Bart De Waele » Float » Proximedia: wanpraktijken op vlak van veiligheid

Feeds

42278 items (32427 unread) in 36 feeds

• net | log (197 unread)
• Ondernemer in Gent (190 unread)
• Kopje Koffie (152 unread)
• Planet Gadget (101 unread)
• del.icio.us/netlash (5942 unread)
• Bart's internet-wereld
• Digital Nomad (10 unread)

Familie (1024 unread)

• Wolf De Waele (13 unread)
• Witch (982 unread)
• Acta Diurna (29 unread)

NetlashCollegas (3285 unread)

• zrlnd (111 unread)
• Dextrose (117 unread)
• Druivensuiker (52 unread)
• Renoveren & Restaureren (81 unread)
• del.icio.us/dextro (841 unread)
• Mijn Nikon D200
• del.icio.us/bauffman (36 unread)
• tys' comment (29 unread)
• Erik Bauffman (48 unread)
• Netlash Developers (2 unread)
• del.icio.us/tys (137 unread)
• Wolf's Little Store (459 unread)
• Netlash Designers (8 unread)
• Bram Vanderhaeghe (12 unread)
• Bram.us (1352 unread)

NetlashStagiairs (349 unread)

• Artueel blog (88 unread)
• Intro blog
• Artanis
• Float (16 unread)
• Stuffie.be (12 unread)
• Ben's Blog (13 unread)
• Dieter Provoost (90 unread)
• mister Superb (124 unread)
• blog.wardonline (6 unread)

Fun (21177 unread)

• netlash's Recently Played Tracks (829 unread)
• Twitter / Bart De Waele (20350 unread)

Float

• 

  Proximedia: wanpraktijken op vlak van veiligheid

  Posted: May 6th, 2007, 12:26pm CEST by Davy

  Tags:    [edit]

  Erik contacteerde onlangs Proximedia met de melding dat hun websites serieuze veiligheidslekken vertonen. Na een teleurstellend antwoord reageert een medewerker van Proximedia nu zelf op het blog. In hoeverre die reactie to the point is, en of ze heel de problematiek hebben begrepen valt nog te betwijfelen.

  Waar het dus allemaal om draait zijn een aantal veiligheidslekken, die Erik nogmaals toelicht in zijn reactie:

  Veiligheid is mijn grootste zorg. Tot zover ik weet staat de database voor iedere webshop van een proximedia klant in één grote tabel op proximedia.com. Momenteel zijn de voorgenoemde lekken (zie e-mail) nog steeds actief, waardoor je met een simpele url een overzicht kan krijgen van bvb alles uit de hele webshop database van alle klanten die erin zitten. Is de veiligheid van de data van jullie klanten niet belangrijk? Hoe zou een klant reageren als iemand door lekke code de webshop database op proximedia helemaal om zou gooien of records verwijderen?

  En het is dus echt eenvoudig om via wijzigingen in de url van de Proximedia website errors op te roepen die zeggen waar een settingsfile staat. Data uit de url kan zelfs rechtstreekt in de SQL query geïnjecteerd worden. Basisfouten op vlak van veiligheid dus.

  Maar daar houdt het helaas niet op. Alle klantensites functioneren op dezelfde manier en hanteren blijkbaar dezelfde database. Als iemand dus misbruik zou maken van deze veiligheidslekken, kan die makkelijk alle data op de dynamische pagina’s van de hele Proximedia catalogus verwijderen.

  Maar wat doet Proximedia daartegen? Voorlopig niets. Zo’n typische houding van een bedrijf dat nog in de jaren ‘90 is blijven steken. De promotiefilmpjes op hun website zijn nu nog lachwekkender als je weet hoe lek hun websites zijn.

  • Creativiteit
  • Kwaliteit
  • Flexibiliteit

  Met die woorden omschrijft Proximedia zijn webdesign solutions.

  Creativiteit wegens de originaliteit bij de grafische creatie.

  Euhm, hebben ze hun designs zelf al eens goed bekeken? Hilarisch slecht gewoon. Kijk maar eens op bij hun websites van de week.

  Kwaliteit wordt constant verbeterd en is van zeer groot belang.

  Dan toch niet op vlak van veiligheid !

  Ik sta dus volledig achter Erik zijn bezorgheid en frustratie. Bij Proximedia is winst maken duidelijk belangrijker dan het leveren van enige kwaliteit. Benieuwd of Proximedia nog zal reageren en of ze onze bezorgdheid delen.