Forum snurrar igen

Vi hade ett litet avbrott här på forum som nån kanske la märke till. Räckte ca 1 dygn.

Problemet var att om man begärde en sida som inte existerar i miniBB så visades ett mycket detaljerat felmeddalande på Internet. I felmeddelande ingick t.ex. serverns katalogstruktur och vad PHP-programmen heter som körs.

Sånt tycker vi serveradministratörer inte så värst mycket om. Det är en säkerhetsrisk. Därför - ner med tjänsten tills risken är borta.

Nu är det fixat och vi kan köra som förr.

--------------------

För den som orkar läsa detaljerna kan jag berätta lite till.

Själva felet låg i ett litet hjälpprogram som gör det möjligt för Plone att köra PHP-kod. Men innan jag kom på felet så misstänkte jag både PHP och Plone.

I begynnelsen startade jag faktiskt miniBB i en fristående IIS+ISAPI+PHP konfiguration eftersom den anses vara säkrare än IIS+CGI+PHP. ISAPI-interfacet funkar tyvärr inte med alla program, bla. inte med den Plone-PHP-lösning jag hittade på nätet. Så det fick bli CGI i stället. Med sk. "rätt konfiguration" lär man få en säker installation av den.

Hur jag än konfade om i PHP.INI-filen så försvann inte felet, trots att feltexten kom från PHP-tolken.

Så jag hoppar till Plone och försöker på alla sätt koppla bort Plones debug-funktion. Det måste ju vara den som producerar felrapporten eftersom centrala Plone-variabler också tycks bli presenterade i rapporten. Nix, debug är bortkopplad! Inte Plone. Alla inställnigar OK.

Hoppar därefter in i den lilla PHP-Plone-modulen jag hittade på nätet. Och se där - där sitter dom små kodraderna i bästa trojansk kämparglädje och exponerar allt vad snutten får reda på för hela Internet.

Lösningen är enkel: Raderna bort och felmeddelandet "Page Not Found" in i stället.

Undrar - finns där fler liknande "godbitar" i den koden? I miniBB? Plone?

Och hur är det med IIS och Windows som kryllar av ännu värre kod. Dethär var ju ändå Open Source.

---------
KimP, en fråga. Vem tycker du vi skall bura in? Vem skall betala för felet? Du var inne på sådana tankegånger för en tid sedan.

Jo, felsökning kan vara mycket tidsödande och besvärlig. Du klarade ju felet på nolltid nästan.

Det är just därför jag gillar Open Source skarpt. Man KAN ändra om man orkar söka.

Även om "vanligt folk" inte kan göra det för att de saknar kunskaperna. Du är i alla fall expert. Men det kanske finns nån i gänget som kan fixa saken - eller så kan man t.o.m. betala nån att fixa den ifall den är tillräckligt viktig. Inte bara sitta och vänta att en överbelastad stödperson i USA nån gång ids göra det - kanske.

Nisse

P.S. Jag editerar bara för att testa ...

Inget fel på open source!


Denhär gången var det dessutom rätt enkelt att fixa och jag tror att korrigeringen inte heller ställer till med nya fel. Vilket brukar vara problemet då man ändrar kod som nån annan skrivit. Expert eller inte men en klar riskfaktor är det. Något som förespråkarna från det andra lägret - proprietary coders - nogsamt brukar påpeka.

Dethär ämnet är ett precis lika säkert kort på ett forum som Window/Linux-debatten. Det blir inlägg!


Den egentliga orsaken till att jag för övrigt vågar sätta upp miniBB på egen server är möjligheten att jag själv kan söka fel. Annars hade nog inte miniBB satts in här.

Men OM jag inte hade haft den möjligheten och intresset så skulle jag nog vara väldigt försiktig med vad som kommer in i servern. Det är tillräckligt pirrigt redan. Men vetskapen om att här går folk i forum som kan dethär och som gärna hjälper till med goda råd lugnar.

Bredde
---------
KimP, en fråga. Vem tycker du vi skall bura in? Vem skall betala för felet? Du var inne på sådana tankegånger för en tid sedan.
---------

För att göra ett enkelt svar så finns ju strafflagen 38 kap §8, som alla som utnyttjar sploitar hammnar på.
8 § (21.4.1995/578)
Dataintrång

Den som genom att göra bruk av en användaridentifikation som han inte har rätt till eller genom att annars bryta säkerhetsarrangemang obehörigen tränger in i ett datasystem där data behandlas, lagras eller överförs elektroniskt eller med någon annan sådan teknisk metod eller i en särskilt skyddad del av ett sådant system, skall för dataintrång dömas till böter eller fängelse i högst ett år.

För dataintrång döms också den som utan att tränga in i datasystemet eller en del av detta med tekniska specialanordningar obehörigen tar reda på information som finns i ett sådant datasystem som avses i 1 mom.

Försök är straffbart.

Denna paragraf tillämpas endast på gärningar för vilka inte stadgas strängare eller lika strängt straff på något annat ställe i lag.

Att sen den som tillhandahåller information också kan straffas enl.
9 a § (14.10.1999/951)
Orsakande av fara för informationsbehandling

Den som för att orsaka olägenhet för informationsbehandling eller ett data- eller telesystems funktion,

1) tillverkar eller ställer till förfogande ett sådant datorprogram eller sådana programinstruktioner som har planerats för att äventyra informationsbehandling eller ett data- eller telesystems funktion eller för att skada data eller programvara som ingår i ett sådant system, eller sprider ett sådant datorprogram eller sådana programinstruktioner eller

2) ställer till förfogande anvisningar för tillverkning av ett sådant datorprogram eller sådana programinstruktioner som avses i 1 punkten eller sprider sådana anvisningar

skall, om inte strängare eller lika strängt straff föreskrivs för gärningen någon annanstans i lag, för orsakande av fara för informationsbehandling dömas till böter eller fängelse i högst två år.

Detta är ju käpprätt åt helvete ... om jag offentligt visar på hur dålig kod ser ut och kan utnyttjas skall JAG straffas , hmmm nu blir jag plötsligt kriminell när jag nämner att det finns en del mindre trevliga saker om miniBB koden jag vet om dem men begår en kriminell handling om jag berättar det för DIG.
Undrar om mjukvaruindustrin sätter huvudet i sanden med ett såpass falsk säkerhet.???

Käpprätt åt helvete!

När jag för ett år sedan visade hur man knäcker banksekretessen är det jag som plötsligt är boven. Jag var tom. så dum att jag gick ut i TV med det också.

Och det värsta av allt. Jag har inte ens lärt mig läxan att knipa käft. Funderar smått på en efterföljare. Behöver ju inte direkt peka ut Nordea utan man kunde kolla alla banker i Finland och ha Sverige som referens.

Två år... inte så kul förstås ... men Fazers Blå blir som sagt bra om nån kommer och hälsar på.

Jag lovar att dela med mig ,
Nåja i proppen lindras min ilska något med följande stycke:
Den föreslagna straffbestämmelsen uppfyller både kravet på att en begränsning av yttrandefriheten skall regleras i lag och kravet på exakthet och tydlig avgränsning. Syftet med straffbestämmelsen är att skydda databehandling, data- och telesystemens funktion samt uppgifterna och programmen i dem. Bestämmelsens skyddsobjekt är således ett viktigt enskilt och allmänt intresse. Eventuella begränsningar i yttrandefriheten måste därför godkännas utifrån systemet för de grundläggande fri- och rättigheterna. Vissa sakkunniga har ställt sig tveksamma till om det är nödvändigt att kriminalisera gärningarna i fråga för att nå ett godtagbart mål och om begränsningen står i rätt förhållande till den grundläggande rättigheten. Det har sagts att någon ny straffbestämmelse inte behövs, eftersom gällande bestämmelser om medhjälp, anstiftan och offentlig uppmaning till brott tillsammans med straffbestämmelserna om skadegörelse och kommunikationsbrott är tillräckliga. Utskottet anser att den föreslagna straffbestämmelsen är nödvändig, eftersom gällande bestämmelser inte täcker alla gärningar enligt det föreslagna brottsrekvisitet. Med hänsyn till proportionalitetskravet är det också väsentligt att förutsättningen för att en gärning skall vara straffbar är att gärningsmannen haft för avsikt att störa informationsbehandlingen eller datasystemens funktion.

Hmmm, undrar när man ser första prövning , för tolkar man det som fan läser bibeln så är detta samma sak som jag inte får påpeka och visa att grannen bil är livsfarlig när han använder den.

En första prövning. Cain&Abel heter programmet. Och kan göra man-in-the-middle-attack mot
HTTPS-skyddad bank-sida

Uppgifterna publiceras endast i hopp om att bankerna skärper sin säkerhet. Skulle tro att det räcker som motiv att få äta sin Fazers Blå i det fria.

Ser man på Är just i Norge på en s.k. sprint, där vi jobbar med utvecklingen av Plone 3 som ska komma ut till hösten och ca 40 Plone-utvecklare från hela världen är här (de mest långväga gästerna är från Tokyo respektive Brasilien).

Nåja, tänkte egentligen bara skriva att det så småningom ska komma en "riktig" forum-produkt för Plone också, PloneBoard. För tillfället lite fördröjd på grund av sjukdom. En tidig version från i höstas kan hämtas på http://plone.org/products/ploneboard, medan utvecklingsversionen finns tillgänglig i kollektivet, http://dev.plone.org/collective/browser/Ploneboard . Så det blir väl Real Soon Now vilket väl får tolkas som till sommaren.

Är själv lätt allergisk mot PHP ochskulle nog inte våga köra miniBB överhuvudtaget.

Hälsa och tacka Plone-gubbarna! Bra jobbat!

Ett enkelt forum skulle sitta bra i Plone. Behöver inte vara funktionsstrippat trots att layouten kunde likna dethär forumet. Att tex. dra in inlägg som "hör ihop" är onödigt. Flat struktur och allt efter varandra har åtminstone funkat här.


PHP ett kraftfullt språk. Man gör som sagt ALLT. Vilket ju inte är så bra alla gånger.

Plone igen är helt inkapslad i sin egen värld vilket är bra med tanke på säkerheten. Inga systemanrop här inte, eller...vinsci ???

Enda vägen ut från BredbandsPlone för tillfället går till miniBB-PHP via ett CGI anrop. Men jag skulle nog vilja ha det som ISAPI i stället. Då har man åtminstone ingen DOS-aktig kommando-tolk riktad mot Internet.

Jag kunde naturligtvis köra IIS+ISAPI+PHP utan Plone men jag har inte tillräckligt med domännamn och lediga IP:n. (Min kvot på DynDNS börjar vara full)

vinsci, Har du några idéer om hur Plone-PHP-anropet kunde göras via ISAPI i stället för med CGI? Kan man fixa koden på nåt sätt?

> Plone igen är helt inkapslad i sin egen värld vilket är bra med tanke på säkerheten. Inga systemanrop här inte, eller...vinsci ???

Jo, men ibland har man nog upptäckt säkerhetsproblem trots det, senaste problemen som åtgärdas via http://plone.org/products/plonehotfix20060410 (nu kan man väl i och för sig inte åstadkomma annat än mycket begränsade skador via de felen). Det är kanske ett år sedan vi förra gången hittade något.

Säkerhet i Zope/Plone är lite väl stort ämne för att avklaras i en kort kommentar, men rent allmänt kan man väl konstatera att vi har klarat oss bra (så vitt vi vet om) vad gäller säkerhet. Men visst finns det sätt att öppna upp för problem - en sidmall antas t.ex. vara betrodd och har därmed fri tillgång till det mesta. Därför ska man inte tillåta vem som helst att editera sidmallarna eller låta vem som helst lägga till sådana.

> vinsci, Har du några idéer om hur Plone-PHP-anropet kunde göras via ISAPI i stället för med CGI? Kan man fixa koden på nåt sätt?

Ska kolla.

Jag använder PHPGateway från

http://www.zope.org/Members/hewei/PHParser

Den funkar men så värts övertygande är texten inte med tanke på test och säkerhet.


Btw.
Nisse kunde inte använda Kupu 1.3.3 i Firefox (+ Linux antar jag). Hände nåt konstigt i editeringen sa han. Borde man sen också installera nyaste Kupu?

> Nisse kunde inte använda Kupu 1.3.3 i Firefox (+ Linux antar jag). Hände nåt konstigt i editeringen sa han. Borde man sen också installera nyaste Kupu?

Svårt att veta, utan närmare beskrivning av problemet. Kanske du kan beskriva det, Nisse? Fel som redan har blivit åtgärdade i Kupu kan man läsa om på http://codespeak.net/svn/kupu/trunk/kupu/doc/CHANG ES.txt medan listan på buggar finns på http://codespeak.net/issues/kupu/ (lägg gärna till en ny där, om du inte hittar problemet från förr).

Ehm, kan inte testa det där med ISAPI själv, då det bara fungerar på MSWindows. Gäller t.o.m. Apache-modulen mod_isapi.

Ok, mitt problem är närmast hur koden i Plone kunde se ut för ISAPI-anrop. Jag måste nog forska i det själv lite också.

Fantiserar att man skall göra ett DLL-funktionsanrop från Plone till PHP-ISAPI-DLL:en. Om vi skulle börja med det. Vet du om man kan göra DLL-anrop från Plone till Windows-DLL:ar? (Finns säkert på nätet men då där surrar 40 Plonare runt dig så kanske ... )

Därefter är det väl bara att byta ut CGI-anropet mot ISAPI-dito. Skulle man tycka.

Jag vet inte vad som hänt, men forumet tycks fungera bra just nu. Inga problem med editeringen.

Nisse