Aanvallers hacken Mozilla site voor verspreiden spam
Nog onbekende aanvallers hebben vorige week een website van Mozilla aangevallen en misbruikt voor het versturen van spam, zo heeft de Mozilla Foundation bevestigd. De aanval bleef beperkt tot de Firefox promotie website "SpreadFirefox.com. In een verklaring liet de stichting weten dat onbekende security lekken gebruikt waren om de aanval uit te voeren. Na de aanval werd SpreadFirefox.com offline gehaald, maar is inmiddels beveiligd en weer online. De aanval had geen effect op Mozilla.org of Mozilla software.
"We hebben geen bewijs dat de aanvallers persoonlijke gegevens van de gebruikers van de site hebben bemachtigd, en we denken dat ze toegang tot de machine hebben gebruikt voor het versturen van spam. Het is echter mogelijk dat de aanvallers informatie hebben verkregen die gebruikers van de site hebben achtergelaten." zo laat de verklaring weten.
Gebruikers van de community website wordt dan ook aangeraden om hun Spread Firefox wachtwoord te wijzigen. De Mozilla Foundation heeft verder haar excuses aangeboden voor de security misser en belooft haar beveiliging te verbeteren om toekomstige aanvallen te voorkomen. (Spreadfirefox.com)
kunnen patchen lukt alleen als je snel inzicht hebt in de
inhoud van het lek of patches al beschikbaar zijn. MF is
niet bepaald een club die gevorderd is in webserver lekken
dichten dus.... kennelijk een beheer 'foutje'.
onbekend security lek? Of was het toch wel een bekend lek, en was er
sprake van een slechte beheerder? Je kan van alles zeggen over Microsoft
maar bij Mozilla maken ze er de laatste tijd ook een potje van.
waarschijnlijk zit eenzelfde lek ook in de andere servers, en dan word het
wel heel erg druk voor de beheerder he...
gehackt wordt.
De site liep zeker op linux met apache, dan kan je er op
wachten dat je
gehackt wordt.
tellen alleen de successen die fictie zijn.
De site liep zeker op linux met apache, dan kan je er op
wachten dat je
gehackt wordt.
tellen alleen de successen die fictie zijn.
De site liep zeker op linux met apache, dan kan je er op
wachten dat je
gehackt wordt.
tellen alleen de successen die fictie zijn.
worden.
Blijven de andere 4 voor Windows over dus...
1 op 5 linux sites gehackt worden.
server software als Linux, Apache of PHP succesvol
aangevallen worden, maar de programma's/scripts die hier
gebruik van maken. Dat betekent niet dat de serversoftware
dus onveilig is. Zet het op je server en je kan heel lang
wachten tot je gehacked bent.
1 op 5 linux sites gehackt worden.
server software als Linux, Apache of PHP succesvol
aangevallen worden, maar de programma's/scripts die hier
gebruik van maken. Dat betekent niet dat de serversoftware
dus onveilig is. Zet het op je server en je kan heel lang
wachten tot je gehacked bent.
verhaal. Heeft die engine dan zoveel rechten?
Wat er tot nu toe steeds aan de hand is is dat niet de
server software als Linux, Apache of PHP succesvol
aangevallen worden, maar de programma's/scripts die hier
gebruik van maken. Dat betekent niet dat de serversoftware
dus onveilig is. Zet het op je server en je kan heel lang
wachten tot je gehacked bent.
alleen maar het
verhaal. Heeft die engine dan zoveel rechten?
er onder een succesvolle aanval verstaan wordt en ten tweede
kan je als (web)programmeur zowel linksom als rechtsom een
weg vinden om je systeem zwak te maken.
Het punt is dat er hier werd geroepen dat als je Linux
gebruikt je erop kan wachten dat je gehacked wordt, maar er
even bij wordt vergeten dat het dan vooral dankzij de grove
fouten van de webprogrammeur is en niet het systeem.
daar het nog volop fouten bevat:
http://validator.w3.org/check?uri=http%3A%2F%2Fwww.spreadfirefox.com%2F&charset=%28detect+automatically%29&doctype=%28detect+automatically%29&verbose=1
Wat er tot nu toe steeds aan de hand is is dat niet de
server software als Linux, Apache of PHP succesvol
aangevallen worden, maar de programma's/scripts die hier
gebruik van maken. Dat betekent niet dat de serversoftware
dus onveilig is. Zet het op je server en je kan heel lang
wachten tot je gehacked bent.
alleen maar het
verhaal. Heeft die engine dan zoveel rechten?
er onder een succesvolle aanval verstaan wordt en ten tweede
kan je als (web)programmeur zowel linksom als rechtsom een
weg vinden om je systeem zwak te maken.
Het punt is dat er hier werd geroepen dat als je Linux
gebruikt je erop kan wachten dat je gehacked wordt, maar er
even bij wordt vergeten dat het dan vooral dankzij de grove
fouten van de webprogrammeur is en niet het systeem.
zijn wat schaduw gebieden maar over het algemeen lijkt me dat duidelijk.
De script engine moet zo ingesteld staan dat een hacker niets kan doen
ondanks dat een programmeur fouten maakt. Waarom staat dat niet
standaard zo? Heeft de webserver hiervoor geen filter? Het moet toch niet
zo zijn dat de beheerder daar veel moeite voor moet doen? Oja ik vergeet
dat Linux geen ACL's standaard implementeerd, dan wordt beveiligen al
een stuk moeilijker..
hacker niets kan doen ondanks dat een programmeur fouten
maakt.
webserver hiervoor geen filter? Het moet toch niet zo zijn
dat de beheerder daar veel moeite voor moet doen?
chroot, jail, UML, suEXEC, etc), maar in de praktijk nog
niet heel standaard. Dat moet (en zal, hoop ik) nog beter
worden. Wat wel gezegd moet worden is dat Windows wat dat
betreft voorzover ik weet nog verder achter loopt, toch?
implementeert, dan wordt beveiligen al een stuk
moeilijker..
zijn, is dat hier vind ik niet echt van toepassing. ACL's
zijn vooral krachtig in situaties waar je een systeem hebt
wat echt als multi-user-systeem wordt gebruikt. In het geval
van een gewone webserver is het users-en-groepen-model van
Linux&co eigenlijk gewoon krachtig genoeg.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.