[Jan Eriksson]

Jag har utvärderat ett nytt system som ligger på Internet åt en kund. Hittat en del saker som är mindre bra men även en del som är bra. En mindre bra och i mina ögon viktig säkerhets detalj var att det var möjligt att göra en SQL-injection. När vi påpekade detta så fick vi följande svar från VD:en på företaget som utvecklar systemet:

Citat:

...att detta på något sätt skulle påverka säkerheten på xxxxxx och omöjliggöra användning bedömer jag vara obalanserat...

xxxxxx är systemets namn.

Vad tycker ni om detta svar?

[najk]

Bash, skitsnack, klart det är ett hål, man kan ju gå in och dumpa deras databas en gång i veckan för att se om dom tycker det är ett hål eller inte ..

[patrikweb]

Låt dom skylla sig själva bara.

[jonny]

Att inte ta problemet på allvar eller ens förstå det gör det ju ännu värre.

[gsoc]

Då bör du upplysa att det är ett måste att täppa till, även om själva systemet's drift inte sätts i spel, så kan ju kunduppgifter osv läcka, om det är en risk han vill ta...Själv skulle jag nog gått därifrån vid ett sånt här tillfälle och bett dom konsultera någon annan.

[Jan Eriksson]

Tack för Era svar. Jag förstår själv allvaret men jag ville visa för min kolleger på WN att det idag finns de som jobbar inom webbproduktion som inte har en aning om vad säkerhet innebär. Givetvis var jag tvungen att testa och jag kom in direkt och kunna få ut en lista på över 2000 av ett företags kunder....

[martine]

Citat:

Originally posted by Jan Eriksson@Sep 20 2007, 18:34
När vi påpekade detta så fick vi följande svar från VD:en på företaget som utvecklar systemet:

Citat:

xxxxxx är systemets namn.

Vad tycker ni om detta svar?

Jag tycker du sakligt borde bemöta hans argumentation:

Nej, det omöjliggör inte användning men det är ett potentiellt säkerhetshåll som kan utnyttjas (visa också att du utan vidare kunnat hämta uppgifter ur systemet). Påpeka att detta har effekter för systemets säkerhet och att du inte kan ta ansvar för följder om detta inte åtgärdas.

Du har funnit en säkerhetsbrist i system och redogjort den för företaget, det är nu företagets ansvar att åtgärda problemet eller strunta blankt i det. Påpeka också vad det kan ha för effekter för företagets förtroende om säkerhetshålet skulle utnyttjas (i synnerhet när det är upptäckt och dokumenterat). Det kan säkerligen tänkas att känsliga uppgifter i så fall skulle läcka ut och att företaget genom att ignorera felet har bidragit till att möjliggöra detta vilket även kan få juridisk konsekvenser.

Huvudsaken är väl att du inte viker så att du kan på något sätt ha medverkat till att relativera frågan. Det är självfallet en säkerhetsbrist (även om den i praktiken än nog så liten), stå på dig och påpeka att sql-injektion är ett allvarligt säkerhetsfel som kan göra hela systemet obrukbart eller göra intern data tillgänglig för konkurrenter eller hackers. Säkerligen vore det inte så roligt om någon hämtade ut alla epostadresser ur systemet och använde dem för spam. På så sätt får man inga glada kunder…

Om företaget gör något åt det eller inte är deras sak. För din del är det bara viktigt att stå fast vid din kritik.

[Ireneri]

Säkerhetsnivån ställs väl oftast i relation till hur känsliga data man kan få ut. Att en konkurrent kan få ut namnet på 2000 av företagets kunder låter ju känsligt, med de kanske inte bedömer det så?

[eliasson]

Bevisa svagheten i systemet genom att dumpa lite data och skicka iväg till VD'n ;-)

[Jan Eriksson]

Nonchalansen var total så i fredags så kontakta jag en annan part i detta ärende. Visserligen blev man kallad "wiseguy" och till och börja med så var det irritation och en nedlåtande ton men efter en stund så skulle de pröva det jag berättade om och se, nu blev det fart. På lördagen var just det hålet fixat...

Jag har förståelse för de som påpekar hål etc genom att presentera dessa direkt på någon hemsida istället för att kontakta de berörda parterna. Ett exempel är alla dessa lösenord till ambassaders epost-konton som en person la ut. Att vänligen förklara problem är inte uppskattat och jag förstår inte varför. Själv skulle jag bli tacksam om någon hörde av sig ang något säkerhetsproblem etc som vi hade.