Norges største tjeneste for bilder - FotoKnudsen
Fremkall dine digitale bilder og lagre dem gratis i MinneBanken. Stort utvalg av fotoutstyr og andre bildeprodukter.
FotoKnutsen
Bak Dør for FotoKnutsen
Private bilder er åpent tilgjengelig på Internett
Kundene kan laste opp bilder fra digitalkamera for prosessering og FotoKnutsen garanterer for sikker lagring av bildene dine. Men i løpet av et år, har kunder private fotografier har vært fritt tilgjengelig på Internett. En bakdør i systemene FotoKnutsen.no sørget for at vi kunne gå utover sikkerhetsmekanismer som skulle hindre uautorisert tilgang.
Denne svakheten er nå stengt, men skaden allerede gjort. Hvem er ansvarlig for å informere kundene?
Hvis du har vært kunde hos FotoKnutsen har bildene for over et år har vært helt åpen på Internett. Bilder av intim natur bryllup, begravelser, bursdager, ferier, festlig bilder og fødsler var tilgjengelige for uautorisert bruk.
Ansvarlig avsløring av sårbarheter
I de siste 10 -15 årene, presenterte en diskusjon om hvordan man skal håndtere sårbarheter. Vil informasjon om sårbarheter forårsake større skader enn det mest nødvendige, eller vil det gjøre samfunnet mer bevisst på sikkerhet må tas på alvor. Skal vi publisere alt, forskuddstrekk eller ikke skrive noe til du får det oppdatert og oppdaterte systemer?
Sikkerhet ved ubemerkethet
Sikkerhet ved ubemerkethet er et prinsipp som en feilaktig hevder at minst mulig informasjon om systemer for å få det offentlige til øret. Jo mer du beholde, den sikrere er mann, og sannsynligheten for at angripere finner potensielle svakheter, er små.
En velkjent counter-argument til Sikkerhetsrådet gjennom ubemerkethet finner innen kryptologien, i den såkalte Kerchoffs lov fra slutten av 1880-tallet, antas at angripere får full tilgang til design av systemet, med mindre tasten brukes til å kryptere data.
Å forklare, kan vi se for seg følgende. Du har et dokument du ønsker å holde hemmelig, og bare de som har sikkerhet clearances.
Dokumentet sendes ukryptert gjennom en algoritme som sammen med en unik krypteringsnøkkel til å produsere et kryptert dokument. Algoritmen er kjent og testet for sårbarheter. Dette dokumentet kan bare dekryptert av noen som har tilgang til dekrypteringsnøkkelen.
På denne måten å få flere fordeler. Først og fremst er ment for kryptering, som testet av forskere og sikkerhetseksperter. Dernest er det lett å utstede en ny krypteringsnøkler for disse skal oppnås. Videre gjør det mulig å gjennomføre krypteringsalgoritmene i maskinvare for en liten avgift, noe du ser i mobiltelefoner, smartkort, minibanker og memorysticks tilsvarende.
Hvorfor får du lese om så få sikkerhetsproblemene i Norge?
En naturlig årsak er tap av omdømme og kunder. Det er åpenbart at når det er kjent at FotoKnutsen gjør kunden bilder på Internett uten noen form for tilgang, dette er veldig negativt for selskapet.
Hva gjør du hvis du har funnet en sårbarhet?
Det er et etisk dilemma. På den ene siden sitter på informasjon som kan gjøre næringslivet mer sikker, og får alle angripere svindlersk iforkjøpet. Problemet er at noen selskaper ikke ta denne informasjonen på alvor og tar selvkritikk for å ha fullført miserable løsninger.
I stedet truer man med politiet og hevdet man forsøkt utpressing. Vår kilde bare har nå tatt en sjanse til å komme ut med denne informasjonen. Moralsk, bør du ha de riktige corporate melding først, og gi dem tid til å løse problemene før publisering sårbarhet.
California et eksempel for andre
California sikkerhetsbrudd Information Act (SB 1386) var 1. juli 2003. Ifølge denne loven skal de selskaper som opplever å bryte inn i databaser som inneholder personlig informasjon for å informere alle berørte kunder.
Hva er en bakdør
En bakdør eller felle døren er en undocumented måte å få tilgang til et program, elektroniske tjenesten, eller IT-systemer. En bakdør er skrevet av programmerer som koder programmet, og ofte bare kjent med den. Dette gjøres enten med vilje eller ved mangel på kunnskap om programmering og leverandør.
Autentisering og godkjenning
Blir i denne FotoKnutsen.no sårbarhet i sine systemer, må du først vite begrepene autentisering og godkjenning. Godkjenning er en prosess der brukeren har til å vise legitimasjon på hvem du er. Normalt utføres av et brukernavn og passord blir sammenliknet med hva som er lagret i en kunde database. Stemmer denne kampen vil bli gitt videre i systemet.
Men en klient skal kun ha tilgang til sine bilder, og det er gjennom samtykke. Dette er en prosess der brukeren har tilgang til en bestemt del av bildet database, som er det kun egne bilder.
URL Organisering
URL-strukturen brukes til å identifisere ressursene på en webserver. En slik bane kan ofte se slik ut;
http://somthing.no/supportforum.php?showforum=149
HTTP er protokollen som brukes supportforum.php er navnet på ressursen som er generert på grunnlag av en gitt parameter, i dette tilfellet 149
Backdoor FotoKnutsen Commission
Hans løsning var FotoKnutsen tildelt hver klient kunde nummer suksessivt. Ved å endre parameterne for en numerisk verdi til en annen, for eksempel 149-150, vil du få bildene til neste kunde.
Omkjøring autentisering og godkjenning
Ved å angi en bestemt nettadresse hvor du har sikkerhetsmekanismer mandag. Å unngå å bli oppdaget hadde Foto Knutsen lagt javaskriptet til "self.close" mekanisme som kan lukke nettleseren før uvedkommende fikk tilgang til dine private bilder.
Java Script ikke sikkerheten
En java script som kjøres på klientsiden, og dersom annen grunn ikke er i stand til å kjøre, vil du ha full tilgang til databasen. Den økte sikkerheten i Internet Explorer som følger med Windows XP Service Pack 2, forhindret automatisk nedlukking webleservindu og du fikk følgende melding.
Hvis ikke, får du opp følgende skjermbilde.
Pinlig for dem som er involvert
Dette er meget pinlig for FotoKnutsen og Reakorgruppen at det er sourcing for FotoKnutsen.
Produktanmeldelser Flukt og søksmål?
Den ECHR fastslått at den enkelte har noen respekt for privatliv. Videre har du Personlege Datablad loven og straffeloven § 390 for å sikre dine rettigheter (lovdata.no, Digme.no).
Videre Datalilsynet klare standarder for hvordan man skal håndtere bilder på internett.
FotoKnudsen er derfor pålagt å sørge for at løsninger for å implementere sikkerhet på en tilfredsstillende måte. I dette tilfellet er det ikke gjort. Fokus på sikkerhet i dette tilfellet ikke vært tilstede, og de har oversett en vanlig sikkerhet gjennomgang av systemene. Vi har vært i kontakt med kunder av FotoKnutsen som er juridisk forbannet med sikkerheten de hadde.
Når du bruker Internett-baserte tjenester, plasserer den private opplysninger til noen tredjepart uten at du kan være sikker på at sikkerhet er forsikret. En kan derfor spørre om det er tid for en offentlig henvendelse til løsninger for bedrifter som opererer på internett.
I andre bransjer er det vanlig at myndigheter og næringen selv utføre tilsyn mot ulike marked spillere. Hensikten med dette er å sikre at det fortsatt er forelsket og handle på en fornuftig måte.
Det bør opprette et system av regjeringens godkjenning av områder med en viss kundemasse, og krever åpenhet om hvordan sikkerhetsmekanismer er implementert. På denne måten kan du kanskje redusere sårbarheten blant de viktigste punktene, og dermed gi bedre personvern for kunder.
Private bilder er åpent tilgjengelig på Internett
Kundene kan laste opp bilder fra digitalkamera for prosessering og FotoKnutsen garanterer for sikker lagring av bildene dine. Men i løpet av et år, har kunder private fotografier har vært fritt tilgjengelig på Internett. En bakdør i systemene FotoKnutsen.no sørget for at vi kunne gå utover sikkerhetsmekanismer som skulle hindre uautorisert tilgang.
Denne svakheten er nå stengt, men skaden allerede gjort. Hvem er ansvarlig for å informere kundene?
Hvis du har vært kunde hos FotoKnutsen har bildene for over et år har vært helt åpen på Internett. Bilder av intim natur bryllup, begravelser, bursdager, ferier, festlig bilder og fødsler var tilgjengelige for uautorisert bruk.
Ansvarlig avsløring av sårbarheter
I de siste 10 -15 årene, presenterte en diskusjon om hvordan man skal håndtere sårbarheter. Vil informasjon om sårbarheter forårsake større skader enn det mest nødvendige, eller vil det gjøre samfunnet mer bevisst på sikkerhet må tas på alvor. Skal vi publisere alt, forskuddstrekk eller ikke skrive noe til du får det oppdatert og oppdaterte systemer?
Sikkerhet ved ubemerkethet
Sikkerhet ved ubemerkethet er et prinsipp som en feilaktig hevder at minst mulig informasjon om systemer for å få det offentlige til øret. Jo mer du beholde, den sikrere er mann, og sannsynligheten for at angripere finner potensielle svakheter, er små.
En velkjent counter-argument til Sikkerhetsrådet gjennom ubemerkethet finner innen kryptologien, i den såkalte Kerchoffs lov fra slutten av 1880-tallet, antas at angripere får full tilgang til design av systemet, med mindre tasten brukes til å kryptere data.
Å forklare, kan vi se for seg følgende. Du har et dokument du ønsker å holde hemmelig, og bare de som har sikkerhet clearances.
Dokumentet sendes ukryptert gjennom en algoritme som sammen med en unik krypteringsnøkkel til å produsere et kryptert dokument. Algoritmen er kjent og testet for sårbarheter. Dette dokumentet kan bare dekryptert av noen som har tilgang til dekrypteringsnøkkelen.
På denne måten å få flere fordeler. Først og fremst er ment for kryptering, som testet av forskere og sikkerhetseksperter. Dernest er det lett å utstede en ny krypteringsnøkler for disse skal oppnås. Videre gjør det mulig å gjennomføre krypteringsalgoritmene i maskinvare for en liten avgift, noe du ser i mobiltelefoner, smartkort, minibanker og memorysticks tilsvarende.
Hvorfor får du lese om så få sikkerhetsproblemene i Norge?
En naturlig årsak er tap av omdømme og kunder. Det er åpenbart at når det er kjent at FotoKnutsen gjør kunden bilder på Internett uten noen form for tilgang, dette er veldig negativt for selskapet.
Hva gjør du hvis du har funnet en sårbarhet?
Det er et etisk dilemma. På den ene siden sitter på informasjon som kan gjøre næringslivet mer sikker, og får alle angripere svindlersk iforkjøpet. Problemet er at noen selskaper ikke ta denne informasjonen på alvor og tar selvkritikk for å ha fullført miserable løsninger.
I stedet truer man med politiet og hevdet man forsøkt utpressing. Vår kilde bare har nå tatt en sjanse til å komme ut med denne informasjonen. Moralsk, bør du ha de riktige corporate melding først, og gi dem tid til å løse problemene før publisering sårbarhet.
California et eksempel for andre
California sikkerhetsbrudd Information Act (SB 1386) var 1. juli 2003. Ifølge denne loven skal de selskaper som opplever å bryte inn i databaser som inneholder personlig informasjon for å informere alle berørte kunder.
Hva er en bakdør
En bakdør eller felle døren er en undocumented måte å få tilgang til et program, elektroniske tjenesten, eller IT-systemer. En bakdør er skrevet av programmerer som koder programmet, og ofte bare kjent med den. Dette gjøres enten med vilje eller ved mangel på kunnskap om programmering og leverandør.
Autentisering og godkjenning
Blir i denne FotoKnutsen.no sårbarhet i sine systemer, må du først vite begrepene autentisering og godkjenning. Godkjenning er en prosess der brukeren har til å vise legitimasjon på hvem du er. Normalt utføres av et brukernavn og passord blir sammenliknet med hva som er lagret i en kunde database. Stemmer denne kampen vil bli gitt videre i systemet.
Men en klient skal kun ha tilgang til sine bilder, og det er gjennom samtykke. Dette er en prosess der brukeren har tilgang til en bestemt del av bildet database, som er det kun egne bilder.
URL Organisering
URL-strukturen brukes til å identifisere ressursene på en webserver. En slik bane kan ofte se slik ut;
http://somthing.no/supportforum.php?showforum=149
HTTP er protokollen som brukes supportforum.php er navnet på ressursen som er generert på grunnlag av en gitt parameter, i dette tilfellet 149
Backdoor FotoKnutsen Commission
Hans løsning var FotoKnutsen tildelt hver klient kunde nummer suksessivt. Ved å endre parameterne for en numerisk verdi til en annen, for eksempel 149-150, vil du få bildene til neste kunde.
Omkjøring autentisering og godkjenning
Ved å angi en bestemt nettadresse hvor du har sikkerhetsmekanismer mandag. Å unngå å bli oppdaget hadde Foto Knutsen lagt javaskriptet til "self.close" mekanisme som kan lukke nettleseren før uvedkommende fikk tilgang til dine private bilder.
Java Script ikke sikkerheten
En java script som kjøres på klientsiden, og dersom annen grunn ikke er i stand til å kjøre, vil du ha full tilgang til databasen. Den økte sikkerheten i Internet Explorer som følger med Windows XP Service Pack 2, forhindret automatisk nedlukking webleservindu og du fikk følgende melding.
Hvis ikke, får du opp følgende skjermbilde.
Pinlig for dem som er involvert
Dette er meget pinlig for FotoKnutsen og Reakorgruppen at det er sourcing for FotoKnutsen.
Produktanmeldelser Flukt og søksmål?
Den ECHR fastslått at den enkelte har noen respekt for privatliv. Videre har du Personlege Datablad loven og straffeloven § 390 for å sikre dine rettigheter (lovdata.no, Digme.no).
Videre Datalilsynet klare standarder for hvordan man skal håndtere bilder på internett.
FotoKnudsen er derfor pålagt å sørge for at løsninger for å implementere sikkerhet på en tilfredsstillende måte. I dette tilfellet er det ikke gjort. Fokus på sikkerhet i dette tilfellet ikke vært tilstede, og de har oversett en vanlig sikkerhet gjennomgang av systemene. Vi har vært i kontakt med kunder av FotoKnutsen som er juridisk forbannet med sikkerheten de hadde.
Når du bruker Internett-baserte tjenester, plasserer den private opplysninger til noen tredjepart uten at du kan være sikker på at sikkerhet er forsikret. En kan derfor spørre om det er tid for en offentlig henvendelse til løsninger for bedrifter som opererer på internett.
I andre bransjer er det vanlig at myndigheter og næringen selv utføre tilsyn mot ulike marked spillere. Hensikten med dette er å sikre at det fortsatt er forelsket og handle på en fornuftig måte.
Det bør opprette et system av regjeringens godkjenning av områder med en viss kundemasse, og krever åpenhet om hvordan sikkerhetsmekanismer er implementert. På denne måten kan du kanskje redusere sårbarheten blant de viktigste punktene, og dermed gi bedre personvern for kunder.
Abonner på:
Innlegg (Atom)