Dat sowieso!quote:Op zaterdag 21 april 2012 14:45 schreef KomtTijd... het volgende:
En vooral ook om eerdere code nog eens door te nemen en te corrigeren.
Ik durf me heul niet als programmeur te verkopen, juist omdat ik weet dat ik niet al ditsoort security dingetjes weet.quote:Op zaterdag 21 april 2012 14:44 schreef JDx het volgende:
Idd, thanks!
Maar als ik zie hoe moeilijk ze iemand kunnen vinden die kan programmeren (of dat denkt te kunnen haha) dan hebben jullie waarschijnlijk ook allemaal een goede baan?
Mwoah, als je userinput goed controleert kan je weinig gebeuren. Dingen als je code optimalizeren etc. zijn ook wel handig om te weten.quote:Op zaterdag 21 april 2012 14:47 schreef KomtTijd... het volgende:
[..]
Ik durf me heul niet als programmeur te verkopen, juist omdat ik weet dat ik niet al ditsoort security dingetjes weet.
Dit dan weer wel maar SQL injection is ook wel les 0.00001 en daar de voorkennis van.
Programmeurs zijn er zat te vinden. Alleen Nederlanders willen voor een dubbeltje op de eerste rang zitten. En goede, custom code kost nou eenmaal geld. En een degelijke programmeur is ook niet goedkoop neequote:Op zaterdag 21 april 2012 14:44 schreef JDx het volgende:
Idd, thanks!
Maar als ik zie hoe moeilijk ze iemand kunnen vinden die kan programmeren (of dat denkt te kunnen haha) dan hebben jullie waarschijnlijk ook allemaal een goede baan?
quote:Op zaterdag 21 april 2012 15:17 schreef Swetsenegger het volgende:
Je werkt bij een toko waar ze software ontwikkelen en NIEMAND heeft je ooit verteld dat je userinput moet controleren?? En je was daar ZELF ook niet op gekomen?? Heb je nooit op een php forum gelezen hoe je bepaalde vraagstukken moet oplossen?
Ongetwijfeld dat daar "ALWAYS CHECK USERINPUT" heeft gestaan.
Timing!quote:Op zaterdag 21 april 2012 15:48 schreef Arcee het volgende:
SQL-injecties stonden centraal in Zembla gisteravond:
http://www.uitzendinggemist.nl/afleveringen/1249442
Ik heb ook een eigen cmsje maar ik vang wel altijd user input af.quote:Op zaterdag 21 april 2012 15:47 schreef Diabox het volgende:
[..]
Ik moet om de week wel ongeveer werken met code waar get (dan wel post) data direct in een query wordt gegooid, van verscheidene 'webdevelopment' bedrijven.
Veel daarvan hebben dan ook nog een eigen 'CMS' (durf het haast geen CMS te noemen eigenlijk) die zo lek is als een mandje. En ze hebben dan dus vaak de portfolio op hun website staan, weet je zo welke sites lek zijn.
Best kans dat ze voor de zomer failliet zijn...quote:Op zaterdag 21 april 2012 16:08 schreef TwenteFC het volgende:
Die aflevering van Zembla is wel hard... ongelooflijk!
En het achterhalen van de wachtwoorden duurde ook niet lang, dus of ze zijn als plaintext opgeslagen of er is een zwakke encryptie gebruikt.quote:Ook de klant de schuld geven voor wachtwoorden als "123456" .. en dan als excuus "Ja wij kunnen niet zien wat voor een wachtwoord ze nemen".
Een wachtwoord als 123456 is wel heel simpel, daar mag best een regeltje bij dat er ook een letter in moet zitten.quote:Tuurlijk veranderen mensen hun wachtwoord naar iets makkelijks, dit moet je gewoon onmogelijk maken, en daarbij snap ik niet dat ze geen Tokens o.i.d. gebruiken. Dat zijn de kosten niet.
Nee, je moet op de juiste momenten de juiste functies gebruiken. En dus kun je die pas zo laat mogelijk inzetten. Als je user input terug wilt sturen in een html pagina (zonder database), heb je niets aan sql escaping.quote:Op zaterdag 21 april 2012 16:09 schreef stefanhaan het volgende:
Je moet gewoon een functie implementeren waarmee je standaard user input verwerkt en controleert. Als je dat aanleert voorkom je dingen zoals MysqlInjection.
Dat doet weinig. Je moet procedures en views ook aanroepen en moet nog steeds een query samenstellen met of op basis van user input. Die moet je dan nog steeds escapen.quote:Of wat geadvanceerdere mysql leren door middel van procedures en views. Dan is je database ook al vrij goed beveiligd.
Als je views en procedures gebruikt voorkom je inniedergeval dat er serieuze dingen gedaan kunnen worden zoals accounts creëren , dingen droppen. Je voegt een extra laag van security level toe.quote:Op zaterdag 21 april 2012 16:51 schreef Light het volgende:
[..]
Nee, je moet op de juiste momenten de juiste functies gebruiken. En dus kun je die pas zo laat mogelijk inzetten. Als je user input terug wilt sturen in een html pagina (zonder database), heb je niets aan sql escaping.
[..]
Dat doet weinig. Je moet procedures en views ook aanroepen en moet nog steeds een query samenstellen met of op basis van user input. Die moet je dan nog steeds escapen.
Wachtwoorden als 123456 duren nooit lang om te achterhalen (als ze niet gesalt zijn). Daar kun je de hashes gewoon van googlen.quote:Op zaterdag 21 april 2012 16:42 schreef Light het volgende:
[..]
En het achterhalen van de wachtwoorden duurde ook niet lang, dus of ze zijn als plaintext opgeslagen of er is een zwakke encryptie gebruikt.
Als er zulke gevoelige data achterligt dan mag het gewoon niet kunnen, een checkje maken die controleert of er op zijn minst een !@#$% teken,kleine letter,hoofdletter en cijfers inzitten is binnen 1 minuut gemaakt.quote:Op zaterdag 21 april 2012 16:57 schreef KomtTijd... het volgende:
[..]
Wachtwoorden als 123456 duren nooit lang om te achterhalen (als ze niet gesalt zijn). Daar kun je de hashes gewoon van googlen.
De reactie van VCD ook Dit persbericht bijvoorbeeld, echt om te janken. Ze ontkennen eigenlijk gewoon alles.quote:Op zaterdag 21 april 2012 16:08 schreef TwenteFC het volgende:
Die aflevering van Zembla is wel hard... ongelooflijk!
De mensen die netjes laten weten dat je site lek is aanklagen, en de hackers die dmv van 100 proxy's binnen zijn gekomen daar kunnen ze niets tegen maken.quote:Op zaterdag 21 april 2012 18:09 schreef Tijn het volgende:
[..]
De reactie van VCD ook Dit persbericht bijvoorbeeld, echt om te janken. Ze ontkennen eigenlijk gewoon alles.
En ondertussen zijn ze wel op zoek naar personeel:quote:Op zaterdag 21 april 2012 18:09 schreef Tijn het volgende:
[..]
De reactie van VCD ook Dit persbericht bijvoorbeeld, echt om te janken. Ze ontkennen eigenlijk gewoon alles.
Dit klopt niet.quote:Op zaterdag 21 april 2012 14:04 schreef Tijn het volgende:
[..]
Als hetzelfde MySQL-account ook schrijfrechten heeft, kan de database ook worden aangepast.
hoe wil je dat doen dan?quote:
Vind als bedrijf die niet zoveel doet met developen, maar wel iemand nodig heeft maar eens iemand die het kan. Ik werk niet bij een development bedrijf, maar ergens waar het als bijzaak gebruikt wordt.quote:Op zaterdag 21 april 2012 20:18 schreef Tegan het volgende:
Keer op keer verbaas ik me weer over dat mensen zonder kennis aangenomen worden op zulke functies. Geen wonder dat er constant lekken zijn. En maar weer bashen op de lekkers dan.
Dat is echt geen excuus hoor . Eigenlijk hoort bij ieder bedrijf wel een programmeur, dan wel voor de website of voor intern verkeer.quote:Op zaterdag 21 april 2012 21:19 schreef JDx het volgende:
[..]
Vind als bedrijf die niet zoveel doet met developen, maar wel iemand nodig heeft maar eens iemand die het kan. Ik werk niet bij een development bedrijf, maar ergens waar het als bijzaak gebruikt wordt.
Voor mensen die hun opleiding als programmeur oid hebben afgemaakt is dit werk te min.
Dit vooral:quote:Op zaterdag 21 april 2012 18:09 schreef Tijn het volgende:
De reactie van VCD ook Dit persbericht bijvoorbeeld, echt om te janken. Ze ontkennen eigenlijk gewoon alles.
En wat nou als ze die niet kunnen vinden?quote:Op zaterdag 21 april 2012 21:30 schreef Tegan het volgende:
[..]
Dat is echt geen excuus hoor . Eigenlijk hoort bij ieder bedrijf wel een programmeur, dan wel voor de website of voor intern verkeer.
Dan besteed je het programmeerwerk uit. Daarmee voorkom je ook dat je afhankelijk wordt van 1 persoon.quote:Op zaterdag 21 april 2012 21:40 schreef JDx het volgende:
[..]
En wat nou als ze die niet kunnen vinden?
Niet zomaar iemand laten aanmodderen. Beter zoeken. Beter salaris bieden.quote:Op zaterdag 21 april 2012 21:40 schreef JDx het volgende:
[..]
En wat nou als ze die niet kunnen vinden?
Dat wil zeggen als ieder bedrijf dat zou doen. Dat er ook wat bedrijven zijn waarbij de programmeur dan hele dagen niks te doen heeft. En hij voor niks betaald word.quote:Op zaterdag 21 april 2012 21:30 schreef Tegan het volgende:
[..]
Dat is echt geen excuus hoor . Eigenlijk hoort bij ieder bedrijf wel een programmeur, dan wel voor de website of voor intern verkeer.
Dit gebeurt sowieso al zelden in deze tijden.quote:Op zaterdag 21 april 2012 21:42 schreef Tegan het volgende:
[..]
Niet zomaar iemand laten aanmodderen. Beter zoeken. Beter salaris bieden.
Nou goed. Niet alle bedrijven hebben er een nodig. Maar bedrijf van JDx bv. wel.quote:Op zaterdag 21 april 2012 21:43 schreef stefanhaan het volgende:
[..]
Dat wil zeggen als ieder bedrijf dat zou doen. Dat er ook wat bedrijven zijn waarbij de programmeur dan hele dagen niks te doen heeft. En hij voor niks betaald word.
Dat was ook wel erg, idd. Maar misschien komen ze liever zo in het nieuws dan op een manier waarbij de pers had kunnen melden dat de boel inmiddels beter beveiligd is.quote:Op zaterdag 21 april 2012 21:36 schreef Arcee het volgende:
[..]
Dit vooral:
[ afbeelding ]
Nee, omdat jullie per se niet wilden luisteren.
Zembla stond bij ze in de receptie om ze te vertellen dat er vertrouwelijke informatie was blootgelegd, maar VCD haalde de politie erbij.:')
Laatst had je Cue_ ookal in dezelfde situatie .quote:Op zaterdag 21 april 2012 21:44 schreef Tegan het volgende:
[..]
Nou goed. Niet alle bedrijven hebben er een nodig. Maar bedrijf van JDx bv. wel.
Nee dat laat zien hoe wanhopig ze waren om een nieuwe programmeur te vinden.quote:Op zaterdag 21 april 2012 22:25 schreef Tegan het volgende:
Want als het via Fok gebeurt kan het geen bedrijf zijn die fout bezig is?
Als je inbreekt heb je voorkennis Logisch . Als je daarvoor nog geen notatie of een manier hebt bedacht om het te loggen, dan is het ook logisch hoe ze eraan komen.quote:Opvallend genoeg komt naar voren uit het onderzoek van deze experts, dat de ongeoorloofde toegang naar alle waarschijnlijkheid heeft plaatsgevonden middels voorkennis (lees: men heeft op onrechtmatige wijze een inlogwachtwoord in handen gekregen).
Dat is toch geen excuus om het zo op te lossen?quote:Op zaterdag 21 april 2012 22:27 schreef JDx het volgende:
[..]
Nee dat laat zien hoe wanhopig ze waren om een nieuwe programmeur te vinden.
Maar je léést toch wel eens op een forum als je ergens niet uit komt? php freakz, hier, tweakers...? OVERAl, werkelijk OVERAL als iemand een stukje code post waarin userinput voorkomt is er altijd wel iemand die roept "check je userinput!"quote:Op zaterdag 21 april 2012 22:11 schreef JDx het volgende:
Sterker nog, ik heb mijn baan via Fok! omdat ze niemand konden vinden die daar wilde werken én iets wist van programeercode's etc
Ik denk dat het bij de meeste PHP programmeurs (of zelfs overal zo is, dat het met een hobby begon), maar is het begin wil je resultaten en ik denk dat JDx nog in die fase zit.quote:Op zaterdag 21 april 2012 22:51 schreef totalvamp het volgende:
Ik heb zelf ook PHP geleerd als hobbie, maar ik weet ook hoe ik veilige code moet schrijven. Dat heeft dus NIKS te maken met het zelf leren van code. Er is de laatste jaren zoveel aandacht besteed aan SQL-injection dat je wel iets had moeten weten ervan.
Ja klopt, gisterenquote:Op zaterdag 21 april 2012 22:45 schreef Swetsenegger het volgende:
[..]
Maar je léést toch wel eens op een forum als je ergens niet uit komt? php freakz, hier, tweakers...? OVERAl, werkelijk OVERAL als iemand een stukje code post waarin userinput voorkomt is er altijd wel iemand die roept "check je userinput!"
Had je werkelijk nog nooit nagedacht bij sql injection en XSS en passwords beveilgen?
Dan heb ik jouw droombaan, doen wat je wil en geen controlequote:Op zaterdag 21 april 2012 22:51 schreef totalvamp het volgende:
Ik heb zelf ook PHP geleerd als hobbie, maar ik weet ook hoe ik veilige code moet schrijven. Dat heeft dus NIKS te maken met het zelf leren van code. Er is de laatste jaren zoveel aandacht besteed aan SQL-injection dat je wel iets had moeten weten ervan.
Ik kan me ook niet voorstellen dat er niemand is die je code niet checkt... dat is gewoon vragen om problemen. Je zou makkelijk een backdoor kunnen inbouwen bijvoorbeeld, of bij een grote webshop ofzo gewoon geld sluizen naar jezelf.
Ook je login was dus niet veilig als er geen beveiliging was kan ik daar met gemak inkomen. Ik zou jezelf flink scholen of als je dat zou willen, ben ik wel bereid wat code van je te reviewen en commentaar te geven wat wel en niet kan daarin.
Forum Opties | |
---|---|
Forumhop: | |
Hop naar: |