Avisen.dk
Nyhedsbreve | Opret profil | Log ind | Kontakt | Avisen.dk bruger cookies, læs mere her

Avisen.dk bekræfter sikkerhedshuller

27. august 2007 11:37
Visninger  [2146 ]   Debat  [12 ]

Avisen.dk har de seneste par dage været under voldsom kritik - primært fra bloggeren Michael Lykke, der har opdaget en række alvorlige sikkerhedshuller på Avisen.dks system, der i sin tid blev udviklet til Avisen.dk af firmaet Hello Web.

Da jeg læste anklagerne, troede jeg ærlig talt ikke på dem. Det kunne bare ikke være rigtig, at det udviklede system havde en så ringe sikkerhed, som Michael Lykke med flere har anklaget os for at have.

Her til formiddag må jeg bare erkende, at det er korrekt.

Vi har på baggrund af indlæggene fra Michael Lykke med flere opdaget, at registrerede bruger kan ændre i andre brugeres blog og i nyhedsartikler fra Avisen.dk. Det er naturligvis en meget, meget alvorlig sikkerhedsbrist, som vi øjeblikket arbejder på højtryk for finde og lukke.

Sikkerhedsbristen er ganske banal - faktisk så banal, at vi ikke i vores vildeste fantasi har overvejet at lede efter den. Det tog vores webudvikler Jens Lykke Brandt 30 sekunder at finde bristen, da han først blev gjort opmærksom på det mulige problem.

Det er dybt beklageligt, at det bagvedliggende system på Avisen.dk indeholder en så alvorlig sikkerhedsbrist. Vi tager det naturligvis meget, meget seriøst. Hvis vi ikke indenfor ganske få timer er i stand til at lukke hullet, vil vi lukke midlertidigt for de registrerede brugernes adgang til blogdelen på Avisen.dk. Denne adgang vil i givet fald blive åbnet igen, så snart alle sikkerhedshuller er lukket.

Vi undersøger naturligvis også, om der er andre sikkerhedshuller af samme type, som ovenfor omtalt. Vi kan på nuværende tidspunkt ikke sige noget om, hvorvidt det også er muligt at ændre i brugernes profil.

Som nævnt er det dybt beklageligt, at systemet har vist sig at indeholde så store sikkerhedshuller, som tilfældet er. Det er naturligvis ikke særlig professionelt, at vi ikke har opdaget dem noget tidligere, men som nævnt er der tale om så banale fejl, at vi end ikke har overvejet dem som en mulighed. Det burde vi naturligvis.

Endelig vil jeg gerne præcisere, at sikkerheden på Avisen.dk bliver tjekket forfra og bagfra flere gange, inden vi søsætter reglerne om at man kun kan blogge under fuldt navn.

Spørgsmål til sagen kan rettes her på bloggen eller direkte til mig på olsv@avisen.dk.

Med venlig hilsen

Ole Wejse Svarrer
redaktør, Avisen.dk



 
Del på Facebook
27.08-2007 | 12:08 af (Slettet bruger)
Kommentar er blevet slettet.
 
27.08-2007 | 12:08 af (Slettet bruger)
Kommentar er blevet slettet.
 
27.08-2007 | 12:34 af Ole Wejse Svarrer
Update:

Avisen.dk har for kort siden lukket hullet med en midlertidig løsning, så det kun ikke længere er muligt at redigere i Avisen.dk s nyhedsartikler og eller blogs.

I øjeblikket dobbelttjekker vi, om ændringerne har stoppet hullet overalt.

@Bitten2

Vi kommer ikke at droppe kravet om, at fremtidige bloggere skal skrive under eget navn. Det er en beslutning, som vi står fast på.

Hvis du som nuværende blogger ikke ønsker det, kan du fra en gang senere på året ikke længere blogge på avisen.dk.

Men vi overvejer, om vi skal slække på kravene om synlige adresseoplysninger. Det kan sagtens være, at vi vil nøjes med, at redaktionen skal kende adressen på bloggere, så vi har mulighed for at tjekke brugerens identitet.

Og det kan jo gøres via Krak eller De Gule Sider. Findes brugeren ikke dér, kan vi jo - hvis vi har mistanke om urent trav - sende et helt almindeligt brev til bloggeren, hvor vi beder om en bekræftelse af personoplysningerne. Får vi ikke dem eller kommer brevet retur, er det nok et tegn på en fake blog-identitet.

Endelig er det mit udgangspunkt, at folk ikke snyder, men faktisk er ærlige og redelige mennesker.

Med venlig hilsen

Ole Wejse Svarrer

Redaktør, Avisen.dk
 
 
27.08-2007 | 12:40 af (Slettet bruger)
Kommentar er blevet slettet.
 
27.08-2007 | 12:42 af (Slettet bruger)
Kommentar er blevet slettet.
 
27.08-2007 | 12:48 af Jens Lykke Brandt
Folkens,

Jeg har, som Ole beskriver, lavet en lille ændring, så man ikke kan ændre via det hul, som jeg fandt efter at Michael Lykke havde oplyst om muligheden.

Hvis I har flere, så må I MEGET gerne sende en mail direkte til mig på jebr@avisen.dk, så jeg kan rette eventuelle fejl - inden alle andre misbruger muligheden.

Hygge - Jens
 
 
27.08-2007 | 13:28 af (Slettet bruger)
Kommentar er blevet slettet.
 
27.08-2007 | 13:44 af Ole Wejse Svarrer
Update:

Det er korrekt, at hullet ikke er lukket helt. Jens lukker det nyopdagede hul, og knokler ellers videre med sikkerhedsoptimering.

Mvh

Ole Wejse Svarrer

Redaktør | Avisen.dk
 
 
27.08-2007 | 15:59 af Ole Wejse Svarrer
Update:

Nu tyder alt på, at hullerne er lukket. Vi arbejder videre med at finde flere af samme karakter. Hvis I støder på nogle uregelmæssigheder, så mail endelig til Jens Lykke Brandt på jebr@avisen.dk.

Med venlig hilsen

Ole Wejse Svarrer

Redaktør | Avisen.dk
 
 
27.08-2007 | 18:10 af (Slettet bruger)
Kommentar er blevet slettet.
 
27.08-2007 | 18:39 af K-drengen, v/ Jørgen V. Busk
Lige nøjagtigt, Kurt.

Utroværdighedsspiralen fortsætter i nedadgående retning. Og den er tilsyneladende selvvalgt.

Spøjst, for et eller andet sted, så udstiller dette præcis det samme, som når Trads-drengen går ud og kræver særbehandlig, _kræver_ at blive respekteret,  påstår de er troværdige og at de er seriøse konkurrenter til eksempelvis Berlingeren. Den arrogance og mentalitet synes jeg bliver udtrykt flot her, helt på line med Trads , Fogts og Simon Andersens udtalelser gennem tiden.

Der er dog et par ting, der er sikre: Nyhedsavisen får aldrig mit rigtige navn eller noget, der bare ligner tilnærmelsesvis personlige oplysninger, og den anden er, at Ole Wejse Svarrers udspil med at de vil sende breve, hvis de mistænker folk for ikke at skrive under rigtigt navn, meget hurtigt vil blive ressourcetung, og dermed ikke vil være andet end tilfældig "kontrol", og dermed helt ubrugelig.
 
30.08-2007 | 02:47 af (Slettet bruger)
Kommentar er blevet slettet.
 
SKRIV KOMMENTAR LÆS DEBATREGLERNE
Du skal være logget på for at kommentere.
Kommentarfeltet accepterer ikke lange links.
Forkort links med f.eks tiny.cc, bitly.com, TinyURL.com eller goo.gl
SEND
Indlæg | 24 | 78.493 | 163
Siden | 4. oktober 2006 11:53
OM AVISEN.DK | TIP REDAKTIONEN | ANNONCERING | BETINGELSER | KONTAKT OS
Avisen.dk ApS Store Kongensgade 59B, 4.sal DK-1264 København K Tlf.: +45 27837130 avisen@avisen.dk
CVR-nr. 31470021 Ansvarshavende chefredaktør: Rasmus Emborg emborg@avisen.dk
Jourhavende i dag:
Oliver Batchelor
© Copyright 2012, Avisen Aps
Avisen.dk er ikke ansvarlig for indhold fra eksterne Internet sites