Forældre fandt banale sikkerhedshuller i udbredt it-system til børnehaver

Det er en meget alvorlig sigtelse den der som jeg på ingen måde ville tage så let på som du giver udtryk for.

Tjae jeg ved jo hvad jeg har gjort og specielt hvad jeg ikke har gjort. Jeg har som allerede skrevet ikke hacket deres system og forventer derfor at blive pure frikendt.

Hvis ikke der var opfordret til test af websitet var jeg blevet dømt for hacking. Så altså... den dag i dag er det stadig ulovligt at ændre querystrings og forsøge at tvinge systemet til at opføre sig anderledes end tiltænkt.

Der er mullioner af forskellige webbots, som kan gøre det arbejde for dig, hvis du endelig vil gå "fri" som blackhat hacker.

Lav en webside, check at user agent indeholder "bot" eller "http://" og servér et link med SQL injection i kun for dem. Bare en 3-4 dages tid.

Hvilke forskellige botter er der?

Well, selvfølgelig googlebot, Bing bot, Yahoo slurp, men også ahref (som er en bot a ukendt formål), forskellige kinesiske, russiske og japanske botter, open source botter (majestic fx.) for enten søgemaskiner og andre. En del af dem selv med højest mistænkelige formål, men de følger et link, hvis de finder det, det er udgangspunktet.

Sågar er der også botter, som er bestemt til at søge efter ophavsretligt eller "forbudt for børn" link - som de også følger, og maskerer sig som "søgebotter".

Lad botterne gøre arbejdet med at "trykke" på link med SQL-injection, og så slet den webside hvor det startede fra. Voilá.

Vil man være ekstra avanceret - find botter, som udelukkende er med "ondartet" formål (harvesters) og udnyt dem. Søg efter fx. useragent Firefox 2.0, MS IE6.0 eller JAVA, tom accept-language og tom accept-encoding. ...eller test dem op imod stopforumspam's IP-database, som har et API til det.

Virker det?

Tjah... Jeg har lavet forsøget i mindre format med min egen side (så jeg også kunne følge dem i loggen). De fulgte gladeligt linksne, jeg gav dem, uanset en del må have virket mistænkelige, var de blevet fulgt af et menneske. En del af disse kom fra kinesiske IPer... god held og lykke med at spore SQL-injection forsøg den vej fra.

Formålet med det var så ikke i sig selv SQL-injection, men det var en måde at teste, hvordan hjemmesiden ville reagere, hvis den blev udsat for et sådant angreb "udefra" (og der ER andre måder at lave ondartede ting end ved SQL i query string). Søgebotter besøger ens hjemmeside hver dag, det gør ondartede botter ikke nødvendigvist (og med de angreb man er ude efter at teste).

Det gav mig nogle idéer til, hvornår man kan sige en URL er så "twisted", at den må anses som med vilje lavet sådan. Og så sende disse fuldt ud detecterede "angreb" til honeypotten. Andre ville så få en fejlside eller blive redirect til hovedsectionen, alt efter hvor twisted URLen var.

Det hele endte med en ren white list på query string iøvrigt, hvor kontrollen med hvad der sker er ret fintmasket i både query string variabel og værdi. ...og jeg får stadig de her "injection-forsøg" jeg fødede dem med fra diverse botter (særligt Bing-bot), omend ikke så tit mere.

Som en opfølgning... HVAD ville der være sket, hvis den SQL-injection, som lukkede Valus-serverne ned tilbage i midt-2000, var blevet fulgt af google-bot? Det var jo netop et link, man kunne trykke på... og det har altid undret mig, at Google ikke fik lagt dem ned først. Men måske var der nofollow på...

Du undgik at blive mistænkt. En evt anklage kommer først senere (hvis de mener at der er hold i mistanken). En evt dom kræver altså også lige en dommer....

Sikke noget vrøvl Henrik, jeg blev sigtet fordi jeg var mistænkt i forholdet. Politiet afhører derfor en og fremlægger informationen for anklagemyndigheden, og det er her der rejses tiltale oftest omtalt anklage. At jeg ikke blev dømt var netop fordi at anklagemyndigheden kunne se omstændighederne.

Det kan de ikke i dit tilfælde, du har forbrudt dig imod virksomhedens IT-system, derfor bliver du sigtet og anklaget og stillet for en dommer. Der er ingen formildende omstændigheder der kan forklare din adfærd, du har 100% bevidst forsøgt at blotlægge svagheder i systemet og endda afluret, iflg. Infoba ikke personfølsomme oplysninger, men det er stadig ligegyldigt. Du har hacket deres system uden ret til det.

Og jo jeg har læst anklageskriftet, hvorfor skriver du dog overhovedet det? Deraf fremgår at du har ødelagt eller beskadiget data ved at køre et script som gav dig adgang til Infobas servere. Det er en meget alvorlig sigtelse den der som jeg på ingen måde ville tage så let på som du giver udtryk for.

Jo; men nu er kommunerne fri for at indtaste oplysninger/registreringer. Udgiften - tid og penge - er nu lagt ud til institutionerne og forældrene.

Infoba eller ej, du har hacket deres side, endda i en ganske voldsom grad med scripting og tilhørende sql-injection og det skal du dømmes for

Du har vist ikke fulgt med i sagen (eller læst anklageskriftet som jeg linker til ovenfor).

Jeg har ikke haft adgang til systemer eller på anden måde haft adgang til data. Jeg er anklaget for at have skrevet "script alert"* i et beskedsystem mellem forældre og institution.

*) V2 forummet forhindrer mig i at skrive det præcise, men prøv at google efter "script alert"

Overrasket kontaktede jeg Rigspolitiet og tog straks afsted til afhøring, det var kun lige med nød og næppe at jeg undgik en dom. Og kun fordi at indehaveren af websitet havde spurgt efter en test.

Du undgik at blive mistænkt. En evt anklage kommer først senere (hvis de mener at der er hold i mistanken). En evt dom kræver altså også lige en dommer....

I 2002 havde jeg en lignende sag, dog ikke med cpr-numre, men derimod med sql-injections. Igennem et dengang populært ASP-forum blev interesserede aspirantudviklere opfordret til at teste websitet for fejl. Jeg forsøgte mig naturligvis med sql-injection igennem login-prompten, dengang var det ASP 3.0 :) Og naturligvis havde indehaveren ikke sikret sig for den slags, hvilket endte med et bruger-tabellen blev droppet. Det var nu ikke så alvorligt i første omgang, manden havde en backup og sitet var på ingen måde taget i brug. Men pludselig 1 mdrs tid senere fik jeg et brev fra Rigspolitiets IT-afdeling med en sigtelse for hacking.

Overrasket kontaktede jeg Rigspolitiet og tog straks afsted til afhøring, det var kun lige med nød og næppe at jeg undgik en dom. Og kun fordi at indehaveren af websitet havde spurgt efter en test.

Hvis ikke der var opfordret til test af websitet var jeg blevet dømt for hacking. Så altså... den dag i dag er det stadig ulovligt at ændre querystrings og forsøge at tvinge systemet til at opføre sig anderledes end tiltænkt.

Infoba eller ej, du har hacket deres side, endda i en ganske voldsom grad med scripting og tilhørende sql-injection og det skal du dømmes for. At Infoba sløser med deres data er en anden snak og det tager Datatilsynet sig af.

Er anklageskriftet hemmeligt?

Nej da, du kan se der her:https://www.facebook.com/Henrik.H.Hoyer/posts/10207834586125617

Efter et par måneders venten dukkede det op med posten idag :-)

Jeg kan nu se frem til at skulle fortælle en dommer og 2 domsmænd hvordan Infoba passer på personlige oplysninger om vores børn

Ham Torben Væring lyder da ikke videre smart. Han skal da være klar over, at der er forælder, der læser disse artikler og som bor de kommuner, der anvender systemet.

Det er da helt utilstedelig, at der ikke udføres udvidede hardning-tests på et system til håndtering af persondata.

Er de anmeldt til datatilsynet?

Efter at have skrevet med infoba pr mail, har jeg nu fået dette svar:

Kære Kenneth

Jeg forstår godt, at du reagere sådan her, men dele af historien er ikke rigtig. Hele pointen med at Henrik Høyer påstår, at han har kontaktet for at orientere os om java fejlen er ikke sand. Han har ikke kontaktet os om java fejlen, hverken før eller efter han fandt den. I stedet skræmte han pædagogerne i en institutionen. Hvis han havde kontaktet os og sagt han havde fundet et hul, ville situationen være helt anderledes. Da vi blev opmærksomme på java boksen, reagere vi med det samme og hullet blev lukket inden for en halv time.

Da Christian Liljadahl fandt en fejl, var vi i kontakt med han, rettede fejlen og takkede ham. Vi er altid glade for at vores brugere kontakter os, også for at påvise at vi har en fejl. Henrik Høyer er et særtilfælde, og vi bliver nød til at reagere når nogen angriber systemet så voldsomt, både for vores, kunderne og især forældrenes skyld.

Hvis du har lyst, vil min chef Torben Væring meget gerne snakke med dig, så send gerne dit telefonnummer til mig.

Med venlig hilsen

Nicoline Mygind

Kommunikationsmedarbejder

Nu er mit spørgsmål så om Version2.dk vil gå videre i sagen?

Ud fra artiklen tegner der sig et billede af en inkompetent it-udvikler, som klart overreagerer. Men helt ærligt - Hvorfor sender man en mail frem for at ringe, hvis man har en hastesag, man vil gøre opmærksom på?

Er intelligensen da totalt røget ud af vinduet hos Infoba og NEC ?

Et modent og ansvarligt firma havde taget kontakt på henvendelsen og sagt tak til manden for, at have udført arbejdet for dem, som de ikke var kompetente nok til selv.

Simpelthen for sølle og ynkeligt.

Mon nogen har anmeldt Infobia til Datatilsynet?

Ville det ikke nærmest være samfundshjælp hvis den slags internet sikkerheds bylder blev lagt ned af et DDoS angreb? Det ville for en gangs skyld afføde noget godt.. :P Ikke at det skal være en opfordring!

Jeg tror at vi fremadrettet skal politianmelde offentlige IT system leverandøre, når der bliver fundet sikkerhedshuller i deres systemer, da det jo er uansvarlig drift. Det er vidst er det eneste der virker..

Jeg kan se mange muntrer sig med requests osv.

1. Sørg for at slå fuld disk kryptering til med det samme!

2. Hent Burp http://portswigger.net/burp/ - eller en anden proxy der logger.

Så kan I surfe rundt på siderne via browser osv., og bagefter dykke ned i requests/response osv.

NB: Lad være med at foretage en aktiv test med Burp - det vil efter min mening klart overtræde god tro. Til gengæld vil jeg til enhver tid forsvare at man logger sin session og kigger den efter for umiddelbare sikkerhedshuller. Når de vil opbevare vores personfølsomme data, så skal vi have en vis tiltro til dem. Ligesom når man vises rundt i bankens boks, før man gemmer smukkerne.

Hele forløbet må da skyldes

1. Manglende kompetence/kontrakt/forhandlingsevner hos kunden (Det offentlige). Lad mig nævne DSB, rejsekort...gab :|

2. Manglende evner/proffesionel stolthed hos producenten.

Derfor ved jeg ikke rigtig om man kan slagte infoba så hårdt som der sker på tråden her. Vi ligger blot som der er nogen der har redt!

Jeg kan kun bifalde PHK's forslag om IT-havarikommission. Vi får mere og mere IT og det nytter ikke vi/det offentlige ikke har kompetencen. Det er DYRT... og DUMT!

tager jeg da "onkel morfar"-hatten på her:

Mine børn (6. og 8. kl. nu) gik fint i børnehave uden at der var noget NemBørn-internet site, som pædagoger og forældre skulle lære at bruge (og bekymre sig om sikkerheden på).

Kan det passe, at jeg er den eneste som synes at det er mere foruroligende at SkoleKom/ForældreIntra-trenden har bredt sig ned i børnehaven, end at løsningen er dårligt udført og sagen endnu ringere håndteret (hvad jeg ikke betvivler)?

Jeg tænker at helt uden en webportal til at administrere børns børnehaveaktiviteter, kan både forældre og pædagoger bedre fokusere på kerneydelsen, børneomsorgen.

Der skal jo nok være et årligt ressourceforbrug svarende til i hvert fald en pædagogmedhjælperstilling pr. år for den enkelte institution i sådan et system her, med kurser, drift, support, softwareabonnement og tidsforbrug til Content Management.

Det går såmænd nok med en adresseliste med telefonnumre og mails, det er vi vist alle et levende bevis på.

(Og skulle det endelig være, kunne man nok forestille sig at en professionel driftsleverandør lavede en landsdækkende sikker portalløsning som institutionerne så kan vælge at købe eller lade være, ud fra en forældrebestyrelsesbeslutning. Det må jo være relativt basal funktionalitet vi er ude i her.....)

"»Jeg bliver nødt til som it-ansvarlig at tage det seriøst, når vores system bliver hacket. Jeg rådførte mig med politiet og Nationalt Efterforskningscenter (NEC), og de anbefalede at anmelde ham,« siger produktchef hos Infoba Torben Væring, som forsikrer, at de pågældende sikkerhedshuller blev lukket kort efter, at forældrene havde kontaktet Infoba."

Vi på betagte myndigheder som en modspiller og fjende, som kafka, der indsamler alle oplysninger om alle, så de til en hver tid kan anholde en hver, som de finder formålstjenlig, og anklage vedkommen for et eller andet. Om ikke andet så udøve tortur ved at sætte velkommen i isolation 1 til 2 år, så de kan lære det. Altså alle dem der stiller spørgsmål ved systemet. Hvor sider alle CSC lederene som har givet vores data til USA, og sminket deres regnskab for at få bonus.

Hvis ikke vi får et lille terror angreb en gang i mellem, så betaler vi selv for det, så vi kan få flere penge til yderligere overvågning, så vi kan få banket alle på plads.

Se at få krypteret alt, alle steder til alle tider.

http://www.version2.dk/blog/csc-sagen-anakata-ankesag-247894

Se at få læst den og videregive budskabet.

Ellers fortalte TV2, at vi kunne få fat i begge kandidater, på en gang i aften, midt i byen. Hvis i ville tale nogen borgerlige ord med dem. Formodelig et mareridt for PET, når de fleste er på Bonholm, glasset er formeligt skudsikkert. Men kan ikke forstå at de meldte så tidligt ud, hvor noget skal afholdes. Men det er jo heldigvis fordi vi lever i Danmark, hvor vi ikke har historik for at skille os voldeligt af med ledere. Da vi kan stemme om det, noget som heldigvis ikke er blevet forbudt, selv om hvis vi kunne ændre systemet, ved at stemme, så ville det nok blive ulovligt.

Gad vide om det også er ulovligt, at påpege et sikkerheds problem, når vi taler om personsikkerhed.

Tænk på hvor meget en robots.txt ville kunne hjælpe på "sikkerheden" af de her systemer.

Tjek f.eks. denne liste over institutioner i hele Storkøbenhavn (eller er det Sjælland?) http://brugerintra.rudersdal.dk/institutioner.aspx. Den er et godt udgangspunkt, hvis man har onde hensigter.

Login foregår ukrypteret over http som almindelig form-data. Hvis et login fejler får man 500 Internal Server Error som svar med et stacktrace fra .NET:

<LoginError> 
	<Message>Fejl ved Login.</Message> 
	<ErrorDetails>System.FormatException: Guid should contain 32 digits with 4 dashes (xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx).
		at System.Guid.GuidResult.SetFailure(ParseFailureKind failure, String failureMessageID, Object failureMessageFormatArgument, String failureArgumentName, Exception innerException) at System.Guid.TryParseGuidWithNoStyle(String guidString, GuidResult& result)
		at System.Guid.TryParseGuid(String g, GuidStyles flags, GuidResult& result)
		at System.Guid..ctor(String g) at Login.LoginUser(String login, String pass, String deviceid, String devicename, String url, String guid, String cvr, String appname, XmlDocument xmlresponse) in d:\iis\webSites\AppV2\Web\LogonGallery.ashx:line 294
		at Login.ProcessRequest(HttpContext context) in d:\iis\webSites\AppV2\Web\LogonGallery.ashx:line 164</ErrorDetails> 
</LoginError>

Hvordan kan man ignorere fejlsider som disse i et produktionsmiljø, This error page might contain sensitive information because ASP.NET is configured to show verbose error messages using ?

Da der er personfølsomme opslyninger tilgængelige, så er det jo bare at trække leverandøren i retten som kollektivt søgsmål fra de institutioner der benytter det møg kode.

Ud over naturligvis JS injection, er der så ikke en tradition for at dybe, direkte links er "hemmelige" - og dermed er det "hacking" hvis man bruger det direkte link i stedet for hovedsiden.

I eksemplet ovenfor altsåhttps://brugerintra.aeblerodkommune.dk/AppV2/Web/Institution/InstitutionsAnnouncement.aspx?index=1&id=1234

Indenfor offentlig udvikling (OG f.eks. Nykredits netbank) er det desværre stadig på mode med IFrames, så det hele bliver "lettere" og direkte url er skjult.

letico og nabohjælp har også den slags sjove muligheder for at trække info om folk i systemet ud.

http://rachael7.freeshell.org/

Artiklen siger: "Infoba bliver brugt i samtlige offentlige daginstitutioner i 11 danske kommuner"

Jeg kan kun finde anmeldelser fra to kommuner til Datatilsynet, hvor Infoba er nævnt som databehandler (Thisted og Gladsaxe). Er det mon fordi, at de andre 9 kommuner bruger en anden databehandler?

Hvor mange ansatte skal man være i en virksomhed førend man kan byde på en SKI-aftale?

Jeg mener, at man bør have en standardpasus om sikkerhed i alle kontrakterne, og så smide leverandører som disse ud af SKI, specielt da det ser ud som om at sikkerhed slet ikke har været en integreret del af løsningen, og de øjensynligt aldrig har pen-testet hverken internt, eller med ekstern hjælp.

Gæt en URL parameter er IKKE sikkerhed, men er at sidestille med at de har udstillet alle børnenes persondata offentligt hvis man spørger mig. Jeg vil sige at leverandøren her har leveret en løsning der er så groft uansvarligt strikket sammen og testet, at leverandøren bør bære et skærpet ansvar for løsningen.

Jeg forventer selvfølgelig at få et brev fra det offentlige, såfremt det i logfiler (som fårhåbentlig gemmes år tilbage) kan konstateres at der er sket noget der ligner scraping, hvor mine børns data også er høstet.

Det er jo kernespørgsmålet her, som det ville være dejligt at få afklaret. Hvis jeg har en mistanke til at et system er usikkert eller hullet, hvor meget må jeg så gøre for at efterprøve min formodning?

Vi har jo, så vidt jeg er orienteret, ikke en national Security audit unit, som man kan skrive til, som så vil teste en løsning igennem for at se om den er åben, eller gør Datatilsynet sådan noget også?

Jeg gik ikke videre med sagen i august, da det virkede til at Infoba tog min henvendelse seriøst. Men jeg er stærkt forundret over, at de ikke har strammet an her snart et år efter.

.. Og vi er slet ikke begyndt at snakke om deres usability-forbrydelser...

Jeg brugte 5 minutter med app'en fra min kommune (Rudersdal) og Charles Proxy. Her er hvad jeg fandt uden at kigge i dybden:

• Opslag (f.eks. nyheder, madplaner) fra min søns institution er offentligt tilgængelige, hvis man har den rette url. Man vil kunne finde alle opslag ved at ændre på id parameteren. Siderne bliver i det mindste hentet https. Se screen short.

• Billeder er også offentligt tilgængelige, hvis man har den rette url. Denne url indeholder modsat opslag "både" id og UserId. Med et simpelt script, ville man kunne downloade alle billeder fra hele systemet ved at ændre på begge parametre og evt. fjerne width for at få billeder i den original opløsning. Billederne bliver IKKE hentet via https. Se screen short.

• API-kald indeholder både brugernavn og password som clear-text i headeren! Kaldene sker godt nok via SSL, men alle ved at dette er en dårlig ide. Se screen short.

Gad vide hvad man ellers kunne finde, hvis man gravede dybere?

Nu venter jeg bare på at blive politianmeldt...

I Odense har man valgt at forke en kæmpe bunke penge efter "NemBarn" (bare titlen giver mig myrekryb). Det ligner også noget fra for længe siden, og kræver guhjælpemig at man skal have NemID nøglekort frem hver gang man skal se lille Annas dagbog fra sandkassen.

Men er der nogen som ved hvordan de har det mht sikkerheden ?

Og vores alle sammens elskede skoleintra ?

Begge firmaer er også nærmest monopolister.

Og ja, jeg er også irriteret over at man skylder budbringeren i stedet for at løse problemet. De burde belønnne ham i stedet. Havde han over en anonym forbindelse silently slettet deres database et sted var der måske lidt mere røde øren. Men det kan være det er DET som skal til fremover ? Og så bare holde bøtte med det. Men synd for det stakkels personle som IKKE har fået mere tid efter der blev drysset ITstøv ud over dem og deres dagligdag.

Jeg kan ikke teste deres system i gennem for alle hullerne uden at de bliver endnu mere tøsefornærmede - så det vil jeg undlade. Men jeg ved at minimum et hul (som de blev gjort opmærksom på i December) stadig ikke er lukket

Selvom både jeg politiet ikke regner med at sagen nogensinde kommer for retten, ville det dog være meget fornøjeligt.

I en evt. retsag skulle Infoba jo fremlægge deres såkaldte beviser mod mig. Det ville tydeligt udstille manglerne i deres løsning og dermed give dem problemer i forhold til deres kunder (som btw er I deres gode ret til at lade handelen gå tilbage - Infoba har ikke leveret det lovede)

Jeg vil opfordre folk til at sende en mail til infoba på info@infoba.dk

Det er skammeligt at de er SÅ inkompetente og at de så bare namelder en forældre.. Jeg vil da ikke anbefale foræældre en af de børnehaver der bruger dette it system!

I den "rigtige" verden belønner politiet for at gribe ind, for at undgå skadelig adfærd. Sidst her http://www.dr.dk/Nyheder/Indland/2015/06/10/190940.htmIkke at beskytte personfølsomme oplysninger har retsvæsnet hjemmel for reagere kraftigt over for - også selvom det er i et miljø retsvæsnet ikke er vant til (kan) navigere i. Hvor anklager politiet firmaet ??

"»Politiet mente, at det kunne blive en sag, og de anbefalede os ikke at kontakte ham"

Det kan da godt være der principielt kan være en sag, men man bestemmer da selv som virksomhed hvordan man håndterer det. Det er virkeligt tyndt at ligge ansvaret for den beslutning over på politiet. Man kunne jo vælge at sige tak for hjælpen og få rettet sine fejl. Valget må mest af alt være baseret på om man mener tingene er gjort i god eller ond mening. Der kan vist ikke være tvivl om hvad sagen er her.

At retsforfølge folk kommer i hvertfald ikke til at stoppe hverken de rigtige hackere eller hullerne i koden.

for slet ikke at tale om undladelsessynder, der afslører ugideliged.

Så bliver man meget nemt aggressiv og ubehagelig, og optræder umodent - og det er lige præcis den reaktion, vi ser her.

Så alt er helt normalt, og nøjagtig som beskrevet i "Psykologi for Dummies" side 1.

Der er stadig huller i koden hos INFOBA. I hvert fald i besked indbakken, hvor man ved at ændre "childId" i adressefeltet kan få adgang til andre id'ers beskeder.

Det er så ikke oplagt hvilket nummer man skal indtaste, da de højst sandsynligt er relativt tilfældige (måske, hvem ved?) og er 5 cifrede. Men det kan stadig lade sig gøre. Det ser dog ud til at man skal være logget ind som bruger først.

https://infoba.dk/public/datapolitik.aspx riiight...

Det er mig ufatteligt, at systemer som INFOBA og andre systemer, der håndterer personlige data ikke bliver periodisk testet. Sådanne fejl som den, der er beskrevet her, er ganske simple. Hvis kravene til systemerne var, at de skal testes for f.eks. OWASP Top 10 fejl med jævne intervaller, så kunne vi måske komme et skridt videre.

De har vel fået opgaven via en vennetjeneste.

Meget dårligt kan man sige om Microsoft, Google, og de andre store it-selvskaber, men det havde vel næsten været mere fornuftigt, hvis det have været et at de store selskaber der havde fået opgaven, de er trods alt vandt til den slags.

Hvordan vises posten? Laves det med javascript? Eller reloades siden og vises det hele med HTML genereret med PHP?

For i og for sig,så er det ikke så svært at lave sikkert. Man skal angive tegnsæt, sørge for, man er sikker på det er en post request, validere fieldnavne, så man ved det er den rigtige formular som er udfyldt (dette også fordi field-name/value-poisoning af f.eks. submit-button HAR jeg oplevet forsøg på - uden jeg kan se hvad de ville).

Så gemme posten i DBen og derefter HTML/XML-encode posten og sende det til klienten.

Men hvis det vises via AJAX, så er jeg ikke så sikker på, der er en nem løsning.

Med DOM-XSS, der er der uendelige muligheder. Og jeg tvivler også på, der findes nogen web-APP som fungerer på AJAX og brugerinput, som ikke er sårbar. Man er nødt til at bruge et tested anti-XSS framework så for bare at være nogenlunde sikker.

Man kan starte med at komme af med innerHTML og innerText (og det er sikkert ikke de eneste)https://blog.mozilla.org/security/2013/09/24/introducing-html2dom-an-alternative-to-setting-innerhtml/

Ellers så er oWASP tilgængelig og har været det længe:https://www.owasp.org/index.php/DOM_based_XSS_Prevention_Cheat_Sheet

Javascrript er en trade-off IMØ. Hvis man viser siden genereret 100% med HTML på serversiden så sparer man en masse problemer men så skal hele siden også reloades.

PS. Og så er HTTPOnly wel standard i alle browsere efterhånden...? Sådan man ikke behøver bruge querystring.

Før man hylder manden, kunne det være interessant at vide, hvad han egentlig har forsøgt - og hvor hurtigt efter mailens afsendelse.

At forvente svar inden for 10 minutter på en mail, der i overskriften kunne ligne spam er måske lige i overkanten. Og har han forsøgt at ringe?

Kunne man forestille sig, at han var blevet lidt for ivrig efter at have fundet det første hul? Og teksten i popup'en mildner det heller ikke ligefrem.

For så er det i mine øjne i orden at anmelde det til politiet. Om der så bliver en sag ud af det, er jo så op til dem.

Men samtidig tyder det også på, at Infoba fortjener at blive indklaget til Datatilsynet.

Som jeg ser det, så burde historien være at det er de data-krænkede forældre der skal på banen og anmelde firmaet for brud på persondatasikkerheden. Firmaet skal ikke bare kunne få held til at skubbe ansvaret for sit amatørarbejde videre til den der tilfældigvis opdager at det er amatørarbejde. Jeg mener at firmaet og medarbejderne skal stå til ansvar for det arbejde de laver og bliver betalt for.

Men det er så typisk i Danmark - er du et firma eller det offentlige, så straffes skødesløs omgang med personfølsomme data stort set aldrig.

at de er SKI 'leverandøren' (ental) på netop det her område.

// Jesper

Infoba er udvalgt som leverandør af intranet og hjemmesider til institutioner på den offentlige SKI-aftale, hvilket betyder, at kommunerne kan vælge systemet uden at lave et udbud først.

Er man først inde i klubben, så er det jo nærmest et tag selv bord.

Som forælder, der er tvunget til at bruge systemet, må jeg bare sige at det ikke kun er sikkerheden, der halter hos INFOBA. Hele brugeroplevelsen er gennemgående elendig, og her snakker jeg ikke blot om det aldeles forældede design, men også om informationsarkitekturen og den overordnede oplevelse.

Det er også mit indtryk at administrationen af INFOBA, altså den del hvor pædagoger og institutionsledere logger ind og benytter systemet, er helt forfærdeligt — intet andet kan undskylde det antal af tomme mails, mails uden specialtegn, mails med links der ikke fungerer osv.

Hvordan INFOBA nogensinde er blevet valgt af diverse kommuner forstår jeg simpelthen ikke.

Jeg forstår simpelthen ikke denne måde at arbejde på...

Hvis man ser noget, som ser ud til ikke at virke korrekt, skal man da skride til handling. Især når det drejer sig om sikkerhedsproblemer. Hvem ville tage en henvendelse seriøs om sikkerhed, hvis brugeren IKKE havde lavet et Proof-of-concept eksempel.

Version2s blogger, Poul-Henning Kamp, har flere gange foreslået en IT-havarikommission. Det ville være nærliggende nu at have en myndighed der ser på hvordan så ringe kode kan få lov at komme i nærheden af privat data og hvorfor de ikke har taget anmeldelser om fejl og mangler alvorligt.

Hvor er Datatilsynet også i det her? Er det ikke dem der skal sikre at der er styr på adgnag til fortrolig data?

Udfra beskrivelsen, så lyder det som om at de inkompetente er blevet skræmt over, hvad en almindelig, kyndig person finder naturligt.

"Witchcraft to the ignorant, ... Simple science to the learned"

Det virker igen som om den der laver en bil hvor hjulene falder af når man drejer på rattet, anmelder den bruger af bilen der sparker til dækket for at se om det sidder ordentligt fast. Hvornår får man straffet idioterne der laver ansvarspådragende dårlig kode? Hvis man tager sikkerhed seriøst, så laver man ikke sådan noget kluns i første omgang.

Om der er tale om hacking skal jeg ikke gør mig klog på, men den rigtige skurk i det her må være de ansvarlige for koden hvis den er så dårlig som beskrevet.

Da jeg havde jura på ingeniør studiet, lærte jeg at der var skærpede krav når man var professionel. Hvis en professionel svejser satte ild i noget i forbindelse med sit arbejde blev han bedømt relativt hårdt af dommeren. De samme faktiske forhold ville kunne frikende en der svejser som hobby, og dømme en professionel skyldig i grov forsømmelse. Når vi har med it at gøre, så virker det som om juristerne ikke har meldt sig ind i den virkelige verden. Hvor længe skal vi blive ved med at finde os i det her? Det er en skandale af rang.

I forskellige tilfælde har forældre fundet meget grove fejl i systemet, givet Infoba besked uden at få svar. Derefter har de lavet en uskadelig proof of concept og en blev politianmeldt.

Det er jo ikke en enkelt fejl og en uansvarlig forældre, men en leverandør der gentagende gange har ignoreret meldinger om alvorlige fejl. Én ting er at have så mange fejl i et moderne system. Noget andet er at ignorere dem og derefter forsøge at skyde budbringeren.

Hvad kan man gøre som forældre?

1. Lade som ingen ting og lade andre snage i sine børns private oplysninger?
2. Skrive til leverandøren som nok ikke gør noget. Man risikerer en politianmeldelse der kan koste jobbet.

Godt jeg ikke bor i en af de kommuner der bruger systemet!

http://en.wikipedia.org/wiki/Peter_Principle

Jobsikring 101 starter med at tage sit job alvorligt. Ellers må man overlade det til andre, som har den nødvendige kompetence og vilje til at gøre tingene bedre.

Undskyld sproget, men hvor er det direkte latterligt at de anmelder nogen for at gøre opmærksom på en seriøs fejl i deres kode. Hvis sikkerheden ikke er højere, burde samtlige forældre lave et sagsanlæg mod udviklerne af softwaren som modsvar.

De burde i virkeligheden være taknemmelige for at forælderen ikke anonymt smed instrukserne op på 4chan, reddit og diverse darknet fora. Jeg væmmes!