---

Så er det Harald Nyborg der er ude med en Valus løsning.

Ret i URL'en, og læs info om butikkens andre kunder, bl.a. deres ordrer.

Det er altså utroligt at 14 årige ASP programmører der arbejder for
pizza, cola og 20 kr i timen ikke har lært om sikkerhed. (Denne sætning
er ikke baseret på konkret viden)

Harald Nyborg skriver dog på deres site:

> Det skal understreges at et meget lille databaseproblem ER
> løst tilfredsstillende, og ingen kan idag se data der ikke
> vedrører vedkommende.

---

"Povl H. Pedersen" <nospam@home.terminal.dk> skrev i en meddelelse
news:nospam-33A3B6.17412411072002@news.cybercity.dk...
> Så er det Harald Nyborg der er ude med en Valus løsning.
>
> Ret i URL'en, og læs info om butikkens andre kunder, bl.a. deres ordrer.
>
> Det er altså utroligt at 14 årige ASP programmører der arbejder for
> pizza, cola og 20 kr i timen ikke har lært om sikkerhed. (Denne sætning
> er ikke baseret på konkret viden)

Det er heller ikke alle 36-årige kaffedrikkende, bøfspisende programmører
der har lært det - selv om de arbejder til flere hundrede kroner i timen....

Men det er en helt anden historie....

--

Stig Meyer Jensen
stig@mine_3_initialer.dk (Ja, erstat selv...du kan godt)

---

"Stig" == Stig Meyer Jensen <stig@mine_3_initialer.dk> writes:

> "Povl H. Pedersen" <nospam@home.terminal.dk> skrev i en meddelelse
> news:nospam-33A3B6.17412411072002@news.cybercity.dk...
>> Så er det Harald Nyborg der er ude med en Valus løsning.
>>
>> Ret i URL'en, og læs info om butikkens andre kunder, bl.a. deres ordrer.
>>
>> Det er altså utroligt at 14 årige ASP programmører der arbejder for
>> pizza, cola og 20 kr i timen ikke har lært om sikkerhed. (Denne sætning
>> er ikke baseret på konkret viden)

> Det er heller ikke alle 36-årige kaffedrikkende, bøfspisende programmører
> der har lært det - selv om de arbejder til flere hundrede kroner i timen....

> Men det er en helt anden historie....

Lad nu være med at harcelere over den stakkels
programmør. Sandsynligvis har han haft en chef der har stået i nakken
af ham og sagt <tungt åndendedræt>VI HAR IKKE TID TIL
GOLDPLATING!!!!!!</tungt åndendedræt>, så tag lige dine forbehold.

--
/Wegge

---

Det er ingen undskylding. Dårlig ledelse, dårlig løsning. SKOD leverandøren
og få en løsning som holder.

--
Henrik
"Anders Wegge Jakobsen" <wegge@wegge.dk> wrote in message
news:m38z4ijing.fsf@obelix.wegge.dk...
> "Stig" == Stig Meyer Jensen <stig@mine_3_initialer.dk> writes:
>
> > "Povl H. Pedersen" <nospam@home.terminal.dk> skrev i en meddelelse
> > news:nospam-33A3B6.17412411072002@news.cybercity.dk...
> >> Så er det Harald Nyborg der er ude med en Valus løsning.
> >>
> >> Ret i URL'en, og læs info om butikkens andre kunder, bl.a. deres
ordrer.
> >>
> >> Det er altså utroligt at 14 årige ASP programmører der arbejder for
> >> pizza, cola og 20 kr i timen ikke har lært om sikkerhed. (Denne
sætning
> >> er ikke baseret på konkret viden)
>
> > Det er heller ikke alle 36-årige kaffedrikkende, bøfspisende
programmører
> > der har lært det - selv om de arbejder til flere hundrede kroner i
timen....
>
> > Men det er en helt anden historie....
>
> Lad nu være med at harcelere over den stakkels
> programmør. Sandsynligvis har han haft en chef der har stået i nakken
> af ham og sagt <tungt åndendedræt>VI HAR IKKE TID TIL
> GOLDPLATING!!!!!!</tungt åndendedræt>, så tag lige dine forbehold.
>
> --
> /Wegge

---

Henrik Holm Jensen skrev:

> Det er ingen undskylding. Dårlig ledelse, dårlig løsning. SKOD
> leverandøren og få en løsning som holder.

Og dårlig quoting:
http://www.usenet.dk/netikette/citatteknik.html


--
/Gevaldi (remove 369)
http://www.wintip.dk/
http://www.usenet.dk/grupper.pl
http://www.usenet.dk/netikette/citatteknik.html

---

In article <m38z4ijing.fsf@obelix.wegge.dk>,
Anders Wegge Jakobsen <wegge@wegge.dk> wrote:

> Lad nu være med at harcelere over den stakkels
> programmør. Sandsynligvis har han haft en chef der har stået i nakken
> af ham og sagt <tungt åndendedræt>VI HAR IKKE TID TIL
> GOLDPLATING!!!!!!</tungt åndendedræt>, så tag lige dine forbehold.

Inputvalidering af tainted data fra web er IKKE goldplating, men et
minimumskrav til webprogrammering.

Af en eller anden besynderlig grund, så er så vigtige ting stort set
aldrig med i bøger der lærer folk at skrive web applikationer i ASP.

Hvis man læste engang i 80'erne, så var der altid megen vægt på
inputvalidering, og man fik det ind med modermælken. Sådan er det ikke i
dag. Featuritis er den sygdom de fleste uddannelser, softwarepakker og
bøger i dag lider under. Det er vigtigere med et smart roterende logo på
about screenen fremfor at luge et par fejl mere ud af koden.
Slutbrugeren kan jo bare downloade en opgradering om et par måneder.

---

"Povl" == Povl H Pedersen <nospam@home.terminal.dk> writes:

> In article <m38z4ijing.fsf@obelix.wegge.dk>,
> Anders Wegge Jakobsen <wegge@wegge.dk> wrote:

>> Lad nu være med at harcelere over den stakkels
>> programmør. Sandsynligvis har han haft en chef der har stået i nakken
>> af ham og sagt <tungt åndendedræt>VI HAR IKKE TID TIL
>> GOLDPLATING!!!!!!</tungt åndendedræt>, så tag lige dine forbehold.

> Inputvalidering af tainted data fra web er IKKE goldplating, men et
> minimumskrav til webprogrammering.

Ikke bare webprogrammering, men også i andre sammenhænge.

> Af en eller anden besynderlig grund, så er så vigtige ting stort set
> aldrig med i bøger der lærer folk at skrive web applikationer i ASP.

Forfatterne har haft en tungt åndende redaktør i nakken.

> Hvis man læste engang i 80'erne, så var der altid megen vægt på
> inputvalidering, og man fik det ind med modermælken. Sådan er det ikke i
> dag. Featuritis er den sygdom de fleste uddannelser, softwarepakker og
> bøger i dag lider under. Det er vigtigere med et smart roterende logo på
> about screenen fremfor at luge et par fejl mere ud af koden.
> Slutbrugeren kan jo bare downloade en opgradering om et par måneder.

Lige præcis :-/

Nu er det desværre bare sådan at jeg sidder i en hotlinefunktion hvor
jeg får lov til at tage alle tævene for mere eller mindre optimistiske
ledelsesbeslutninger. Jeg ved også hvem der er skyld i at du ikke får
din kuffert, når du står i O'Hare lufthavnen i Chicago. Desværre er
der ikke nogen der lytter til min viden om hvorfor noget går galt,
eller for den sag skyld, di viden om hvor trælst det er.

--
/Wegge

---

In article <m3sn2qcbb0.fsf@obelix.wegge.dk>,
Anders Wegge Jakobsen <wegge@wegge.dk> wrote:

> Nu er det desværre bare sådan at jeg sidder i en hotlinefunktion hvor
> jeg får lov til at tage alle tævene for mere eller mindre optimistiske
> ledelsesbeslutninger. Jeg ved også hvem der er skyld i at du ikke får
> din kuffert, når du står i O'Hare lufthavnen i Chicago. Desværre er
> der ikke nogen der lytter til min viden om hvorfor noget går galt,
> eller for den sag skyld, di viden om hvor trælst det er.

Det er ikke kun ledelsesbeslutninger. Det er op til udvikleren at sige
fra, eller sørge for at starte med det vigtige, og så lave øje-lir til
sidst hvis der er tid.

Jeg har ikke i min tid i web branchen givet køb på principperne omkring
sikkerhed. Jeg har evt vist en exploit til projektleder / anden leder /
kunde, og så er der altid tid til at rette det.

Problemet er dog nok oftere, at udviklere ikke tænker over sikkerhed.

---

Povl H. Pedersen wrote:
> Problemet er dog nok oftere, at udviklere ikke tænker over sikkerhed.

Problemet er også at udvikleren ikke viser den ledende person hvor
alvorligt et lille sikkerhedshul kan være. Sådan en lille fejl skal
dramatiseres over for ledelsen og så HAR man tid til at rette sådan en fejl.

Et simpelt ' tegn i en formular i en web applikation kan få hele
korthuset til at brase sammen, den lille funktion som fylder 5-6 linier
max er der mange der ikke bruger. Et kæmpe sikkerhedshul men en lille
fejl i koden.

--
Med venlig hilsen
René Madsen --- reneZZXQ@schultzconsult.com remove ZZXQ
Schultz Consult --- http://www.schultzconsult.com
Din IT Leverandør --- tlf. 64 73 35 45

---

Povl H. Pedersen skrev:

> Inputvalidering af tainted data

Hvad betyder "tainted data"?

Ud fra hvad Google finder, vil jeg gætte på at det er utroværdig data.
--
Fix Outlook Express 5.*:
<URL: http://home.in.tum.de/~jain/software/quotefix.php >

---

Peder Vendelbo Mikkelsen skrev:

>Hvad betyder "tainted data"?

inficeret, besmittet, befængt (with med); fordærvet; arveligt
belastet;
   [tainted goods] varer som ikke må behandles
   af fagforeningsmedlemmer;
   [tainted money] penge tjent på uhæderlig vis.

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

---

Bertel Lund Hansen wrote:

>>Hvad betyder "tainted data"?

>    [tainted goods] varer som ikke må behandles
>    af fagforeningsmedlemmer;

Gad vide om man kan programmere sig ud af SID?

--
..signature

---

In article <agl1vv.ag.2@mjoelner.aaks.aarhus.dk>,
"Peder Vendelbo Mikkelsen" <pedervm@myrealbox.com> wrote:

> Povl H. Pedersen skrev:
>
> > Inputvalidering af tainted data
>
> Hvad betyder "tainted data"?
>
> Ud fra hvad Google finder, vil jeg gætte på at det er utroværdig data.
> --
> Fix Outlook Express 5.*:
> <URL: http://home.in.tum.de/~jain/software/quotefix.php >
>

Ordbogen siger inficerede/besmittede. Jeg troede indtil jeg slog det op
at det var forurenede/smudsige.

---

Povl H. Pedersen skrev:

>Ordbogen siger inficerede/besmittede. Jeg troede indtil jeg slog det op
>at det var forurenede/smudsige.

Det er også en acceptabel oversættelse.

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

---

Peder Vendelbo Mikkelsen wrote in <agl1vv.ag.2@mjoelner.aaks.aarhus.dk>:
>> Inputvalidering af tainted data
> Hvad betyder "tainted data"?

I denne sammenhæng betyder det, at du ikke kan stole på hvad der kommer.
Det står enhver frit for at redigere i det. Derfor må du tage hensyn til
*alt*.
Og det er slet ikke så besværligt, som det lyder. :)

--
Mvh.

Niels Andersen
(la nels. anersyn.)

---

In <vP_X8.2588$Yf1.177618@news010.worldonline.dk> Niels Andersen <niels-usenet@myplace.dk> writes:

>Peder Vendelbo Mikkelsen wrote in <agl1vv.ag.2@mjoelner.aaks.aarhus.dk>:
>>> Inputvalidering af tainted data
>> Hvad betyder "tainted data"?

>I denne sammenhæng betyder det, at du ikke kan stole på hvad der kommer.
>Det står enhver frit for at redigere i det. Derfor må du tage hensyn til
>*alt*.
>Og det er slet ikke så besværligt, som det lyder. :)

Mit standardeksempel er at folk gerne vil stille en eller anden
service til rådighed via nettet, fx at man kan sende dem en
mail. Jeg plejer så at spørge om de har tænkt over at
subject fx kunne være "Hej fjols \"; rm -rf /" eller varianter
over samme tema.
Hvis de ikke har tænkt over det, så udløser det normalt en
aha oplevelse.

Bemærk at underlige bugs og features kan gøre at man er nødt til at
granske input ret omhyggeligt. Jeg drillede på et tidspunkt en
kollega ved at fodre hans "bombesikre" design af et dosprogram
med filnavne som con og lpt1. Kommandofortolkeren i dos er
forresten også et godt eksempel på manglende inputvalidering.
Har I nogensinde prøvet at skrive

+md

i en dos-prompt ? Hvis ikke, prøv så på forhånd at gætte hvad
der sker. (Og nej, det er ikke noget farligt, men det giver et
indblik i indmaden i den kommandofortolker, som ikke fremmer
respekten for programmets design.)

mvh Birger Nielsen (bnielsen@daimi.au.dk)

---

Kai Birger Nielsen wrote:
>
> +md
>
> i en dos-prompt ? Hvis ikke, prøv så på forhånd at gætte hvad
> der sker.

Hvis man efter at have gættet gør forsøget og ikke kan
få øje på nogen virkning, så kan man efterfølgende prøve
kommandoen: +cd

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:razrep@daimi.au.dk
or mailto:mcxumhvenwblvtl@skrammel.yaboo.dk

---

Kasper Dupont skrev:

>> Kai Birger Nielsen wrote:
>> +md
>> i en dos-prompt ? Hvis ikke, prøv så på forhånd at gætte hvad der
>> sker.

> Hvis man efter at have gættet gør forsøget og ikke kan få øje på
> nogen virkning, så kan man efterfølgende prøve kommandoen: +cd

Ingen af forslagene virker på min installation af WinXP Pro UK, hver-
ken command.com eller cmd.exe:

"C:\>+md
'+md' is not recognized as an internal or external command,
operable program or batch file.

C:\>+cd
'+cd' is not recognized as an internal or external command,
operable program or batch file."
--
Fix Outlook Express 5.*:
<URL: http://home.in.tum.de/~jain/software/quotefix.php >

---

Peder Vendelbo Mikkelsen skrev:

>Ingen af forslagene virker på min installation af WinXP

Klart. Det har slet ikke DOS - men nok en kommandoprompt som får
mange til at tro at det er DOS. Men prøv bare at slette en
systemfil fra en kommandoboks, så ser du en forskel.

XP er en NT-type.

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

---

Kasper Dupont skrev:

>Hvis man efter at have gættet gør forsøget og ikke kan
>få øje på nogen virkning, så kan man efterfølgende prøve
>kommandoen: +cd

Og afslutte denne session med +rd.

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

---

On Mon, 15 Jul 2002 08:33:19 +0000 (UTC), bnielsen@daimi.au.dk (Kai
Birger Nielsen) wrote:
(snip)
>Mit standardeksempel er at folk gerne vil stille en eller anden
>service til rådighed via nettet, fx at man kan sende dem en
>mail. Jeg plejer så at spørge om de har tænkt over at
>subject fx kunne være "Hej fjols \"; rm -rf /" eller varianter
>over samme tema.
>Hvis de ikke har tænkt over det, så udløser det normalt en
>aha oplevelse.
(snip)

Jeg forsøget at lære lidt om sikkerhed og er derfor begyndt at læse i
NG - og har allerede lært en del

Men kan du ikke lige uddybe hvad "Hej fjols \"; rm -rf /" medfører da
jeg ikke lige kan se meningen med det (men formoder det er noget i
stil med at snyde sql-sætninger til at udføre noget som ikke er ønsket
- set fra ejerens synspunkt :-/



mvh
Jørgen L. Sørensen
--

---

"Jørgen L Sørensen" wrote:
>
> On Mon, 15 Jul 2002 08:33:19 +0000 (UTC), bnielsen@daimi.au.dk (Kai
> Birger Nielsen) wrote:
> (snip)
> >Mit standardeksempel er at folk gerne vil stille en eller anden
> >service til rådighed via nettet, fx at man kan sende dem en
> >mail. Jeg plejer så at spørge om de har tænkt over at
> >subject fx kunne være "Hej fjols \"; rm -rf /" eller varianter
> >over samme tema.
> >Hvis de ikke har tænkt over det, så udløser det normalt en
> >aha oplevelse.
> (snip)
>
> Jeg forsøget at lære lidt om sikkerhed og er derfor begyndt at læse i
> NG - og har allerede lært en del
>
> Men kan du ikke lige uddybe hvad "Hej fjols \"; rm -rf /" medfører da
> jeg ikke lige kan se meningen med det (men formoder det er noget i
> stil med at snyde sql-sætninger til at udføre noget som ikke er ønsket
> - set fra ejerens synspunkt :-/

Det ligner ikke SQL, men derimod shell kommandoer. Vi kan
forestille os, at modtageren automatisk kører et script,
der udfører en kommando, hvor subject indgår. Jeg er ikke
sikker på, om det nævnte subject er helt korrekt, men
idéen er, at brugeren sikkert har sat " omkring subject,
men hvis man i subject sætter en " for at afslutte subject
i shell scriptet, og med ; tilføje en ekstra kommando, i
dette tilfælde rm -rf / som sletter alle filer, brugeren
har lov til at slette.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:razrep@daimi.au.dk
or mailto:mcxumhvenwblvtl@skrammel.yaboo.dk

---

In <3D33B6EA.2391A6E0@daimi.au.dk> Kasper Dupont <kasperd@daimi.au.dk> writes:

>"Jørgen L Sørensen" wrote:
>>
>> On Mon, 15 Jul 2002 08:33:19 +0000 (UTC), bnielsen@daimi.au.dk (Kai
>> Birger Nielsen) wrote:
>> (snip)
>> Jeg plejer så at spørge om de har tænkt over at
>> >subject fx kunne være "Hej fjols \"; rm -rf /" eller varianter
>> >over samme tema.
>> >Hvis de ikke har tænkt over det, så udløser det normalt en
>> >aha oplevelse.
>> (snip)
>>
>> Men kan du ikke lige uddybe hvad "Hej fjols \"; rm -rf /" medfører da
>> jeg ikke lige kan se meningen med det (men formoder det er noget i
>> stil med at snyde sql-sætninger til at udføre noget som ikke er ønsket
>> - set fra ejerens synspunkt :-/

Som Kasper allerede har gættet, så mente jeg at det at sende mail
hvor subject kommer fra fx en webform er en potentielt farlig ting.

Typisk ville mailen blive sendt med en kommandolinie som

mail -s "$Subject" bnielsen@daimi.au.dk

for nu at bruge min egen mailadresse som eksempel.
Hvis man ikke checker hvad der står i $Subject, kunne
det jo fx blive til

mail -s "Hej fjols "; rm -rf / bnielsen@daimi.au.dk

idet jeg antager at der skal skrive \" for at få et "
ud af det. Hvad man helt præcis skal skrive, afhænger noget
af hvor mange lapper der er sat på for at lukke hullet

Hvorom alting er, så er ideen altså at man får den fredeligt
udseende kommando

mail -s "$Subject" bnielsen@daimi.au.dk

omdannet til

mail -s "Hej fjols "; rm -rf / bnielsen@daimi.au.dk

som prøver at slette mere end godt er på en unix-maskine.

Bemærk også at det ikke er nok at bruge javascript eller lignende
til at validere input inden det bliver sendt til serveren, idet
fjenden jo nemt kan skrive sin egen browseremulator, der sender
præcis hvad der måtte behage fjenden at sende.
(Eller der kunne såmænd også bare være en fejl i javascript-
fortolkeren i enkelte browsere, så valideringen ikke virkede
af den grund. Jeg har fx set sjove ting i en zipstat-log, der
tyder på at escape("ø") bliver til 0xf8 i stedet for til
%f8 i mindst en browser.)

mvh Birger Nielsen (bnielsen@daimi.au.dk)

---

Den Tue, 16 Jul 2002 13:19:28 +0000 (UTC) skrev Kai Birger Nielsen:
>In <3D33B6EA.2391A6E0@daimi.au.dk> Kasper Dupont <kasperd@daimi.au.dk> writes:
>
>>"Jørgen L Sørensen" wrote:
>>>
>>> Men kan du ikke lige uddybe hvad "Hej fjols \"; rm -rf /" medfører da
>>> jeg ikke lige kan se meningen med det (men formoder det er noget i
>>> stil med at snyde sql-sætninger til at udføre noget som ikke er ønsket
>>> - set fra ejerens synspunkt :-/
>
>Som Kasper allerede har gættet, så mente jeg at det at sende mail
>hvor subject kommer fra fx en webform er en potentielt farlig ting.
>
>Typisk ville mailen blive sendt med en kommandolinie som
>
>mail -s "$Subject" bnielsen@daimi.au.dk
>
>for nu at bruge min egen mailadresse som eksempel.
>Hvis man ikke checker hvad der står i $Subject, kunne
>det jo fx blive til
>
>mail -s "Hej fjols "; rm -rf / bnielsen@daimi.au.dk

Det ville faktisk ikke virke, medmindre en eller anden knold har
sat en eval ind:

$ A='";ls'
$ echo "$A"
";ls
$

Mvh
Kent
--
You haven't seen _multitasking_ until you've seen Railroad
Tycoon II and Unreal Tournament run side by side

---

Povl H. Pedersen skrev:

> Harald Nyborg
...
> Det er altså utroligt at 14 årige ASP programmører der arbejder for
> pizza, cola og 20 kr i timen ikke har lært om sikkerhed.

Det er nok ikke så underligt, når det er en 51 årig lagerassistent som
driver Harald Nyborgs websted og bruger et par timer hver fredag på
det:

<URL: http://hpolweb.dr.dk/arkiv/perl/frame.pl/953394003/www.dr.dk:80/harddisk/ddr/color/nethandl/harald.htm >

Jeg kan ikke huske om jeg læste historien i cw.dk (papirudgaven, et
tema-nummer af en slags) eller så det i harddisken Color først.
--
Fix Outlook Express 5.*:
<URL: http://home.in.tum.de/~jain/software/quotefix.php >

---

Peder Vendelbo Mikkelsen wrote:
>

>
> Det er nok ikke så underligt, når det er en 51 årig lagerassistent som
> driver Harald Nyborgs websted og bruger et par timer hver fredag på
> det:
>
> <URL: http://hpolweb.dr.dk/arkiv/perl/frame.pl/953394003/www.dr.dk:80/harddisk/ddr/color/nethandl/harald.htm >

FED historie! Jeg kan ikke finde en dato på siden, hvor gammel er den?

--
Mvh. Kim Ludvigsen

---

> FED historie! Jeg kan ikke finde en dato på siden, hvor gammel er den?

18/03/2000, hvis man skal tro datoen i den sorte bjælke

Mvh.
Morten

---

Morten wrote:
>
> > FED historie! Jeg kan ikke finde en dato på siden, hvor gammel er den?
>
> 18/03/2000, hvis man skal tro datoen i den sorte bjælke

Tak, den kunne ikke ses her (Mozilla 1.1a).

--
Mvh. Kim Ludvigsen

---

"Peder Vendelbo Mikkelsen" <pedervm@myrealbox.com> wrote in message
news:agkpsc.1h4.1@mjoelner.aaks.aarhus.dk...
>
> Det er nok ikke så underligt, når det er en 51 årig lagerassistent som
> driver Harald Nyborgs websted og bruger et par timer hver fredag på
> det:
>
> <URL:
http://hpolweb.dr.dk/arkiv/perl/frame.pl/953394003/www.dr.dk:80/harddisk/ddr
/color/nethandl/harald.htm

simpelt hen det bedste indlæg/link i denne debat Peder :=)
Du burde få en pris for det link - LOL !

--
Flemming

---

"Povl H. Pedersen" <nospam@home.terminal.dk> skrev i en meddelelse
news:nospam-33A3B6.17412411072002@news.cybercity.dk...
> Så er det Harald Nyborg der er ude med en Valus løsning.
>
> Ret i URL'en, og læs info om butikkens andre kunder, bl.a. deres ordrer.
>
> Det er altså utroligt at 14 årige ASP programmører der arbejder for
> pizza, cola og 20 kr i timen ikke har lært om sikkerhed. (Denne sætning
> er ikke baseret på konkret viden)
>
> Harald Nyborg skriver dog på deres site:
>
> > Det skal understreges at et meget lille databaseproblem ER
> > løst tilfredsstillende, og ingen kan idag se data der ikke
> > vedrører vedkommende.

Uanset hvem der er sat til at løse opgaven, kan de ikke gøre det bedre end
den software, som de kører på tillader. Når softwareplatformen på det mest
anvendte produkt tillader en million mulige indgangsvinkler til at blive
komproniteret, såfremt at man aktivt ikke låser, er risikoen tilstede for at
det går galt.

Udgangspunktet for et produkt til løsningen af denne type opgave burde være
at alt er låst og administrator skal åbne for hvad der er tilladt, men
udgangspunktet på det mest anvendte produkt er at alt er tilladt, medmindre
at man låser det.

Et er så hvad værktøjet har af svagheder, når det går galt.

Når det så går galt, er det betydelig vigtigere for sagens udfald, hvad der
foretages.

Man kan vælge:

a) At lukke butikken og rette fejlen.
b) At lade slå til overfor kunderne og rette fejlen.

Ved at vælge løsning a lider virksomheden et prestigetab, men eftersom at
der sker så mange steder, er det glemt alle steder om en uge, altså bortset
fra hos IT-afdelingen, som skal prøve at indhente den tabte nattesøvn. Man
får i IT-afdelingen ydermere den gevinst, at man kan foretage den totale
reinstallation, som giver det bedste resultat uden hensyn til opretholdelse
af driftmiljøet. Min erfaring er at er web-stedet først kompromiteret, så er
det gjort så grundigt, at man lige så godt kan reinstallere det hele.

Vælger man derimod løsning B, vil fejlrettelsen tage længere tid. Nye ordrer
bliver lagt ind og disse skal nu også indgå i en backup-overvejelse. Kommer
man på et tidpunkt frem til at crackeren har ødelagt tilstrækkelig med
system-filer, har man kun opnået at tabe tid. Sidst og ikke mindst kommer
man ind på en glidebane, hvor nogle fristes til at forsøge at true de
venlige personer, som har gjort en opmærksom på den oprindelige fejl. Når
man først til det stadie, vil virksomheden afgørende lide prestigetab. Vi
accepterer jo alle fejl i erkendelse af at der bag hvert system står
mennesker, som kan fejle. Men forsøges de først skjult, så står vi af.

Der skrives i indlægget nedsættende om bestemte medarbejdergrupper. Nu
anvender vi ikke lige personale i den lønningsklasse, men generelt er det
vores erfaring, at man ikke får det kompromise design og funktionalitet ved
anvendelse af traditionelle programmør-typer.

Desuden vil en snæver anvendelse af teknikere medføre den forfærdige
prisudvikling, som man har set for konsulentydelser til økonomi-systemer.
Traditionelt betalte man 250 kr. i timen. På 10 år er prisen steget med 400
% for hjælp til samme produkt. Og personerne er de samme. Hvorfor denne
prisstigning. Jo - producenten ønskede at opnå en differencering mellem
deres produkt og produkter i almindelighed. Et såkaldt marked i markedet,
som bla. man se på Radio & TV markedet, hvor B&O koster mere.

Det ønske klarede man ved at indføre såkaldte autorisationer, hvor
forhandlerne personale blev sendt op og spise fin mad i 14 dage. Der blev
stillet krav om at et hvis antal personer hos forhandleren skulle have spist
deroppe til 2.000 kr. pr. dag. Det medførte et mindre antal forhandlere og
mindre konkurrence, hvilket igen medførte højere priser. For os virksomheder
i den traditionelle industri, som kunne indføre samme regler hvor
produktionen af vores varer, har resultatet kun været øgede omkostninger for
samme ydelser.

I forbindelse med noget tumult omkring nye licensregler hos en større
softwarevirksomhed, hvor mange forhandleres kunder blev givet til en
forhandler, som producenten bedre kunne lide, har producenten ytret tanker
om at indføre de samme konkurrencebegrænsende foranstaltninger for deres
forhandlere, således at den enkelte forhandler ville kunne opnå bedre priser
for konsulentydelser bla. i forbindelse med software til web-servere.

Det er ikke en udvikling, vi i den traditionelle industri ønsker at støtte.
Vi vil bare opnå at blive begrænset på et yderligere område. Det vil skade
både udviklingen af nye web-baserede ydelser til vore kunder og også
forhandlerne på langt sigt. Hvis vi alle skal betale et 6-cifret beløb for
at åbne en web-butik i softwareudvikling, så går udviklingen i stå. Lad
web-udviklingen fortsætte til at være en lavtprisområde, indtil at det der
kan opfindes er opfundet.

Der vil sikkert blive udviklet noget skidt ind imellem, men selv skidt kan
man bygge noget fornuftigt på. Det må være konklusionen, når man ser på de
udbredte styresystemer idag.

Med venlig hilsen
Carsten Overgaard

---

"Carsten Overgaard" <info@carstenovergaard.dk> wrote in message
news:CQvX8.12$8%2.2321@news.get2net.dk...
>
> Uanset hvem der er sat til at løse opgaven, kan de ikke gøre det bedre end
> den software, som de kører på tillader. Når softwareplatformen på det mest
> anvendte produkt tillader en million mulige indgangsvinkler til at blive
> komproniteret, såfremt at man aktivt ikke låser, er risikoen tilstede for
at
> det går galt.

Uanset hvad, så syntes jeg artiklen udemærket beskriver at årsagen til
problemet er at der ikke foretages elementær input validering.

--
Flemming

---

Povl H. Pedersen wrote:

> Så er det Harald Nyborg der er ude med en Valus løsning.
>
> Ret i URL'en, og læs info om butikkens andre kunder, bl.a.
> deres ordrer.
<snip>

Nu kom der en sød lille krølle på sagen:

"Her til morgen fik kunden, som oprindeligt havde fundet fejlen,
så en henvendelse fra Harald Nyborg:

"Hvis der i forløbet fremkommer skade på server eller software,
er du efter samtale med vor advokat direkte
erstatningsansvarlig, grundet at oplysningerne - og dermed
årsagen - kan tilbageføres til dig," skriver Harald Nyborgs
IT-ansvarlige, Bjarne Pedersen til kunden."

Læs resten på
http://www1.dr.dk/nyheder/penge/article.jhtml?articleID=61549

--
MVH/Thomas A. Frederiksen
Registered Linux user #168164, http://counter.li.org
http://www.usenet.dk/netikette - på forhånd tak.
..dk-hierakiet har ikke nok spændende X-headers.

---

Thomas Alexander Frederiksen wrote:

<snip alt>

Mere på
http://www.computerworld.dk/Default.asp?Mode=2&ArticleID=15316

--
MVH/Thomas A. Frederiksen
Registered Linux user #168164, http://counter.li.org
http://www.usenet.dk/netikette - på forhånd tak.
..dk-hierakiet har ikke nok spændende X-headers.

---

Thomas Alexander Frederiksen skrev:

>"Hvis der i forløbet fremkommer skade på server eller software,
>er du efter samtale med vor advokat direkte
>erstatningsansvarlig, grundet at oplysningerne - og dermed
>årsagen - kan tilbageføres til dig," skriver Harald Nyborgs
>IT-ansvarlige, Bjarne Pedersen til kunden."

Hm, han ved nok lige så meget om jura som om it-sikkerhed.

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/