mboost-dp1
unknown
Det er vel til dels forkert at give specifikke anvisninger på hvordan man nedlægger sådan et system. Det rigtige er vel at give direkte besked til firmaet der har leveret systemet. Men jeg mener dog ikke han skal have en egentlig straf for det...
det er sgu da det samme som microsoft gøre, eller secunia DK-cert og andre firmaer, de frigiver oplysninger på huller!
at han så ikke tjener penge på det burde da ikke gøre det ulovligt :)
at han så ikke tjener penge på det burde da ikke gøre det ulovligt :)
hm han skal da ikke straffes... han har jo ikke opfordret til at de skulle gøre det men som han selv siger ville illustrere det.
de 3 tosser der så har gjort det er jo bøllerne. ingen diskution
de skriver ovenikøbet at det var ved bare at få fat i en bestemt side på den portal...
hvad nu hvis jeg postede html-link til den side og server blev lukket... ville jeg så være cracker.. hvis jeg ikke vidste at det kunne ske..
det er til grin.. jeg synes at det er iorden at nogen folk hacker forskellige sites.. på den måde kan sikkerheden blive større... og når man har så spinkel sikkerhed at siden kan lukkes via browser så fortjener man fanme oz at få smæk
de 3 tosser der så har gjort det er jo bøllerne. ingen diskution
de skriver ovenikøbet at det var ved bare at få fat i en bestemt side på den portal...
hvad nu hvis jeg postede html-link til den side og server blev lukket... ville jeg så være cracker.. hvis jeg ikke vidste at det kunne ske..
det er til grin.. jeg synes at det er iorden at nogen folk hacker forskellige sites.. på den måde kan sikkerheden blive større... og når man har så spinkel sikkerhed at siden kan lukkes via browser så fortjener man fanme oz at få smæk
Jeg syntes faktisk ingen andre end Valus skal straffes!
De havde lavet et betalingssystem som man kunne fyre sql-injections af på!?!?!?!?
Jeg syntes bestemt at Sådan et firma slet ikke skulle ha' lov til at lave et betalingssystem. Jeg tror, at det kun var godt at det blev offenliggjort på Computerworld (af redaktør og brugere). Ellers tror jeg folk folk med de forkerte intentioner måske gøre værre ting.. uden at blive opdaget.
De havde lavet et betalingssystem som man kunne fyre sql-injections af på!?!?!?!?
Jeg syntes bestemt at Sådan et firma slet ikke skulle ha' lov til at lave et betalingssystem. Jeg tror, at det kun var godt at det blev offenliggjort på Computerworld (af redaktør og brugere). Ellers tror jeg folk folk med de forkerte intentioner måske gøre værre ting.. uden at blive opdaget.
#3 skal jeg også straffes fordi at jeg fortalte min fætter at han bare skulle have et våben, så kunne han røve en bank?
Jeeeesus da det er da så latterligt, det er ligsom med piratkopiering. De firmaer der producerer p2p-programmer har vundet retsagerne om at få programmerne nedlagt, fordi at retten dømte at brugerne selv er ansvarlige for deres ulovligheder. Det samme bør da gælde her, de 3 personer er sku dem der burde straffes ALENE.
Arrow
Jeeeesus da det er da så latterligt, det er ligsom med piratkopiering. De firmaer der producerer p2p-programmer har vundet retsagerne om at få programmerne nedlagt, fordi at retten dømte at brugerne selv er ansvarlige for deres ulovligheder. Det samme bør da gælde her, de 3 personer er sku dem der burde straffes ALENE.
Arrow
Nu har jeg læst debatten som det hele handler om:
http://debat.computerworld.dk/thread.asp?Mode=View...
Jeg må ærligt indrømme at jeg trækker min påstand tilbage om at det var forkert. Ved et så åbenlyst sikkerhedshul kan det på ingen måde være forkert at påpege det i et forum. Han gør dem nærmest en tjeneste ved at lægge serveren ned, inden der er nogen der dropper deres tables...
Det er da helt klart Valus' problem, når de leverer et system der hele nede på det stadie har lavet fejl på sikkerheden.
http://debat.computerworld.dk/thread.asp?Mode=View...
Jeg må ærligt indrømme at jeg trækker min påstand tilbage om at det var forkert. Ved et så åbenlyst sikkerhedshul kan det på ingen måde være forkert at påpege det i et forum. Han gør dem nærmest en tjeneste ved at lægge serveren ned, inden der er nogen der dropper deres tables...
Det er da helt klart Valus' problem, når de leverer et system der hele nede på det stadie har lavet fejl på sikkerheden.
Hehe, altså, jeg havde da også prøvet at skrive SHUTDOWN hvis det havde været mig :)
Anyways, ham der gav forslaget en ven af en af mine venner, og så vidt han fortalte, så havde hans advokat det relativt sjovt i retten, når alt kommer til alt - for det er jo ikke noget med at han har brugt lang tid på ondskabsfuldt at tæve systemet i jorden. Med det samme man finder ud af at man har dba rettigheder, er alt jo en joke.
Noget, som han også slog på var, at han ikke havde udnyttet hullet, til eksempelvis at gøre noget så ondskabsfuldt som at lave nogle stored procedures, som han kunne bruge til at kontrollere basen på afstand... eksempelvis at begynde at overføre penge til egen konto, eller ommøblere på data :)
Anyways, ham der gav forslaget en ven af en af mine venner, og så vidt han fortalte, så havde hans advokat det relativt sjovt i retten, når alt kommer til alt - for det er jo ikke noget med at han har brugt lang tid på ondskabsfuldt at tæve systemet i jorden. Med det samme man finder ud af at man har dba rettigheder, er alt jo en joke.
Noget, som han også slog på var, at han ikke havde udnyttet hullet, til eksempelvis at gøre noget så ondskabsfuldt som at lave nogle stored procedures, som han kunne bruge til at kontrollere basen på afstand... eksempelvis at begynde at overføre penge til egen konto, eller ommøblere på data :)
Der kan læses en meget god beretning om forløbet her fra en af de 3 tiltalte der valgte at følge linket i sin tid:
http://cubus-adsl.dk/elteknik/div/valushacker.php
Det er mildt sagt hovedrystende.
Faktisk var jeg tæt på at gøre det samme dengang nyheden var fremme og jeg så det link i debatten .. mest af alt fordi det ganske enkelt er svært at tro på at et firma der forvalter folks penge har begået så stor en brøler. I dag skal jeg vist være glad for at jeg styrede min nysgerrighed :)
http://cubus-adsl.dk/elteknik/div/valushacker.php
Det er mildt sagt hovedrystende.
Faktisk var jeg tæt på at gøre det samme dengang nyheden var fremme og jeg så det link i debatten .. mest af alt fordi det ganske enkelt er svært at tro på at et firma der forvalter folks penge har begået så stor en brøler. I dag skal jeg vist være glad for at jeg styrede min nysgerrighed :)
Ja det er for lamt hvis han bliver straffet fordi så er det det samme som at skrive en kriminal roman hvorefter en eller anden læser bogen og udføre handlingerne og der efter smider de forfatteren i fængsel sammen med den kriminelle.
og hvis den holder vand skal de så også til at smide halvdelen af politi styrken i spjælet for de skriver om hvordan mange kriminaliteter forgår så de må jo også være kriminelle...
jeg håber at dommeren som føre denne sag fra kaster den og siger at den må de længere ud på landet med.
og hvis den holder vand skal de så også til at smide halvdelen af politi styrken i spjælet for de skriver om hvordan mange kriminaliteter forgår så de må jo også være kriminelle...
jeg håber at dommeren som føre denne sag fra kaster den og siger at den må de længere ud på landet med.
læste det også i tirsdags i urban, men kunne ik finde den nogen steder på nettet :-(
well, FÅ STYR PÅ BEGREBERNE!
de 3 som har fulgt anvisningen er IKKE hackere, de er sandsynligvis blot idioter... de har hverken hacket eller cracket, bare dummet sig!
personen som postede anvisningerne kan muligvis betegnes som hacker, da han på en eller anden måde har vist indsigt i systemet...
jeg vil i øvrigt råde alle til at tænke meget over hvad i lægger ud på nettet, hvad i linker til og evt hvad i klikker - det kan hurtigt blive katastrofalt
personligt har jeg arbejdet ved TDC Mobil, og stødte en dag på en kunde som havde haft samme abbonnnement i 11 år, uden at klage, og en kunde der sendte et helt abnormt antal SMSer... dum som jeg var, tog jeg lige 2 screenshots af kunderne i salgssystemet - og slørede så alt hvad der ikke var relevant, og trak en sort streg over private oplysninger...
jeg var så dum at lægge de ellers godt slørede screenshots op på mit eget domæne... og den største brøler af dem alle var at jeg så smed et link til dem på mobildebat.dk - et sted som TDC mobils folk helt sikkert også følger med i
well, FÅ STYR PÅ BEGREBERNE!
de 3 som har fulgt anvisningen er IKKE hackere, de er sandsynligvis blot idioter... de har hverken hacket eller cracket, bare dummet sig!
personen som postede anvisningerne kan muligvis betegnes som hacker, da han på en eller anden måde har vist indsigt i systemet...
jeg vil i øvrigt råde alle til at tænke meget over hvad i lægger ud på nettet, hvad i linker til og evt hvad i klikker - det kan hurtigt blive katastrofalt
personligt har jeg arbejdet ved TDC Mobil, og stødte en dag på en kunde som havde haft samme abbonnnement i 11 år, uden at klage, og en kunde der sendte et helt abnormt antal SMSer... dum som jeg var, tog jeg lige 2 screenshots af kunderne i salgssystemet - og slørede så alt hvad der ikke var relevant, og trak en sort streg over private oplysninger...
jeg var så dum at lægge de ellers godt slørede screenshots op på mit eget domæne... og den største brøler af dem alle var at jeg så smed et link til dem på mobildebat.dk - et sted som TDC mobils folk helt sikkert også følger med i
Det her er åbenlyst en sag som aldrig skulle være blevet til noget. Når nu det er sagt, så skulle det ikke undre mig at de bliver dømt for det. Dommere og domsmænd vil jo sikkert ikke kunne se forskel på det tilfælde her, og et tilfælde hvor der rent faktisk havde været foretaget "cracking".
Det er sørgeligt at det danske retsvæsen er så retarderet på IT området, når vi trods alt er et af verdens førende IT lande på andre områder. Politiet og domstolene har bare ikke formået at følge med.. overhovedet - og det gælder også på mange andre områder inden for IT end lige cracking.
Det er sørgeligt at det danske retsvæsen er så retarderet på IT området, når vi trods alt er et af verdens førende IT lande på andre områder. Politiet og domstolene har bare ikke formået at følge med.. overhovedet - og det gælder også på mange andre områder inden for IT end lige cracking.
Så bliver sider som securityfocus.org vel egentlig ulovlige? Det burde ikke være kriminelt at have viden om sikkerhed og dele den med andre. Er vel heller ikke forbudt, hvis jeg nu fortæller jer at man kan bryde ind i et sommerhus ved at smadre en rude?
Nåh, men som andre siger, er det påklageligt at manglende IT-viden skal føre til fjollede retssager og domsafsigelser.
Hvad med dengang en her på newz.dk viste et link til en fil på APG's hjemmeside med en liste over alle e-mail adresser der havde tilmeldt sig en eller anden konkurrence. Det spredte sig også, så diverse medier pludslig skrev at APG's hjemmeside var blevet hacket på groveste vis.
Nåh, men som andre siger, er det påklageligt at manglende IT-viden skal føre til fjollede retssager og domsafsigelser.
Hvad med dengang en her på newz.dk viste et link til en fil på APG's hjemmeside med en liste over alle e-mail adresser der havde tilmeldt sig en eller anden konkurrence. Det spredte sig også, så diverse medier pludslig skrev at APG's hjemmeside var blevet hacket på groveste vis.
Det mener mig om da en mand købte ind hos haralnyborg (tror jeg nok det hedder) over nettet, der skete en fejl under det sidste tri i handelen, den hvor du bekræftigere købet, han fik en anden personens bekrafigelses ordre... Han så på URL'en, og opdaget at der var en tæller der formentlig specificeret ordre, han rettet det til et andet tal, i håb om at få sin egen ordrebekrafigelse... men nej, han fik igen en forkert! I altdiskration skrev han en høflig email til dem hvor han beskrev fejl... De lage sag and mod for at hacke dem og blev opkravet at betale afstatning for at have diskrediteret dem offentlig... selvom han ikke havde fortalt nogen om fejlen...
jeg synes at han ikke skal straffes fordi han tog ingen penge men han beviste bare at Valus var usikkert
Der er ikke meget "hackere" (Læs:crackere) over disse folk.
Den sag er en joke, og Valus burde til gengæld sagsøges ind i helvede for chikane, og for ikke at behandle andre folks penge ansvarligt.
Hvis jeg ved at læne mig op af Nordeas svingdør, opdager at den ikke er blevet låst, gør det så mig til indbrudstyv?...
Det tror jo ikke... :P
Hvis der er retfærdighed til stede her i verden, så beder dommeren Valus om at skride, da hele deres "sag" er en hån mod retten!.
Den sag er en joke, og Valus burde til gengæld sagsøges ind i helvede for chikane, og for ikke at behandle andre folks penge ansvarligt.
Hvis jeg ved at læne mig op af Nordeas svingdør, opdager at den ikke er blevet låst, gør det så mig til indbrudstyv?...
Det tror jo ikke... :P
Hvis der er retfærdighed til stede her i verden, så beder dommeren Valus om at skride, da hele deres "sag" er en hån mod retten!.
Jeg er rystet. Direkte rystet.
Hverken personen, som skrev den oprindelige kommentar, eller nogen af de, som bagefter pastede den opfordring, som han gav, kan (altså: bør kunne) retsforfølges: Det eneste de gjorde, var at bruge en browser.
Det havde været interesant at paste linket til en eller anden, man ikke kunne lide. "Prøv lige at klikke her". Sandsynligvis havde vedkommende - som naturligvis skulle være en ond newb - modtaget stævning, konfiskering af computerudstyr o.s.v.
Dette er et skoleeksempel på hvordan firmaer mener at de skal FUD'e sig til sejr. Beklageligvis ses eksempler på, at det kan være rimelig effektivt at gøre sådan, rundt i verdenen.
Så her er en reminder til den slags virksomheder: Lad være med at tage hele armen, hvis nogen rækker jer en lillefinger! Der er nogen af os, som bliver meget sure, når I gør sådan.
Ud over det, så så jeg jo gerne, at det danske politi fik en afdeling, som kunne håndtere denne slags sager mere effektivt. Mest af alt, håber jeg på, at politiets latterlige handleplan i denne sag ikke er et udtryk for at ville behage de private virksomheder. Det ville være samfundsnedbrydende, på en meget USA'sk måde.
Hverken personen, som skrev den oprindelige kommentar, eller nogen af de, som bagefter pastede den opfordring, som han gav, kan (altså: bør kunne) retsforfølges: Det eneste de gjorde, var at bruge en browser.
Det havde været interesant at paste linket til en eller anden, man ikke kunne lide. "Prøv lige at klikke her". Sandsynligvis havde vedkommende - som naturligvis skulle være en ond newb - modtaget stævning, konfiskering af computerudstyr o.s.v.
Dette er et skoleeksempel på hvordan firmaer mener at de skal FUD'e sig til sejr. Beklageligvis ses eksempler på, at det kan være rimelig effektivt at gøre sådan, rundt i verdenen.
Så her er en reminder til den slags virksomheder: Lad være med at tage hele armen, hvis nogen rækker jer en lillefinger! Der er nogen af os, som bliver meget sure, når I gør sådan.
Ud over det, så så jeg jo gerne, at det danske politi fik en afdeling, som kunne håndtere denne slags sager mere effektivt. Mest af alt, håber jeg på, at politiets latterlige handleplan i denne sag ikke er et udtryk for at ville behage de private virksomheder. Det ville være samfundsnedbrydende, på en meget USA'sk måde.
øhh.. er der nogen der har turdet skrive en besked til valus.dk vha. deres kontaktformular og spurgt om de har fået styr på sikkerheden? eller om de stadig crasher når man klikker på et link?
Og så paste linket, for at se om deres side går ned, når en nysgerrig valusmedarbejder klikker på det..?
Og så paste linket, for at se om deres side går ned, når en nysgerrig valusmedarbejder klikker på det..?
#5 de 3 tosser der så har gjort det er jo bøllerne.
Har man fulgt godt med i sagen vil man vide, at der var også en fjerde. Han er dog dømt for længst.
#6 Ellers tror jeg folk folk med de forkerte intentioner måske gøre værre ting..
Det kan du være ganske sikker på nogen ville have gjort med det samme. Men da Valus database allerede var lukket ned kunne det ikke lade sig gøre. Så måtte det gå ud over Computerworld i stedet.
uden at blive opdaget.
Det ville nok være svært. Alle requests blev vel logget af webserveren. Kunne kontrol over databaseserveren bruges til at opnå så meget kontrol over systemet, at man også kunne modificere webserverloggen? Vi har diskuteret noget lignende på usenet, men jeg kan ikke huske konklusionen.
#12 læste det også i tirsdags i urban, men kunne ik finde den nogen steder på nettet
Imponerende. Hvis man søger efter valus på google skal man bare tage det tredje hit. Men hvis urban ikke har nævnt at sagen drejede sig om valus, så er det vel bare urbans dækning, der er for tynd.
I øvrigt kan jeg så nævne, de væsentligste stedder at læse om den her sag:
cubus-adsl.dk
computerworld.dk
og deres debatforum
nyhedsgrupperne dk.edb.sikkerhed
og dk.videnskab.jura
snakeoil.dk
#17 det da næsten ærgerligt at der ikke er nogen der rent faktisk har gjort andet end at lukke databasen ned...
Nogen kunne jo ikke gøre ret meget, når databasen allerede var blevet lukket ud. Men så kunne nogen tilgengæld finde samme hul hos computerworld og slette data fra computerworlds database.
#20 Og så paste linket, for at se om deres side går ned, når en nysgerrig valusmedarbejder klikker på det..?
Jeg kunne se det morsomme i at have gjort det dengang. Du kan godt regne med, at linket ikke har nogen virkning i dag. Diverse søgemaskiner må jo afprøve det adskillige gange om året. Og det er jo efterhånden en to og et halvt år gammel sag.
Har man fulgt godt med i sagen vil man vide, at der var også en fjerde. Han er dog dømt for længst.
#6 Ellers tror jeg folk folk med de forkerte intentioner måske gøre værre ting..
Det kan du være ganske sikker på nogen ville have gjort med det samme. Men da Valus database allerede var lukket ned kunne det ikke lade sig gøre. Så måtte det gå ud over Computerworld i stedet.
uden at blive opdaget.
Det ville nok være svært. Alle requests blev vel logget af webserveren. Kunne kontrol over databaseserveren bruges til at opnå så meget kontrol over systemet, at man også kunne modificere webserverloggen? Vi har diskuteret noget lignende på usenet, men jeg kan ikke huske konklusionen.
#12 læste det også i tirsdags i urban, men kunne ik finde den nogen steder på nettet
Imponerende. Hvis man søger efter valus på google skal man bare tage det tredje hit. Men hvis urban ikke har nævnt at sagen drejede sig om valus, så er det vel bare urbans dækning, der er for tynd.
I øvrigt kan jeg så nævne, de væsentligste stedder at læse om den her sag:
cubus-adsl.dk
computerworld.dk
og deres debatforum
nyhedsgrupperne dk.edb.sikkerhed
og dk.videnskab.jura
snakeoil.dk
#17 det da næsten ærgerligt at der ikke er nogen der rent faktisk har gjort andet end at lukke databasen ned...
Nogen kunne jo ikke gøre ret meget, når databasen allerede var blevet lukket ud. Men så kunne nogen tilgengæld finde samme hul hos computerworld og slette data fra computerworlds database.
#20 Og så paste linket, for at se om deres side går ned, når en nysgerrig valusmedarbejder klikker på det..?
Jeg kunne se det morsomme i at have gjort det dengang. Du kan godt regne med, at linket ikke har nogen virkning i dag. Diverse søgemaskiner må jo afprøve det adskillige gange om året. Og det er jo efterhånden en to og et halvt år gammel sag.
For de interesserede poster jeg lige et indlæg, jeg også skrev på computerworlds debatforum:
> men de er pakket ind i så tyk sarkasme og nedladenhed,
> at de har en tendens til at prelle af på mig. Og jeg
> tror ikke det gavner hans forsvar.
Det er jeg da fuldstændig enig i. Og jeg har ikke synderlig respekt for nogen af parterne i den her sag.
Men hvad er det lige for et grundlag Cubus skulle dømmes på? Han har begået en handling som måske burde være ulovlig, men som tilsyneladende ikke er det pga. den måde loven er formuleret på. Det er ikke utænkeligt, at han med sine dumheder og uheldige attitude alligevel ender med at blive dømt. Hvad betyder det for vores retssikkerhed?
I nogle tilfælde burde det være lovligt at udnytte et hul til at lukke en server ned.
I den her situation kan man jo opdage et hul og indse, at det kan udnyttes til at udrette stor skade. Den hurtigste og mest effektive måde at forhindre misbrug kunne meget vel være at lukke serveren ned - væsentligt hurtigere end at kontakte de ansvarlige for serverens drift og potentielt en organisation som ikke prioriterer sikkerhed. Man er altså klar over risikoen for at der vil blive begået en forbrydelse, og man har muligheden for at forhindre den. Skal denne forebyggelse være ulovlig?
I Cubus tilfælde ligger der ikke sådanne grundige overvejelser bag, dog er handlingerne og deres konsekvens den samme. Jeg tror der er tilstrækkelig dokumentation for, at Cubus ved at lukke serveren ned faktisk beskyttede Valus mod en værre forbrydelse.
Her er referencer til den pågældende dokumentation. For det første blev der offentliggjort et link, der potentielt kunne slette data:
http://debat.computerworld.dk/thread.asp?Mode=Find...
For det andet læste en person tråden og forsøgte at angribe først Valus som allerede var lukket ned, og dernæst Computerworld. På Computerworld gættede han sig frem indtil han fandt et navn på en tabel som kunne slettes:
http://www.computerworld.dk/default.asp?Mode=2&...
Endeligt er det blevet nævnt at linket til at slette data hos Valus ikke ville have virket uden ændringer. Men var linket blevet ændret på samme måde, som personen gjorde det i sit angreb på Computerworld, kunne Valus have mistet data:
http://cubus-adsl.dk/elteknik/forum/index.php?act=...
På det grundlag mener jeg det er sandsynliggjort, at Cubus med sin tankeløse handling faktisk forhindrede en værre forbrydelse.
> men de er pakket ind i så tyk sarkasme og nedladenhed,
> at de har en tendens til at prelle af på mig. Og jeg
> tror ikke det gavner hans forsvar.
Det er jeg da fuldstændig enig i. Og jeg har ikke synderlig respekt for nogen af parterne i den her sag.
Men hvad er det lige for et grundlag Cubus skulle dømmes på? Han har begået en handling som måske burde være ulovlig, men som tilsyneladende ikke er det pga. den måde loven er formuleret på. Det er ikke utænkeligt, at han med sine dumheder og uheldige attitude alligevel ender med at blive dømt. Hvad betyder det for vores retssikkerhed?
I nogle tilfælde burde det være lovligt at udnytte et hul til at lukke en server ned.
I den her situation kan man jo opdage et hul og indse, at det kan udnyttes til at udrette stor skade. Den hurtigste og mest effektive måde at forhindre misbrug kunne meget vel være at lukke serveren ned - væsentligt hurtigere end at kontakte de ansvarlige for serverens drift og potentielt en organisation som ikke prioriterer sikkerhed. Man er altså klar over risikoen for at der vil blive begået en forbrydelse, og man har muligheden for at forhindre den. Skal denne forebyggelse være ulovlig?
I Cubus tilfælde ligger der ikke sådanne grundige overvejelser bag, dog er handlingerne og deres konsekvens den samme. Jeg tror der er tilstrækkelig dokumentation for, at Cubus ved at lukke serveren ned faktisk beskyttede Valus mod en værre forbrydelse.
Her er referencer til den pågældende dokumentation. For det første blev der offentliggjort et link, der potentielt kunne slette data:
http://debat.computerworld.dk/thread.asp?Mode=Find...
For det andet læste en person tråden og forsøgte at angribe først Valus som allerede var lukket ned, og dernæst Computerworld. På Computerworld gættede han sig frem indtil han fandt et navn på en tabel som kunne slettes:
http://www.computerworld.dk/default.asp?Mode=2&...
Endeligt er det blevet nævnt at linket til at slette data hos Valus ikke ville have virket uden ændringer. Men var linket blevet ændret på samme måde, som personen gjorde det i sit angreb på Computerworld, kunne Valus have mistet data:
http://cubus-adsl.dk/elteknik/forum/index.php?act=...
På det grundlag mener jeg det er sandsynliggjort, at Cubus med sin tankeløse handling faktisk forhindrede en værre forbrydelse.
#12
> læste det også i tirsdags i urban, men kunne ik finde den nogen steder på nettet.
Af ren og skær nysgerrighed kunne jeg da godt tænke mig at vide hvad der blev skrevet i det Ritzau telegram i Urban. Tilsyneladende har ingen netavis fundet det interessant nok til at gengive telegrammet.
> læste det også i tirsdags i urban, men kunne ik finde den nogen steder på nettet.
Af ren og skær nysgerrighed kunne jeg da godt tænke mig at vide hvad der blev skrevet i det Ritzau telegram i Urban. Tilsyneladende har ingen netavis fundet det interessant nok til at gengive telegrammet.
og når man har så spinkel sikkerhed at siden kan lukkes via browser så fortjener man fanme oz at få smæk
Alle de sider jeg undersøger for sikkerhed, bruger jeg udelukkende browseren. Mere skal man - faktisk ikke bruge.
SQL injection er en af de mest udbredte sikkerhedshuller i vore dage, desværre så er der ikke mange webdev's som ved hvordan man sikrer sig mod det, og det udnytter folk som jeg, for eksempel, til at få lidt credit, når vi emailer webmasteren for sitet med en fuld beskrivelse af problemet, et løsningsforslag og en lille hentydning til at man faktisk lige har givet uvurderlige sikkerhedstips :)
Dem der vil vide mere om websikkerhed kan google efter "SQL Injection whitepaper" og "XSS Tutorial"
Alle de sider jeg undersøger for sikkerhed, bruger jeg udelukkende browseren. Mere skal man - faktisk ikke bruge.
SQL injection er en af de mest udbredte sikkerhedshuller i vore dage, desværre så er der ikke mange webdev's som ved hvordan man sikrer sig mod det, og det udnytter folk som jeg, for eksempel, til at få lidt credit, når vi emailer webmasteren for sitet med en fuld beskrivelse af problemet, et løsningsforslag og en lille hentydning til at man faktisk lige har givet uvurderlige sikkerhedstips :)
Dem der vil vide mere om websikkerhed kan google efter "SQL Injection whitepaper" og "XSS Tutorial"
nu er en af de personer der klikkede på linket blevet dømt 10x250 kr i bøde..
2 andre er blevet frikendt bland andet ham der postede linket.
link:
http://it.tv2.dk/cw/index.php?id=26013&forside
(hvis i tør....)
2 andre er blevet frikendt bland andet ham der postede linket.
link:
http://it.tv2.dk/cw/index.php?id=26013&forside
(hvis i tør....)
kun fair at ham der postede anvisningen, blev frikendt, men kan nu ikke se hvad der er galt i at de andre bliver straffet?
de har vel vidst hvad de gjorde, eller hvad de kunne risikere at gøre!
i tidernes morgen, hvor Back Orifice og Netbus var noget en masse idioter legede med, og jeg ikke rigtig kendte så meget til sikkerhed, blev jeg også lokket til at køre et spil, som installerede en netbus server - jeg opdagede dog at det blev installeret, men ind nåede at fjerne det, frøs min windows totalt og fuckede vildt op.
senere talte jeg med dem som havde sendt mig spillet, og fik at vide at det var en af deres venner der ville se det demonstreret (dårlig røverhistorie) og hans undskyldning var så at han ikke troede på at han kunne slette mine system og konfigurationsfiler ved et par klik med musen...
men der går jeg da ud fra at de fleste kan se det forkerte i det han/de gjorde, men hvad er forskellen så i denne sag? hvis jeg fortæller nogen hvordan de kan røve en bank, er de da stadig skyldige...
de har vel vidst hvad de gjorde, eller hvad de kunne risikere at gøre!
i tidernes morgen, hvor Back Orifice og Netbus var noget en masse idioter legede med, og jeg ikke rigtig kendte så meget til sikkerhed, blev jeg også lokket til at køre et spil, som installerede en netbus server - jeg opdagede dog at det blev installeret, men ind nåede at fjerne det, frøs min windows totalt og fuckede vildt op.
senere talte jeg med dem som havde sendt mig spillet, og fik at vide at det var en af deres venner der ville se det demonstreret (dårlig røverhistorie) og hans undskyldning var så at han ikke troede på at han kunne slette mine system og konfigurationsfiler ved et par klik med musen...
men der går jeg da ud fra at de fleste kan se det forkerte i det han/de gjorde, men hvad er forskellen så i denne sag? hvis jeg fortæller nogen hvordan de kan røve en bank, er de da stadig skyldige...
Mener der er stor forskel på et link i en browser, og på aktivt at bugge en computer, og skyde den i sænk... ;)
Hvis jeg i frustration over at banken har lukket hamre min knytnæve ind i døren, og hele banken kollapser som et korthus, er jeg så skyldig i at jævne banken med jorden?
Det tror jeg ikke...
Ligesom ingen side må kunne nedlægges med en fucking URL.
Valus leverede et korthus af et system, og det er ene og alene deres inkompetances skyld, at nogen kunne nedlægge dem ved, metaforisk talt at nyse i nærheden af dem.
De burde alle være blevet frikendt, og tiltale for pligtforsømmelse rejst mod Valus.
Hvis jeg i frustration over at banken har lukket hamre min knytnæve ind i døren, og hele banken kollapser som et korthus, er jeg så skyldig i at jævne banken med jorden?
Det tror jeg ikke...
Ligesom ingen side må kunne nedlægges med en fucking URL.
Valus leverede et korthus af et system, og det er ene og alene deres inkompetances skyld, at nogen kunne nedlægge dem ved, metaforisk talt at nyse i nærheden af dem.
De burde alle være blevet frikendt, og tiltale for pligtforsømmelse rejst mod Valus.
Er det ikke også ulovligt at planlægge kriminalitet ? Det er det vel også i dette tilfælde. Såfremt det er ulovligt at planlægge, så skal han straffes. Hvad han burde have gjort at at informere virksomheden om fejlen, og ikke andet end det.
Så er der dom i sagen
http://www.computerworld.dk/default.asp?Mode=2&...
http://www.computerworld.dk/default.asp?Mode=2&...
#29 nu har der tidligere været mange sikkerhedshuller i diverse webservere, men du mener altså også at det skal være straffrit f.eks. at deface en gammel IIS5 server, fordi det er så let? (dvs. skrive nogle konsol-kommandoer i URLen osv.)
hvis jeg fortæller dig at bankens pengeskab står åbent hver torsdag kl 12, uden opsyn, giver det jo heller ikke dig lov til at gå ind og tømme det eller lign. selv om banken nok har dårlig sikkerhed...
hvis jeg fortæller dig at bankens pengeskab står åbent hver torsdag kl 12, uden opsyn, giver det jo heller ikke dig lov til at gå ind og tømme det eller lign. selv om banken nok har dårlig sikkerhed...
#32
Muligvis ikke, men ville du ikke være fristet, hvis de havde smidt pengene ude for fortovet, i en gennemsigtig plasticpose?
Muligvis ikke, men ville du ikke være fristet, hvis de havde smidt pengene ude for fortovet, i en gennemsigtig plasticpose?
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund