Sociale nieuwssite En.nl bevat beveiligingslek

Gepubliceerd: Dinsdag 11 maart 2008

De sociale nieuwssite En.nl blijkt vol gaten te zitten waarmee zogenaamde cross site scripting aanvallen zijn uit te voeren.

Toon volledig artikel

Ages of Love op Dinsdag 11 Maart 2008 10:42

https://addons.mozilla.org/nl/firefox/addon/722

It allows JavaScript, Java and other executable content to run only from trusted domains of your choice, e.g. your home-banking web site, and guards the "trust boundaries" against cross-site scripting attacks (XSS).

Bye bye, XSS. =P

0 / 6

jas op Dinsdag 11 Maart 2008 11:04

Hoe goed/slecht die addon die je noemt ook is, het blijft gevolgen bestrijden ipv de oorzaak aanpakken...

3 / 3

Nappy op Dinsdag 11 Maart 2008 11:13

Het kwaad in de mensch? Dat zit er al in vanaf dag een en zal nog wel effe duren.

2 / 2

Ages of Love op Dinsdag 11 Maart 2008 13:02

Er is niet veel meer dat wij als simpele gebruikers kunnen doen tegen dit soort fratsen. Wij kunnen gewoon niet veel doen tegen sites die geinfecteerd worden met XSS, behalve onszelf zo goed mogelijk proberen te beschermen.

Dus je kunt die addon wegminnen zoveel als je wilt, het feit blijft dat we niet veel meer kunnen doen dan dat. Of ervoor kiezen om helemaal het internet niet meer op te gaan.

Of vertel ons anders maar hoe wij (de huis, tuin en keukengebruikers) dit bij de oorzaak aan kunnen pakken.

Kun je dat zelf eigenlijk wel??

Kan iemand anders hier dat??

Iemand??

Nou, dan toch maar die addon installeren. ~_^

2 / 2

jas op Dinsdag 11 Maart 2008 13:56

Je hebt helemaal gelijk, maar ik bedoel met de oorzaak ook niet de eindgebruiker, maar de site die XSS mogelijk maakt. In dit geval moet En.nl z'n site fixen, aangezien dat de oorzaak is. Als eindgebruiker kun je idd niet veel anders doen dan jezelf wapenen tegen brakke sites...

1 / 1

Roger op Dinsdag 11 Maart 2008 11:34

Ik gebruik 'm thuis altijd, en het is onderhand een gewoonte geworden om scripts tijdelijk toe te staan. Die extra handeling maakt me niet meer uit. Maar het is te ingewikkeld om bij m'n ouders op de computer te zetten, en hoewel zij geen vreemde sites bezoeken lopen zij veel meer risico dan ik.

0 / 0

dlerew op Dinsdag 11 Maart 2008 14:24

Heb je niks aan als iemand al simpelweg html code met iframes kan invoegen om een pagina na te bootsen van de website. Het gevaar van XSS zit namelijk niet alleen in kunnen uitvoeren van scripting maar ook in de manier waarop men het gebruikt.

0 / 0

Pidi op Dinsdag 11 Maart 2008 12:21

Gisteren gaf WebWereld ook al af op En.nl en uit dit verhaal blijkt nog eens duidelijk dat het initiatief door WW in ieder geval niet wordt gewaardeerd.

Wat ik me afvraag is wat WebWereld heeft gedaan toen bekend was dat er een XSS lek werd geconstateerd. Als ik het hier zo lees zijn ze achterover gaan leunen en hebben ze En.nl daarover niet geïnformeerd.
Wat mij betreft niet echt een nette gang van zaken. Ik kan me dan ook goed voorstellen dat een verdere reactie van En.nl achterwege blijft.

Wat mij betreft erg bedenkelijk allemaal. En niet echt de juiste manier waarop journalistiek zou moeten worden bedreven.

-3 / 3

Huugie op Dinsdag 11 Maart 2008 12:43

Iemand erop wijzen dat hun site een beveiligingsprobleem heeft vind ik niet echt "afgeven op", zoals jij dat noemt. En het feit dat ze de beheerder van de site om commentaar hebben proberen te vragen, geeft toch wel aan dat ze het probleem bij hen aangekaart hebben. Volgens mij ben jij juist degene die hier op iemand aan het afgeven is.

1 / 3

Tom Sanders op Dinsdag 11 Maart 2008 13:41

On the record wilde En.nl niets zeggen. Wat we off the record hebben besproken is tussen En en ons. Maar feit is dat we ze voor publicatie gesproken hebben.

3 / 3

Pidi op Dinsdag 11 Maart 2008 12:56

Huugie,

Misschien is het handig als je m'n reactie wat beter leest.

Iemand erop wijzen dat hun site een beveiligingsprobleem heeft vind ik niet echt "afgeven op", zoals jij dat noemt.

Dit is niet wat ze bij WW gedaan hebben.
Ze hebben gebruik gemaakt van een lek en zijn toen achterover gaan leunen om te zien wat er ging gebeuren. Onder 'iemand wijzen op een lek' versta ik toch echts iets anders.

-1 / 1

Huugie op Dinsdag 11 Maart 2008 13:17

Misschien is het ook handig als je mijn reaktie eens wat beter leest? Ja, ze hebben eerst het een en ander getest. Hoort nu eenmaal bij goede journalistiek, want tenslotte moet je je stuk kunnen onderbouwen. Nee, ze hebben niet achterover geleund, want ze hebben uiteindelijk de beheerder om commentaar gevraagd (staat in het artikel). Dat heeft die beheerder dan weliswaar geweigerd te geven, maar je mag er toch wel vanuit gaan dat Webwereld eerst verteld heeft waar ze precies commentaar op wilden hebben. Oftewel, ze hebben de beheerder van het probleem op de hoogte gebracht.

1 / 1

dlerew op Dinsdag 11 Maart 2008 14:21

Het probleem van XSS hangt enorm samen met de betrouwbaarheid van de site voor de gebruikers. Ik vind het persoonlijk niet schokkend dat deze nieuwssite waar iedereen al zaken kan aanpassen XSS bevat. Niet dat het netjes is, maar bij banken, paypal, gemeenten/overheid waar men op moet kunnen vertrouwen en vergaande persoonlijke informatie mee gemoeid is is de impact vele malen erger. Corrigeer me maar als ik er naast zit.

0 / 0

Niels Sijm op Dinsdag 11 Maart 2008 15:52

De verantwoordelijk voor XSS-kwetsbaarheden is vaak lastig aan te wijzen, zegt Willems. "Het gaat te ver om de verantwoordelijkheid bij de programmeur neer te leggen."

Omg, XSS is helemaal te wijten aan slecht programmeerwerk.

Voor XSS is het nodig Javascript te kunnen injecteren in een HTML-pagina. Het is de taak van de programmeur dat af te vangen.

Een goede programmeur vangt dergelijke user input af. Doet hij dat niet, dan loopt hij kans op XSS-lekken in zijn website. Ik zou niet weten wie er anders verantwoordelijk voor zou zijn?

4 / 4

bad op Dinsdag 11 Maart 2008 16:05

Helemaal mee eens, niemand anders dan de programmeur is verantwoordelijk voor XSS leaks.

Andere partijen zoals hosting kunnen misschien lapmiddelen aanbieden, maar dat is nog geen oplossing.