16. mai ble det full kriseberedskap i Evry etter datalekkasje. Rotårsaken kan påvirke alle norske selskaper

[janhoy]

Problemet har sannsynligvis oppstått nettopp fordi Evry har satset på "security by obscurity", å trodd at maskingenererte lenker som ikke er beskyttet på annet vis er sikre.

 

Eksakt! Mange bruker lange maskingenererte URLer som sikkerhet, også hvis du tar et GoogleDoc og åpner det for "alle som har URL'en". Dette har nok vært ganske sikkert i praksis veldig lenge, men nå som Microsoft har begynt å bruke Edge som spion for å crawle alle URLer folk besøker, så er dette alt annen enn trygt.

 

For faktura-hoteller til e-faktura kan jo dette løses temmelig enkelt ved å oppdatere robots.txt så samtlige roboter stenges ute. Enda bedre vil være om faktura-hotellet f.eks. krever inntasting av en pin-kode fra SMS før man får se siden.

[0laf]

Berre delvis. Haugevis av nettstadar har veldig lang levetid for sesjonsnøkkelen, og Microsoft samlar inn den òg. Til og med brukarnamn og passord, so dei kan alltids la roboten logge inn som deg (men det kan vere i strid med vilkåra for nettstaden).

 

Det burde ikke spille noen rolle hvor land levetid sessionen har (selv om den generelt bør være kort), så lenge man har beskyttet seg mot highjacking, for eksempel med regenerering av session ID, kontroll av IP for hver session, http-only cookies som sendes over TLS eller lignende.

 

Microsoft samler ikke inn brukernavn og passord du bruker i nettleseren, disse lagres lokalt i nettleseren din, noe annet ville være galskap.

 

Eksakt! Mange bruker lange maskingenererte URLer som sikkerhet, også hvis du tar et GoogleDoc og åpner det for "alle som har URL'en". Dette har nok vært ganske sikkert i praksis veldig lenge, men nå som Microsoft har begynt å bruke Edge som spion for å crawle alle URLer folk besøker, så er dette alt annen enn trygt.

For faktura-hoteller til e-faktura kan jo dette løses temmelig enkelt ved å oppdatere robots.txt så samtlige roboter stenges ute. Enda bedre vil være om faktura-hotellet f.eks. krever inntasting av en pin-kode fra SMS før man får se siden.

 

Det har vel egentlig aldri vært særlig trygt med maskin-genererte lenker uten annen sikkerhet, ettersom alle kan få tilgang til de, dette er nærmest kroneksemplet på "security by obscurity".

 

Ikke alle roboter gjør som de blir fortalt, men man kan nok anta at Microsoft sine følger robots.txt. En annen triviell løsning ville jo være å legge til en "noindex" meta tagg, så ville aldri Bing indeksert disse sidene til å begynne med, men det er fremdeles ikke særlig sikkert.

Endret 19. mai 2017 av adeneo

[quantum]

Uansvarlege brukarar har brukt ein nettlesar frå Microsoft til å sjå på desse URLane, og har dermed gjeve Microsoft lov til å indeksere dei, jfr personvernvilkåra til Microsoft. (Som i praksis seier med veldig mange ord at du fråseier deg all rett til personvern når du brukar Microsoft-produkt.)

 

For meg høres det ut som en temmelig dårlig sikkerhetsløsning basert på at ingen klarer å "gjette random-delen" av url'en, og når den forutsetningen er brutt kan hvem som helst få tilgang.

[quantum]

nsynligvis oppstått nettopp fordi Evry har satset på "security by obscurity", å trodd at maskingenererte lenker som ikke er beskyttet på annet vis er sikre.

 

Riktig, og det er jo ganske ufattelig at Evry gjør noe slikt. Megablemme.

[siDDis]

Så problemet er at Edge sender linker tilbake som inkluderer "sikkerhetsnøkkelen" i url'en som tilgang til data? Altså nå må vi ta hensyn til dette og?

 

I såfall så er det jo krise.

[HNX7PN1L]

godt eksempel på mange ansatte med null peiling ....;p hva med alle de gode folkene de hadde for noen år siden? dags og re-rekruttere folk med peiling. !

[Smala Suzie]

Samme hvor mye jeg har lyst til å skylde på Evry her så er jeg ikke sikker på at de sitter med hele skylda.

Slik jeg forstår det så er tenikken med SessionId en etablert praksis. Og den blir ansett som "sikker nok" så lenge id'en er vanskelig nok å gjette (regne ut), har en kort time-out og blir sendt over TLS. Man har også antatt at client maskina ikke har vært kompromitert. (Hvis ikke hadde man hatt en håpløs jobb).

Men så kommer altså Edge/Bing i to-spann, laster ned og cacher alle sider som brukeren ser på. Og med dette omgår all mulig sikkerhet?

 

Noen som vet om Chrome/Google har samme praksis?

 

(Disclaimer: jobber ikke med web, har ikke peiling, bare synser)

[Emancipate]

Så problemet er at Edge sender linker tilbake som inkluderer "sikkerhetsnøkkelen" i url'en som tilgang til data? Altså nå må vi ta hensyn til dette og?

 

I såfall så er det jo krise.

Det ser sånn ut, og i så fall mener jeg at Microsoft har minst like mye skyld som Evry her.

 

I tilfellet under er det imidlertid uklart hva som har skjedd, for her er ikke session id i adressen:

 

Når bing har indeksert denne: https://vc-invoicia.visma.com/webreskontro/scripts/NO.wsc/streampdf.pdf?RowId=0057239119

Så er det ihvertfall noe riv ruskende galt. Her får man riktignok access denied, men utdrag av filen ligger i søkeresultatet. Enten har visma nettopp endret på noe, eller så har Bing på en eller annen måte hatt tilgang til sesjonen.

 

I søkeresultatene ligger bl.a. synlig inkassovarsel med org. nummer på enten avsender eller mottaker.

[0laf]

Samme hvor mye jeg har lyst til å skylde på Evry her så er jeg ikke sikker på at de sitter med hele skylda.

Slik jeg forstår det så er tenikken med SessionId en etablert praksis. Og den blir ansett som "sikker nok" så lenge id'en er vanskelig nok å gjette (regne ut), har en kort time-out og blir sendt over TLS.

 

Poenget er vel at Evry her sannsynligvis ikke har benyttet sessions i det hele tatt, ellers ville ikke problemet eksistert, i stedet har man brukt tilfeldig genererte lenker som "sikkerhet".

[Emancipate]

Poenget er vel at Evry her sannsynligvis ikke har benyttet sessions i det hele tatt, ellers ville ikke problemet eksistert, i stedet har man brukt tilfeldig genererte lenker som "sikkerhet".

Session id i url er ikke noe annet enn tilfeldig genererte lenker som sikkerhet.

[0laf]

Session id i url er ikke noe annet enn tilfeldig genererte lenker som sikkerhet.

 

Jo, fordi denne ID'en sjekkes på serversiden, og skal i utgangspunktet ikke kunne brukes på tvers av nettlesere, maskiner, IP-adresser elller lignende (session highjacking), og kun er gyldig i et visst tidsrom.

 

Tilfeldig genererte lenker er tilgjengelig for alle, på et hvilket som helst tidspunkt.

Endret 19. mai 2017 av adeneo

[Emancipate]

og skal i utgangspunktet ikke kunne brukes på tvers av nettlesere, maskiner, IP-adresser elller lignende (session highjacking), og kun er gyldig i et visst tidsrom

Dette er ekstra sikkerhetstiltak som neppe er så vanlige som du tror / som de burde. De fleste steder man logger seg inn, er session evigvarende. "Ikke på tvers av nettlesere", det som gjør at serveren skiller nettleserne fra hverandre er jo session id, eller hva?

[Sturle S]

Microsoft samler ikke inn brukernavn og passord du bruker i nettleseren, disse lagres lokalt i nettleseren din, noe annet ville være galskap.

Du har heller ikkje lese personvern-fråskrivinga, forstår eg. Microsoft samlar inn alle tastetrykk du gjer på maksina. Dermed brukarnamn og passord. Eg ser ingenting som skulle hindre dei i å samle inn brukarnamn og passord du har lagra i nettlesaren heller. Kvar ser du at dei reserverer seg mot det?

 

Du er altfor naiiv. Det er naiivitet som fører til slikt som du ser her. Når folk fråseier seg all rett til personvern vs Microsoft, so har dei seg sjølve å takke. Evry har ikkje gjort noko gale. Brukarane har delt dette med vitande og vilje. Evt pga lesevanskar og uvitande dumskap.

[0laf]

Dette er ekstra sikkerhetstiltak som neppe er så vanlige som du tror / som de burde. De fleste steder man logger seg inn, er session evigvarende. "Ikke på tvers av nettlesere", det som gjør at serveren skiller nettleserne fra hverandre er jo session id, eller hva?

 

Dette er helt standard opplegg for alle som driver med noen som helst form for webutvikling.

 

En session er jo en "nettleser-økt", å avsluttes så snart nettleseren forlater nettsiden.

Det at nettleseren husker deg fra session til session er en helt annen funksjonalitet, som implementeres på lignende vis med cookies (dog ikke session-cookies), og en ID, men det er altså ikke en session.

 

En session skal i utgangspunktet ikke kunne overføres til en annen nettleser, ettersom det ville være highjacking. Det er kun den autoriserte brukeren som skal kunne gjøre forespørsler som innlogget bruker.

 

Dette sikres til dels ved at cookies generelt sett eksisterer i nettleseren, og ikke like enkelt lar seg overføre til en annen nettleser, særlig dersom det er en http-only cookie som er kryptert, eller at ved at man kontrollerer "user agent".

 

En URL derimot lar seg enkelt overføre til en annen nettleser, og dersom det ikke finnes andre sikkerhetsmekanismer, så virker den like fint uansett hvor den brukes, og dette er i så fall session highjacking dersom session lagres i URL'en. Dersom session ikke lagres i URL'en, så finnes det ingen slik sikkerhet.

Endret 19. mai 2017 av adeneo

[OYFWZI3U]

Dette er ikke bra. En ting er at det gies tilgang til sensitive data via en "obfuscated" link, det kan man ikke gi Edge / Bing skylden for - men det jeg synes er mer betenkelig er at øyeblikksbildet av det brukeren er inne på også ser ut til å vises av bing.

Tok en test mot en tjeneste som krever innlogging; jeg klarer ikke å komme inn på tjenesten ved å klikke lenken i bing (da tjenesten krever auth), men bing viser faktisk et tekst uttrag av den beskyttede siden vedkommende var inne i akkurat da, og ser derfor potensielt sensitiv informasjon i ingressen hos bing !!
Hva om noen er innlogget på NAV, nettbank, altinn eller hva som helst ? Bing lagrer all tekst brukeren ser på -når man er innlogget -og forhåndsviser faktisk et utdrag av dette i søkemotoren......!

 

Nå er det vel slik en søkemotor strengt tatt opererer, men her har den plutselig fått tilgang til å lagre og forhåndsvise tekst / innhold som aldri skal være tilgjengelig for omverdenen. Bing ser altså over skulderen din, og kan potensielt fortelle hele verden det den ser.

Endret 19. mai 2017 av OYFWZI3U

[Sturle S]

Poenget er vel at Evry her sannsynligvis ikke har benyttet sessions i det hele tatt, ellers ville ikke problemet eksistert, i stedet har man brukt tilfeldig genererte lenker som "sikkerhet".

Med mindre Edge nyttar seg av retten dei har fått av brukaren til å sende heile sida til Microsoft for indeksering, i staden for å la Bing hente ho frå eigne tenarar. Det er jo den naturlege løysinga når Bing ikkje får lov, med den fordelen at dei heller ikkje legg att spor i loggar og får klager for å ikkje rette seg etter robots.txt. Hugs at det nesten ikkje er nokon avgrensingar i kva data brukaren tillet Microsoft å hente frå Windows-maskiner.

[0laf]

Med mindre Edge nyttar seg av retten dei har fått av brukaren til å sende heile sida til Microsoft for indeksering, i staden for å la Bing hente ho frå eigne tenarar. Det er jo den naturlege løysinga når Bing ikkje får lov, med den fordelen at dei heller ikkje legg att spor i loggar og får klager for å ikkje rette seg etter robots.txt. Hugs at det nesten ikkje er nokon avgrensingar i kva data brukaren tillet Microsoft å hente frå Windows-maskiner.

 

Det ville jo for det første være et teknisk mareritt, for det andre ville det bruke store mengder båndbredde.

 

Nettsiden måtte først inn i nettleseren din, hvor du som autorisert bruker får tilgang til den. Så må nettleseren kopiere og sende all koden til Microsoft over nettverket ditt.

 

Ikke bare er det svært lite hensiktsmessig, det er også lite sannsynlig at Bing faktisk ønsker å indeksere fakturaene til Olsen og Nilsen, eller annen privat data.

 

Problemet her har jo oppstått utelukkende fordi Evry ikke har gjort jobben sin, å sikret sensitiv informasjon fra noe så trivielt som søkemotorer.

Endret 19. mai 2017 av adeneo

[Sturle S]

Det ser sånn ut, og i så fall mener jeg at Microsoft har minst like mye skyld som Evry her.

Korkje Microsoft eller Evry har skuld. Brukarane har all skuld. Dei skulle aldri ha brukt Edge til å lese desse sidene, om dei ikkje hadde eit sterkt ynskje om å publisere informasjonen.

 

Microsoft har berre gjort det dei lovar brukarane å gjere, når brukarane aksepterer personvernvilkåra til Microsoft. Evry har delt informasjonen med brukarane, slik dei skal, og kan ikkje hindre brukarane i å dele informasjonen med andre.

[0laf]

Korkje Microsoft eller Evry har skuld. Brukarane har all skuld. Dei skulle aldri ha brukt Edge til å lese desse sidene, om dei ikkje hadde eit sterkt ynskje om å publisere informasjonen.

Microsoft har berre gjort det dei lovar brukarane å gjere, når brukarane aksepterer personvernvilkåra til Microsoft. Evry har delt informasjonen med brukarane, slik dei skal, og kan ikkje hindre brukarane i å dele informasjonen med andre.

 

Det er vanskelig å diskutere med noen som ikke helt ser ut til å forstå det tekniske bak dette?

 

Alle brukere forventer jo at når de besøker nettsider med sensitiv informasjon, så holdes denne informasjonen unna indeksen til søkemotorer.

 

Man kan ikke laste brukerne fordi de har brukt Edge, alle andre nettlesere har lignende funksjonalitet hvor de sender brukerdata tilbake i en viss grad også, å hvilken nettleser brukeren benytter bør være irrelevant, det er tjenesteleverandøren, i dette tilfellet Evry, som skal sikre dataene i slike tilfeller.

Endret 19. mai 2017 av adeneo

[dizx]

 

Hvis det derimot ikke kreves autentisering for å se innholdet, men man baserer seg på at url'en er maskingenerert, og derfor "vanskelig" å lese (for mennesker) så har man basert seg på "security-by-obscurity" og det er en nesten like stor skandale.

Jeg er ikke enig. Det er ikke noen fundamental forskjell på å ha sikkerhet ved å ha session id i urlen og å ha session id i en cookie. Det er like enkelt/vanskelig å bryte seg inn rent regnemessig sett, så lenge session id er like lang. Forskjellen er bare at det er enklere å gi bort en url med session id i ved et uhell.

 

Videre, en maskingenerert url er ikke lettere å finne enn en url med session id, forutsatt samme lengde. Dette skal dermed være like sikkert som en "vanlig" innlogging.

 

En forskjell er at session id ofte er satt til å utløpe innen rimelig tid.

 

 

Tøv.. Du aner tydeligvis ikke hva en session er.. Session er over så fort man lukker nettleseren, og som regel maks 20 min.