Sitat av
Lanjelin
Har gått fra å syntes slike feil er morsomme å utnytte, til å være en av dem som heller prøver å rette opp i slik.
Det er dog ikke alltid alle er like takknemlige for å bli varslet.
Har aldri klart å være så slem at jeg ikke har fortalt de det gjelder om hva som har skjedd. Så langt er det største problemet at de ikke har forstått hva som er galt, og ergo er det ikke deres problem. Og om det er deres problem, så velger de enkleste løsning.
Eksempelvis (gammel, men jeg kommer for evig til å huske den):
I riktig gamle dager 2001-2003ish hadde Dagbladet en tjeneste som het start.no der man fikk epostadresse og 20-30MB websideplass med php. Vel og greit det. Så fant jeg ut at man kunne bla seg frem og tilbake i filsystemet på ftpserveren de hadde.
Hadde jeg brukernavnet meitemark ville jeg ligge under home/m/me/meitemark.
Ville jeg så inn i til brukeren brukernavn, så bladde jeg meg til home/b/br/brukernavn. Og så hadde jeg da leserettigheter. Vi hadde php, men det er mest gøy med php når man har en database, og folk brukte de gratistjenestene som fantes for slikt også, og brukte veldig ofte eksakt det samme passordet på mysql som på start-kontoen. Da hadde man ikke bare tilgang til ftpserver, men også til epost, OG til der man kunne endre på passord. Så jeg sa fra til Powertech som driftet dette, og nå tror jeg ikke lenger at jeg har selveste eposten, men innholdet var:
Sitat av 11 jan 02
From:
abuse@powertech.no
Vi er veldig klar over det du omtaler som et sikkerhetshull, og vil gjøre oppmerksomme på at det ikke er et sikkerhetshull i vår server eller problemer knyttet til driften av den. I den grad dette er et problem er det fordi brukerne selv ikke er sikkerhetsbevisste.
Det er det dessverre lite vi kan gjøre med.
Ok, endre taktikk. Tomra hadde nettsiden sin på samme server, men lenger ned på rotnivået, så jeg hentet .htpasswd og sendte den med til de. Da fikk jeg ikke noe svar, men de gjorde da noe.
De gjorde slik at mappene i home/m og home/me ikke lenger ble sendt til meg/de som gikk inn der. Vel, jeg kunne fortsatt skrive inn i ftp-programmet hvor jeg skulle, så det virket ikke særlig godt. Jeg sendte nå den oppdaterte .htpasswd-filen til de.
Nå gjorde de slik at filene ikke ble listet opp med mindre jeg hadde leserettigheter. Ok, hvis jeg viste hvor filen var kunne jeg forsatt laste den ned. Gjenta Tomra-sak.
Slutten av januar 2003 gjorde de slik at man ikke lenger kunne lese filene selv om man hadde lokasjonen. Innen få timer hadde noen (herfra) mekket et script som man lastet opp til serveren og som gjorde at man leste filene via scriptet og ikke via innlogget bruker. Etter det gadd jeg ikke å fortelle de om hvor fortapt de var.
De gjorde det heller ikke med hele serveren. Jeg kunne også laste ned errorloggene (cd-størrelse filer) og få vite alt som skjedde der...
De hadde faktisk noen diskusjonsforum der. På de delene som hadde med webkoding og slikt trodde nesten alle at jeg jobbet for Start.