html bestandje een betere oplossing.

BamSlam_

@Matis • 24 maart 2009 09:13

Was geen bug, maar een feature. De dienst heet immers "Boetevolgservice". De open dir maakte het prima mogelijk om boetes te volgen.

Matis @BamSlam_ • 24 maart 2009 09:15

Ja, ik ben bang dat je opmerking ook weggemod gaat worden. Net zoals de mijne. Alleen omdat ik aan wilde geven dat ze het opendir *gevaar* niet eens overwogen hebben.

Dit is een van de eerste lessen die je leert ten tijde van het opzetten van websites. Maarja, de gemiddelde tweaker kon het niet waarderen.

BamSlam_

@Matis • 24 maart 2009 09:51

Inderdaad, chmod is een van de eerste dingen die je leert in je basiscursus unix shell :-)

Radiant @BamSlam_ • 24 maart 2009 13:29

Hoe wil je directory listing uitzetten met chmod

Sfynx @Radiant • 24 maart 2009 16:23

chmod -r

Het 'read' bit betekent bij een directory het wel of niet kunnen weergeven van de inhoud.

Je kan dat ook wel doen in de Apache-configuratie of .htaccess o.i.d., maar d.m.v. directorypermissies is het natuurlijk veel universeler (je zou maar eens genoeg hebben aan lighttpd of nginx o.i.d).

Kettrick @Matis • 24 maart 2009 09:37

Directory listing uitzetten of een index.html plaatsen doet precies hetzelfde, het voegt wat obscurity toe aan je omgeving

.

Een echte oplossing is het verplaatsen van de fotos naar een directory buiten je http root en de foto, na authorisatie, doorgeven vanuit een servet ( oid ).

jobvr 24 maart 2009 09:15

had je niet te hard moeten rijden, had je er niet opgestaan :-)
Nee idd slordig zo'n fout, maar vind het wel een goed project. Als je te hard rijdt krijg je een boete en daar proberen onderuit te komen door het juridisch systeem te overbelasten vind ik ergerlijk. Zeker omdat het meestal dezelfde mensen zijn die klagen over het feit dat alles zolang duurt bij justitie. (begrijp me goed ik krijg ze ook, dus niet dat ik iets te hard rijden veroordeel, maar daar moet je dan de consequenties van dragen )

En voordeel is dat ik gratis een foto van mezelf kan downloaden van een professioneel fotograaf (nouja gratis) :-)

Mortis__Rigor 24 maart 2009 09:31

Dit is onvoorstelbaar. Waarom gebruiken sommige mensen nog altijd pathnames in een request ...
Aan de screenshot te zien, draait dit op een tomcat server (JEE).
Dan ga je toch niet rechtstreeks surfen naar een directory, maar zet je daar gewoon een servlet tussen. Die servlet kan dan gaan nakijken of de ingelogde gebruiker rechten heeft om die foto te bekijken.
De client geeft de id van de foto mee, en indien je rechten hebt, krijg je hem te zien. Anders laat je een andere pagina zien. Dat duurt nog geen uur om te schrijven en qua onderhoudbaarheid is veel makkelijker dan deze methode.

Anoniem: 38519 24 maart 2009 09:47

Het moment dat ik het originele nieuwsbericht las had ik zoiets van... hoe lang gaat het duren? Ben zelf webdeveloper en als je wat gaat nadenken over dat soort dingen dan zie je een hoop potentiële gaten in zoiets... Dunno hoe ver de IT dienst daar nadenkt over dingen, maar lijkt niet echt ver te zijn op het eerste zicht.

Loekie

24 maart 2009 09:52

Hmmm, als ik die yourequest.nl bekijk en de verwijzing naar het blog volg kom ik uit op quotes van gebruikers hier.
Is dat een gewenste situatie?
Daarnaast zie ik dat er een koppeling is met DigID, nu mag ik er van uit gaan dat de aanmeldprocedure gescheiden is van de inhoud, maar gezien het gepruts ben ik daar niet enorm gerust meer op.

Op dit item kan niet meer gereageerd worden.

Politie dicht privacylek in Mijnpolitiebureau.nl

Lees meer

IT-banen

Reacties (61)

Sorteer op:

Weergave: