It-sikkerhed

Confirmation bias og sjusket journalistik

Nu er sikkerheden i et offentligt IT-system igen i vælten – denne gang er det til Tingbogen. Ekstra Bladet skrev Kæmpe dansk database lagt ud på nettet: Hemmelige adresser kan let søges frem, hvor de indleder artiklen med følgende: Ukendte gerningsmænd har kopieret databasen over ejerne af ejendomme i Danmark – nu ligger alle oplysningerne frit og let søgbare på nettet Tilsvarende havde Version2…

Trues det åbne web?

download

I sin rolle som forsker ved CERN skrev Sir. Tim Berners-Lee den første web browser i 1990. Formålet var tydeligvis ikke kommercielt men demokratisering af information. Det skulle ikke kun være let at søge information men også skabe, blandt andet var browseren også en editor. CERN er som bekendt et center for forskning i fysik, og havde dermed ikke nogen direkte kommerciel interesse i…

Nedtælling til websikkerhed – nr. 6 eksponering af følsomme oplysninger

chains

Når systemer bliver kompromitteret og følsomme oplysninger slipper ud er konsekvenserne ofte store. Pressen holder sig som regel ikke tilbage (og det skal de heller ikke) og det giver ofte store tab i omsætning, omfattende oprydning og retslige efterspil. Som jeg skrev tidligere, så kan vi lige så godt antage at vi bliver hacket. Så er vi forberedt? Kan vi mindske skaden? Er alle…

Brugervenlighed over arkitektur i digitalisering

Jeg tilbragte et par dage i sidste uge på Dansk ITs konference Offentlig digitalisering 2015, hvor jeg, og alle de andre fremmødte, kunne høre dels om hvordan det går med den offentlige digitalisering og hvad visionerne er med den fremadrettet. Et af de budskaber som der kom flere gange under konferencen, er at offentlig digitalisering går rigtigt godt i Danmark. Her tænkes på borgernes…

Nedtælling til websikkerhed – nr. 7 manglende adgangskontrol på funktionsniveau

sikkerhed

Når det kommer til websites foregår adgangskontrol typisk to gange; én gang når grænsefladen skal vises og der skal tages stilling til om der skal vises et link til en sikker side. Én gang når den sikre side skal vises. En typisk fejl er at glemme sidstnævnte, at sitet beror rent på adgangskontrol i præsentationslaget og dermed kan ondsindede personer skaffe sig direkte adgang…

Nedtælling til Websikkerhed – nr. 8 Cross Site Request Forgery (CSRF)

caution

Det er ikke noget vi nødvendigvis tænker på – når vi i vores daglige rutine bevæger os fra site til site, men det at vi i browseren har gemt vores identitet fra besøg til besøg gør at vi er sårbare over for CSRF-angreb. Problemet er at angrebet er næsten usynligt da det kan være drevet af noget så banalt som et image-tag eller en…

Nedtælling til Websikkerhed – nr. 9 brug af komponenter med kendte sikkerhedshuller

_DSC0568

Selv vores forældre er ved at have lært at opdateringer til windows er vigtige – uanset om viljen er baseret på teknisk indsigt eller nagende popups. Men på trods af at vi måske formår at holde vores operativsystem opdateret er der mange andre flader der, pga. manglende opdateringer, er sårbare over for angreb. Det kan være den webserver vi benytter, de frameworks vi benytter…

Nedtælling til Websikkerhed – nr. 10 uvaliderede redirects og forwards

sikkerhed

Sikkerhedsbrud i webapplikationer er et stadig stigende problem. Gang på gang skriver pressen om indbrud og kompromitterede systemer ved de store spillere på internettet og vi er så småt begyndt at diskutere hvornår en hacking-skandale er en reel krigshandling. Som udviklere har vi et fælles ansvar at leve op til – vore applikationer er kun så sikre som deres svageste led. Open Web Application…

Sikkerhedshul i Bash

Hvis man har et Linux device med Bash installeret (og hvem har ikke Bash installeret på deres Linux device?), så er det på tide at få patched den. Det sammen gælder jeres Unix servere. Det viser sig at der er et alvorligt sikkerhedshul: [T]he vulnerability arises from the fact that you can create environment variables with specially-crafted values before calling the bash shell. These…

Hvordan kan vi forbedre sikkerheden for EU’s borgere på nettet?

hacker

Mens tiden er gået med at implementere cookie-direktiver er dine login-oplysninger inklusive potentielt privatlivsfølsomme oplysninger blevet lækket gang på gang. Sidst år i oktober blev Adobe kompromitteret og 153 millioner konti bestående af id, brugernavn, email, krypteret kodeord og hints i ren-tekst. Ikke nok med det, men fordi at alle kodeord var krypteret med samme algoritme og med samme initialiseringsdata og hints i ren-tekst…