Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 59 reacties

Google wil met Jarlsberg, een microblogsite vol met bugs, webontwikkelaars leren hoe hackers misbruik maken van beveiligingslekken in websites. Op deze manier kunnen ze hun webapplicaties beter beveiligen, aldus het bedrijf.

Onder het motto "it takes a hacker to catch a hacker" wil Google met de online les webontwikkelaars de fijne kneepjes van het beveiligingsvak bijbrengen. De lessen draaien om de fictieve microblogsite Jarlsberg, die ontworpen is met de nodige beveiligingslekken. Met Jarlsberg kunnen webontwikkelaars leren hoe deze lekken gevonden, gebruikt en voorkomen kunnen worden.

De aanvalstechnieken cross-site scripting, cross-site request forgery en cross-site script inclusion komen aan bod. Elke 'leerling' krijgt een eigen sandbox van Jarlsberg die zo nodig gereset kan worden indien een hackpoging de site onbruikbaar heeft gemaakt. De "Web Application Exploits and Defenses"-les is vrijgegeven onder een Creative Commons-licentie.

Moderatie-faq Wijzig weergave

Reacties (59)

Nee, bij hackthissite leren hackers hoe ze beter kunnen hacken. Hier leren developers beter te beveiligen.
developer = hacker...
nee;
hacker = inbreker = slecht
developer = ontwikkelaar = goed

Maar ze kunnen wel hetzelfd ongeveer.

[Reactie gewijzigd door Menesis op 5 mei 2010 18:42]

Hier staat uitgelegd wat de werkelijke defenitie van een hacker is:

"The Jargon File contains a bunch of definitions of the term ‘hacker’, most having to do with technical adeptness and a delight in solving problems and overcoming limits."
hac·ker [hekker] de; m,v -s iem die inbreekt in computers
Vind ik hier
De van Dale neemt ook alles letterlijk over van de media,

Hier is de definitie:
http://en.wikipedia.org/wiki/Hacker_(computing)

[Reactie gewijzigd door donny007 op 5 mei 2010 23:18]

Taalgebruik verandert, of puristen dat nou erg vinden of niet. Men is nu ook al bezig of "Hun hebben" gelegaliseerd moet worden, tenslotte is duidelijk wat het betekend en is het niet helemaal hetzelfde als "Zij hebben" ("Zij" kan ook op niet-personen slaan, "hun" niet). Iemand die correct Nederlands uit 1600 spreekt zou nu erg lastig te verstaan zijn.
De van Dale neemt ook alles letterlijk over van de media,

Hier is de definitie:
http://en.wikipedia.org/wiki/Hacker_(computing)
Ik krijg: java.lang.NullPointerException :)
@Antipater: Hacker.
De van Dale geeft zoals altijd de betekenis van het nederlands talige woord. Voor een doorsnee nederlandstalige is een hacker datgene wat in de van Dale staat. Het woord is afgeleid van de engelse term "hacker". Voor de digitale periode was de van Dale de beste referentie. Toen was er nog veel minder invloed uit andere talen. Vandaag worden zelfs door nederlandstaligen meer engelse termen gebruikt dan ooit tevoren. De betekenis van deze woorden moet dan ook in het engels gezocht worden, niet in het nederlands. Daarom durf ik nu steeds minder te verwijzen naar dit boek.

Dit is ook het geval bij "technische termen" en al zeker als ze in een andere taal zijn. Dit soort termen zijn vaak engels omdat dat nu eenmaal gezien worden als de taal waarin wetenschappers communiceren. Voor de (computer-)technisch wat beter onderrichte personen (of tweakers zoals ze hier vaak genoemd worden) heeft het woord hacker een helemaal andere betekenis. Eigenlijk merk je aan het gebruik van dergelijke termen hoe goed zijn kennis is op het gebied van informatica.
De werkelijke definitie? The definitie volgens slechts een fractie van het aantal mensen dat de andere definitie hanteert. 'Hacker' als een ervaren programmeur is een achterhaalde niche-term. In bijna elke context, inclusief de meeste tweakers-posts, is een hacker een computercrimineel.
Wat nogal een belediging is. Vind ik persoonlijk. Ik erger me al 10 jaar aan het steeds verder misbruiken van het woord, wat ooit begonnen is met 1 journalist die z'n huiswerk niet goed gedaan heeft.
cracker = inbreker = slecht
hacker = tester = goed
Het hangt allemaal af waar je staat:

cracker = inbreker = goed (als je goed bent levert het meer op dan een standaard programeursbaan)
beveiliger = lastpost = slecht
Neen, een cracker is iemand die een programma kraakt.
Een hacker is iemand die inbreekt op een systeem.
Neen, een cracker is iemand die een programma kraakt.
Een hacker is iemand die inbreekt op een systeem.
Nee, de media heeft van een hacker iets slechts gemaakt, wat dus helemaal niet zo is... ;)
Lees deze pagina op Techtarget.com eens voor meer info :)
'hacken' is iets op een manier gebruiken waar het oorspronkelijk niet voor bedoeld was. Dat heeft op zich niets met slechte bedoelingen te maken, maar meer met creativiteit.
Door Icekiller2k6, woensdag 5 mei 2010 19:02

cracker = inbreker = slecht
hacker = tester = goed
Dat is erg kort door de bocht, Een developer die alleen maar volgens de regeltjes die hij geleerd heeft werkt kun je geen hacker noemen.
Door 'beter' te leren hacken. Immer als je weet hoe je de lek kan misbruiken, weet je wat het lek is, en waarschijnlijk kan je het lek dan ook oplossen.
Metafoor, iemand die een alarmsysteem ontwerpt weet ook hoe je hem het beste kunt kraken.
Was dat maar waar, als ontwerpers van alarmsystemen (of websites in dit geval) wisten waar de zwakke plekken zitten zoals je beweert, zouden ze die kunnen dichten. Daar is deze training van Google nou juist voor...
Da's dus zowat hetzelfde. Een beveiliger zou je in feite een white hat kunnen noemen.
De dingen die je kunt leren op hackthissite hebben niet zo veel met hacken te maken hoor, ze tonen je alleen een paar kwetsbaarheden, en geven 1 voorbeeld, waarbij je punten krijgt van het vinden van die kwetsbaarheden, dingen die je daar leert zijn nauwelijks reallife toe te passen.

OT: Heel goed initiatief van Google, er zijn te veel ontwikkelaars die niet genoeg van beveiliging weten.
Ik zou eerder zeggen dat het wat is zoals webgoat.
Oh, zeker leuk! Ken wel een paar mensen die in aanmerking komen voor deze lessen }>
Maar aan de andere kant, je maakt het voor 'scriptkiddies' wel makkelijker te leren hoe ze het moeten aanpakken.. ('t is natuurlijk wel zo dat ze ergens moeten beginnen, dus zo slecht zijn deze lessen misschien wel niet)

[Reactie gewijzigd door Steffannnn op 5 mei 2010 16:31]

Als ze het leren zijn het geen scriptkiddy's meer :P
Deze informatie staat zowiezo op het internet hoor
Zo zijn er wel meerdere, een tip van mijn kant uit: webscarab
Je bedoelt WebGoat. WebScarab is een intercepting proxy die je kan gebruiken om de lekken in WebGoat te vinden.
Inderdaad goed initiatief. "Websites maken" is zo lekker laagdrempelig dat iedereen het meent te beheersen, maar een overgrote meerderheid heeft geen idee van dergelijke 'gevaren' voor haar bezoekers.
Dat niet alleen. De meesten denken dat ze ook nog kunnen ontwerpen en de website tot een logische goed werkende functionele geheel kunnen brengen. Zelfs in deze tijd worden er genoeg mensen opgelicht door webmateurs die toevallig eens met HTML gespeeld hebben en denken dat ze kunnen ontwerpen.

[Reactie gewijzigd door Fjerpje op 5 mei 2010 20:47]

Dit soort software bestaat toch al jaren? Bijvoorbeeld OWASP's eigen WebGoat:
http://www.owasp.org/inde...ory:OWASP_WebGoat_Project
Het gaat hier om een cursus met een live site met wat lekken erin. Die je http://jarlsberg.appspot.com/ daar kan volgen. Het zijn meer de basic lekken zoals spelen met URL, upload formuliertje en volgens mij ook SQL injecties.

EDIT: Zitten trouwens wel leuke bij iets meer dan dat ik verwacht had. Zeker de moeite waard voor een webontwikkelaar dit even door te nemen.

[Reactie gewijzigd door Fjerpje op 5 mei 2010 16:42]

grappig. Net even snel geprobeerd. Accountje aangemaakt, en in gelogd.
Url na inlog is:

http://jarlsberg.appspot....44/login?uid=test&pw=test

Dat is inderdaad "niet zo netjes" gedaan :+
Invalid user name or password.
en je id en pwd zijn --> 'Klaas' "vaak"
Ik denk dat er veel webmasters zijn die onbewust zijn van de mogelijkheden die een kwaad willende heeft. En dan is dit inderdaad wel erg nuttig.
Een beetje hufter proof maken voorkomt een hoop geklier van een kwaad willende met wat basis kennis. Maar als je deze basis kennis wilt opdoen is een cursus als dit natuurlijk ook erg nuttig.

Als de politie roep dat je beter geen sleutel van je huis onder de deurmat kunt laten leggen. Dan leert een kwaad willende hieruit dat er schijnbaar vaak mensen zijn die een sleutel onder de deurmat leggen.

Het belangerijkste punt in z'n cusus zou waarschijnlijk zijn, dat je altijd even moet nadenken over wat je voor mogelijkheden creeert als je een bepaalde functie in je website maakt. Want dat is juist de sport van de meeste hackers. Zien wat jij over het hoofd hebt gezien.
Dit vind k wel een goede zaak van google. zo kunnen we leren van andermans fouten om ze niet te maken.
Where can i Sign up!!
Heb je http://jarlsberg.appspot.com/ al geprobeerd....!? Je weet wel, in het artikel op de gelinkte "Jarlsberg" klikken ofzo...
Geef toe: Die link was wel heel erg goed beveiligd en verstopt... ;)

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True