Eine Verifizierung ist sicherlich dann sinnvoll, wenn ich eine Rechnung brauche. Also nach dem Check erwarte ich eine Rechnung. Wer dieses jedoch nicht will, wird kaum Zeit damit verschwenden sich zu verifizieren. Das ist genauso leidig wie bei den Online-Shops. Bei der ersten Bestellung setzen heute die meisten auf eine direkte Anmeldung, obwohl das kaum ein Kunde wünscht. Wer sich über die Sicherheitslücken auf Webseiten informieren will, findet dazu auch andere Wege im net. Es gibt genügend kostenlose Tools und Seiten, die genau das aufzeigen. Der Preis bei diesem Angebot sagt mir aber: Viel gutes kann nicht dahinter stecken. Sinnvoll wäre es gewesen, das ganze wirklich professionell aufzubauen und nicht nach Aldi Mentalität, möglichst billig.
Webseiten-Sicherheits-Checks
- Ersteller Wasi
- Erstellt am
Alain Aubert
Legendäres Mitglied
Ich denke das die preisliche Bewertung falsch ist.
Die Logik es kann nichts wert sein, weil es nichts kostet versteht das Business nicht. Es geht hier um ein Diagnosewerkzeug welches hohe Entwicklungs- aber tiefe Betriebskosten hat. Dieses Tool skaliert über Rechen- und Netzwerkleistung und kann guten Umsatz machen, generiert aber quasi keine Ausführungskosten. D.h. es müssen lediglich Entwicklungskosten amortisiert werden. Ich glaube der Marktführer bietet vergleichbares zu 60$ an. Was ich ebenfalls für einen tiefen Preis halte (Für den Nutzen).
QUOTE Daher ist diese "Verifizierungs"-Sache nicht wirklich so trivial und beschränkt sich lediglich auf die "Anrede" wie vom Anbieter hier beschrieben. Es muss verhindert werden, dass ein solches Tool zu Hacking-Zwecken missbraucht werden kann, ansonsten sehe ich das relativ einfach: Mitstörer-Haftung.
?!? what? Geekweb schreibt:
QUOTE Wir haben selbst verstaendlich einen Verifizierungsprozess eingebunden. Um eine Webseite testen zu koennen, muss man einen entsprechenden Wert seinem Webseiten HTML-Output hinzufuegen.
Ich muss wohl an dieser Stelle zugeben den ganzen Thread nicht gelesen zu haben. Jedoch bin ich scheinbar nicht der einzige. Hier verwendetes Verfikationsverfahren ist Industriestandard und nötig. Google macht es genau gleich.
Die Logik es kann nichts wert sein, weil es nichts kostet versteht das Business nicht. Es geht hier um ein Diagnosewerkzeug welches hohe Entwicklungs- aber tiefe Betriebskosten hat. Dieses Tool skaliert über Rechen- und Netzwerkleistung und kann guten Umsatz machen, generiert aber quasi keine Ausführungskosten. D.h. es müssen lediglich Entwicklungskosten amortisiert werden. Ich glaube der Marktführer bietet vergleichbares zu 60$ an. Was ich ebenfalls für einen tiefen Preis halte (Für den Nutzen).
QUOTE Daher ist diese "Verifizierungs"-Sache nicht wirklich so trivial und beschränkt sich lediglich auf die "Anrede" wie vom Anbieter hier beschrieben. Es muss verhindert werden, dass ein solches Tool zu Hacking-Zwecken missbraucht werden kann, ansonsten sehe ich das relativ einfach: Mitstörer-Haftung.
?!? what? Geekweb schreibt:
QUOTE Wir haben selbst verstaendlich einen Verifizierungsprozess eingebunden. Um eine Webseite testen zu koennen, muss man einen entsprechenden Wert seinem Webseiten HTML-Output hinzufuegen.
Ich muss wohl an dieser Stelle zugeben den ganzen Thread nicht gelesen zu haben. Jedoch bin ich scheinbar nicht der einzige. Hier verwendetes Verfikationsverfahren ist Industriestandard und nötig. Google macht es genau gleich.
jakWEB
Angesehenes Mitglied
Ich würde auf jedenfall einen ersten Test kostenlos anbieten, vielleicht mit einem limitiertem Resultat, aber sodass die Leute was machen können und nicht gleich die Geldbörse zücken müssen.
Auch würde ich ein bisschen frischere Farben nehmen, sieht ein bisschen technisch aus, was ja ok ist aber halt nicht für die Masse.
Auch würde ich ein bisschen frischere Farben nehmen, sieht ein bisschen technisch aus, was ja ok ist aber halt nicht für die Masse.
Besten Dank fuer die weiteren Kommentare.
@Alain: Freut mich dass dir der Service zusagt und wir damit etwas zur Sicherheit von Ayom.com beitragen konnten. Wuerde mich freuen wenn ich deine Erfahrung mit dem Service als Testimonial aufnehmen darf. Ich wuerde mich dann bei dir melden, sobald wir mit dem Marketing-Material nach sind.
@jakWEB: Der Dienst ist auch nicht unbedingt fuer die Masse. Zumindest noch nicht. Wir haben uns dies bezueglich einmal mehr den Kopf zerbrochen, wollen die Webseite moeglichst technisch und ziel fuehrend fuer die Kenner halten und haben deswegen einige der marketing-orientierten Texte entsprechend abgeaendert/entfernt. Die Vermarktung der Dienstleistungen soll zukuenftig mittels sogenanntem Pre-Selling Marketing die 'Masse' ansprechen, was dann via Artikel und Videos in und durch den Marketing-Funnel fuehrt um am Ende die Interessenten auf die Geekweb Seite zu verweisen. Fuer die Geeks ist ein Wiki gedacht mit detailierten Erklaehrungen der verschiedenen Schwachstellen-Typen und zusaetzlich der Moeglichkeit Webseiten auf einzelne Sicherheits-Schwachstellen (wie ClickJ, CSRF etc.) voellig unkompliziert und kostenlos zu testen. Mit 'unkompliziert' ist gemeint: Ohne jegliche Angaben von Personalien und ganz ohne Verifizierungsprozess. Daher werden da auch nur die weniger kritischen und schnellueberpruefbaren Schwachstellen mit einbezogen. Fuer Ueberpruefungen auf Schwachstellen wie XSS, SQLi und CRLFi ist dann den kostenpflichtige Service da.
@Alain: Freut mich dass dir der Service zusagt und wir damit etwas zur Sicherheit von Ayom.com beitragen konnten. Wuerde mich freuen wenn ich deine Erfahrung mit dem Service als Testimonial aufnehmen darf. Ich wuerde mich dann bei dir melden, sobald wir mit dem Marketing-Material nach sind.
@jakWEB: Der Dienst ist auch nicht unbedingt fuer die Masse. Zumindest noch nicht. Wir haben uns dies bezueglich einmal mehr den Kopf zerbrochen, wollen die Webseite moeglichst technisch und ziel fuehrend fuer die Kenner halten und haben deswegen einige der marketing-orientierten Texte entsprechend abgeaendert/entfernt. Die Vermarktung der Dienstleistungen soll zukuenftig mittels sogenanntem Pre-Selling Marketing die 'Masse' ansprechen, was dann via Artikel und Videos in und durch den Marketing-Funnel fuehrt um am Ende die Interessenten auf die Geekweb Seite zu verweisen. Fuer die Geeks ist ein Wiki gedacht mit detailierten Erklaehrungen der verschiedenen Schwachstellen-Typen und zusaetzlich der Moeglichkeit Webseiten auf einzelne Sicherheits-Schwachstellen (wie ClickJ, CSRF etc.) voellig unkompliziert und kostenlos zu testen. Mit 'unkompliziert' ist gemeint: Ohne jegliche Angaben von Personalien und ganz ohne Verifizierungsprozess. Daher werden da auch nur die weniger kritischen und schnellueberpruefbaren Schwachstellen mit einbezogen. Fuer Ueberpruefungen auf Schwachstellen wie XSS, SQLi und CRLFi ist dann den kostenpflichtige Service da.
Allgemeines zu solchen Tests:
- Man sollte eventuell den Nutzer/Kunden darauf hinweisen, wie das System arbeitet und welche Risiken da genau vorhanden sind. Ich gehe davon aus, dass bei den Tests diverse Parameter (GET/POST) manipuliert, der ausgegebene Quellcode analysiert und bei entsprechenden Auffälligkeiten eine Schwachstelle vermutet wird. Theoretisch könnte man annehmen, dass dies relativ ungefährlich für den Betreiber der getesteten Website wäre. Leider ist dies aber nicht so. Automatisierte und unkontrollierte Tests dieser Art, können bei entsprechenden Gegebenheiten mal eben eine Website "zerstückeln". Nämlich dann, wenn durch die manipulierten Parameter ein Fehler innerhalb der Datenbank(en) eines Systems oder gar im Filesystem produziert wird. Sollte also - beispielsweise - eine anderweitige Schwachstelle vorhanden sein, die durch den Test quasi ausgenutzt wird, könnte das zu einem Brick führen.
- Eine Verifizierung des Admins ist NICHT ausreichend, um einen derartigen, automatisierten Testlauf durchführen zu können. Zumindest nach deutschem Recht MUSS der Betreiber - also nicht nur der Admin - eine ausdrückliche Zustimmung erteilen und die Echtheit überprüft werden. In der Regel ist demnach nicht nur der Seitenbetreiber, sondern auch der Webhoster ein Ansprechpartner, den man um Erlaubnis bitten muss. Immerhin führt man mittels Software einen "Angriff" auf Systeme durch, die dadurch beschädigt werden können. Sollten die "Angriffe" eher soft ausgelegt sein und keine sicherheitsrelevanten Probleme verursachen, kommt aber dennoch eine erhöhte Serverlast ins Spiel. Man sollte also grundsätzlich vorab jeden Beteiligten informieren und "Darfscheine" einholen. Andernfalls kann ein solcher Test sehr teuer werden. Anders wäre es natürlich, wenn der Server nicht bei einem Webhoster steht, sondern Eigentum des Seitenbetreibers ist. Allerdings gehe ich nicht davon aus, dass Geekweb mit dem Angebot die "Großen" anspricht.
- Ich sehe in der Regel keinen wirklichen Nutzen in derartigen Angeboten. Es ist massenweise Software verfügbar, mit der man weit umfangreichere Tests in Eigenregie und ohne großartige Kenntnisse in der Materie durchführen kann. Bezüglich "Pentest Software" gibt es neben hochwertigen Profi-Systemen auch sehr ausgereifte und brauchbare Freeware oder Open-Source Lösungen. Demnach sind selbst 20 Euro für einen abgespeckten, automatisierten Test, nicht so wirklich angebracht. Man kann also weit umfangreichere Tests bereits kostenfrei durchführen.
- Die beste Software/Webanwendung für Pentests ist nutzlos, wenn sie von einem Laien verwendet wird. Denn ein Laie wird nicht fähig sein die Schwachstellen zu beseitigen und gleichzeitig auch keine "False Positives" erkennen. Demnach bleibt im Anschluss nur der Weg zu einem Profi. Und der wird für 20 Euro gerade mal ans Telefon gehen und "Hallo" sagen.
Ich persönlich habe die Erfahrung gemacht, dass selbst (sehr) hochrangige Anbieter und auch Marktführer in Sachen IT-Sicherheit, nicht alle Schwachstellen bei Ihren Kunden aufdecken. Weder bei automatisierten Tests - die meist 1.500+ EUR kosten - noch bei manuellen Tests, die oftmals 5-stellige Kosten mit sich bringen. Da wären zum Beispiel Trusted Shops, EHI, TÜV, die Väter der "DEF CON®" und weitere Anbieter, die es auch nicht besser machen (wer mich kennt, weiß wovon ich rede/schreibe) ...
@Wasi
Wäre vielleicht vorteilhaft, wenn ihr das Tool mal auf der eigenen Website laufen lassen würdet. So als kleiner Tipp (durch die Blume) von Geek zu Geek
- Man sollte eventuell den Nutzer/Kunden darauf hinweisen, wie das System arbeitet und welche Risiken da genau vorhanden sind. Ich gehe davon aus, dass bei den Tests diverse Parameter (GET/POST) manipuliert, der ausgegebene Quellcode analysiert und bei entsprechenden Auffälligkeiten eine Schwachstelle vermutet wird. Theoretisch könnte man annehmen, dass dies relativ ungefährlich für den Betreiber der getesteten Website wäre. Leider ist dies aber nicht so. Automatisierte und unkontrollierte Tests dieser Art, können bei entsprechenden Gegebenheiten mal eben eine Website "zerstückeln". Nämlich dann, wenn durch die manipulierten Parameter ein Fehler innerhalb der Datenbank(en) eines Systems oder gar im Filesystem produziert wird. Sollte also - beispielsweise - eine anderweitige Schwachstelle vorhanden sein, die durch den Test quasi ausgenutzt wird, könnte das zu einem Brick führen.
- Eine Verifizierung des Admins ist NICHT ausreichend, um einen derartigen, automatisierten Testlauf durchführen zu können. Zumindest nach deutschem Recht MUSS der Betreiber - also nicht nur der Admin - eine ausdrückliche Zustimmung erteilen und die Echtheit überprüft werden. In der Regel ist demnach nicht nur der Seitenbetreiber, sondern auch der Webhoster ein Ansprechpartner, den man um Erlaubnis bitten muss. Immerhin führt man mittels Software einen "Angriff" auf Systeme durch, die dadurch beschädigt werden können. Sollten die "Angriffe" eher soft ausgelegt sein und keine sicherheitsrelevanten Probleme verursachen, kommt aber dennoch eine erhöhte Serverlast ins Spiel. Man sollte also grundsätzlich vorab jeden Beteiligten informieren und "Darfscheine" einholen. Andernfalls kann ein solcher Test sehr teuer werden. Anders wäre es natürlich, wenn der Server nicht bei einem Webhoster steht, sondern Eigentum des Seitenbetreibers ist. Allerdings gehe ich nicht davon aus, dass Geekweb mit dem Angebot die "Großen" anspricht.
- Ich sehe in der Regel keinen wirklichen Nutzen in derartigen Angeboten. Es ist massenweise Software verfügbar, mit der man weit umfangreichere Tests in Eigenregie und ohne großartige Kenntnisse in der Materie durchführen kann. Bezüglich "Pentest Software" gibt es neben hochwertigen Profi-Systemen auch sehr ausgereifte und brauchbare Freeware oder Open-Source Lösungen. Demnach sind selbst 20 Euro für einen abgespeckten, automatisierten Test, nicht so wirklich angebracht. Man kann also weit umfangreichere Tests bereits kostenfrei durchführen.
- Die beste Software/Webanwendung für Pentests ist nutzlos, wenn sie von einem Laien verwendet wird. Denn ein Laie wird nicht fähig sein die Schwachstellen zu beseitigen und gleichzeitig auch keine "False Positives" erkennen. Demnach bleibt im Anschluss nur der Weg zu einem Profi. Und der wird für 20 Euro gerade mal ans Telefon gehen und "Hallo" sagen.
Ich persönlich habe die Erfahrung gemacht, dass selbst (sehr) hochrangige Anbieter und auch Marktführer in Sachen IT-Sicherheit, nicht alle Schwachstellen bei Ihren Kunden aufdecken. Weder bei automatisierten Tests - die meist 1.500+ EUR kosten - noch bei manuellen Tests, die oftmals 5-stellige Kosten mit sich bringen. Da wären zum Beispiel Trusted Shops, EHI, TÜV, die Väter der "DEF CON®" und weitere Anbieter, die es auch nicht besser machen (wer mich kennt, weiß wovon ich rede/schreibe) ...
@Wasi
Wäre vielleicht vorteilhaft, wenn ihr das Tool mal auf der eigenen Website laufen lassen würdet. So als kleiner Tipp (durch die Blume) von Geek zu Geek
||CoDer||: Besten Dank fuer dein umfangreiches Feedback.
Risiken: Vielleicht setzen wir da einmal mehr etwas zuviel an Grundverstaendnis voraus. Wir werden es sicherlich in betracht ziehen, den User etwas aktiver und detailierter auf die moeglichen Risiken hinzuweisen. Allenfalls ist dies einer der Punkte fuer das Bildungs-Matherial, dass unabhaengig der eigentlichen Dienstleistungs-Praesentation bereeit gestellt wuerde.
Erlaubnis des Hosters: Mir ist klar, dass das deutsche Gesetz fast schon jegliche Aktivitaeten im Web verbietet und wir werden die AGB sicherlich noch zig male aendern muessen um jegliche lokale Gesetzesgebungen abdecken zu koennen. Fuer's erste lassen wir den Kunden via AGB wissen, dass Geekweb jegliche Haftung fuer allfaellige Schaeden ablehnt. Sprich, wenn das lokale Gesetz eine Erlaubnis des Hosters verlangt, dann muss (zumindest zur Zeit) der Kunde sich darum kuemmern. Wir wollen den ganzen Verifizierungsprozess so kurz,knapp und einfach wie moeglich halten und sollten diese Punkte fuer's Erste allenfalls etwas detailierter in den AGB erwaehnen. Dass dies ein kritischer Punkt ist, ist mir klar. Etwas mehr fuer die ToDo-Liste.
Service vs Software: Um die richtigen Programme nutzen zu koennen, braucht's eine Weile an Research plus das Anwenden dieser ist nicht immer von Anfang an verstaendlich. Mit unserem Service vereinfachen wir den Prozess und decken (wie das Alain in einem vorigen Post bereits erwaehnte) ein breites Spektrum an Schwachstellen-Typen an, was meines Wissens keine OpenSource/Freesoftware Programme 'all-in-one' anbieten. Es gibt durchaus ClosedSource-Software die einiges unserer Tests (und teilweise gar mehr) abdecken. Alle verschiedenen Varianten haben ihre Vor- und Nachteile. Da stellt sich generell die Frage: Service vs Software
Verwendung des Dienstes durch einen 'Laien': Unser Dienst kann auch von einem 'Laien' (sofern er durch den Verifizierungsprozess kommt) genutzt werden, der dann mit dem Report zu seinem Experten gehen kann. Ein Laie wird jedoch kaum die notwendigen Programme herunterladen und installieren um diese Checks durchzufuehren.
Testen der eigenen Seiten: Klar haben wir jegliche eigene Webseiten bereits mehrfach getestet. Und bis auf die ueblichen CSRF und CJ Issues haben wir da bei den wenigsten Seiten Schwachstellen finden koennen. Sollten dir gewisse Schwachstellen auf irgendwelchen von Geekweb unterhaltenen Webseiten aufgefallen sein, bitte ich dich mir diese via PM (oder gleich direkt an Geekweb ueber das Kontaktformular auf der Webseite) mitzuteilen.
Risiken: Vielleicht setzen wir da einmal mehr etwas zuviel an Grundverstaendnis voraus. Wir werden es sicherlich in betracht ziehen, den User etwas aktiver und detailierter auf die moeglichen Risiken hinzuweisen. Allenfalls ist dies einer der Punkte fuer das Bildungs-Matherial, dass unabhaengig der eigentlichen Dienstleistungs-Praesentation bereeit gestellt wuerde.
Erlaubnis des Hosters: Mir ist klar, dass das deutsche Gesetz fast schon jegliche Aktivitaeten im Web verbietet und wir werden die AGB sicherlich noch zig male aendern muessen um jegliche lokale Gesetzesgebungen abdecken zu koennen. Fuer's erste lassen wir den Kunden via AGB wissen, dass Geekweb jegliche Haftung fuer allfaellige Schaeden ablehnt. Sprich, wenn das lokale Gesetz eine Erlaubnis des Hosters verlangt, dann muss (zumindest zur Zeit) der Kunde sich darum kuemmern. Wir wollen den ganzen Verifizierungsprozess so kurz,knapp und einfach wie moeglich halten und sollten diese Punkte fuer's Erste allenfalls etwas detailierter in den AGB erwaehnen. Dass dies ein kritischer Punkt ist, ist mir klar. Etwas mehr fuer die ToDo-Liste.
Service vs Software: Um die richtigen Programme nutzen zu koennen, braucht's eine Weile an Research plus das Anwenden dieser ist nicht immer von Anfang an verstaendlich. Mit unserem Service vereinfachen wir den Prozess und decken (wie das Alain in einem vorigen Post bereits erwaehnte) ein breites Spektrum an Schwachstellen-Typen an, was meines Wissens keine OpenSource/Freesoftware Programme 'all-in-one' anbieten. Es gibt durchaus ClosedSource-Software die einiges unserer Tests (und teilweise gar mehr) abdecken. Alle verschiedenen Varianten haben ihre Vor- und Nachteile. Da stellt sich generell die Frage: Service vs Software
Verwendung des Dienstes durch einen 'Laien': Unser Dienst kann auch von einem 'Laien' (sofern er durch den Verifizierungsprozess kommt) genutzt werden, der dann mit dem Report zu seinem Experten gehen kann. Ein Laie wird jedoch kaum die notwendigen Programme herunterladen und installieren um diese Checks durchzufuehren.
Testen der eigenen Seiten: Klar haben wir jegliche eigene Webseiten bereits mehrfach getestet. Und bis auf die ueblichen CSRF und CJ Issues haben wir da bei den wenigsten Seiten Schwachstellen finden koennen. Sollten dir gewisse Schwachstellen auf irgendwelchen von Geekweb unterhaltenen Webseiten aufgefallen sein, bitte ich dich mir diese via PM (oder gleich direkt an Geekweb ueber das Kontaktformular auf der Webseite) mitzuteilen.
QUOTE (Wasi)||CoDer||: Besten Dank fuer dein umfangreiches Feedback.
Immer wieder gerne. Gerade wenn es um IT-Sicherheit geht, guck ich eben ganz genau hin.
QUOTE (Wasi)Vielleicht setzen wir da einmal mehr etwas zuviel an Grundverstaendnis voraus. [...] Mir ist klar, dass das deutsche Gesetz fast schon jegliche Aktivitaeten im Web verbietet und wir werden die AGB sicherlich noch zig male aendern muessen um jegliche lokale Gesetzesgebungen abdecken zu koennen. Fuer's erste lassen wir den Kunden via AGB wissen, dass Geekweb jegliche Haftung fuer allfaellige Schaeden ablehnt. Sprich, wenn das lokale Gesetz eine Erlaubnis des Hosters verlangt, dann muss (zumindest zur Zeit) der Kunde sich darum kuemmern.
Auf jeden Fall. Denn die Zielgruppe, welche von eurem Angebot angesprochen wird und es nutzen möchte, wird höchstwahrscheinlich kein fundiertes Wissen über die Technik hinter solchen Tests haben oder die Risiken allgemein gut einschätzen können. Gerade da wäre ich als Anbieter vorsichtig, wenn der Kunde quasi operieren kann, wie er lustig ist. Denn spätestens wenn wirklich ein Schaden entsteht, wird man euch so oder so dafür haften lassen. Auch wenn es nur das Schlüpfloch "Störerhaftung" ist oder man auf fehlende Sicherheitshinweise eingeht. Ein bloßes Ausschließen der eigenen Haftung ist - in nahezu allen Ländern auf diesem Planeten - nicht ausreichend. Du bist als Anbieter immer mit einem Fuß über der Klippe... Übrigens ist meine Information, dass auch in der Schweiz kein Angriff ohne Zustimmung erfolgen darf. Und die Zustimmung wird eben auch in der Schweiz vom Betreiber ebenso benötigt. Da führt kein Weg dran vorbei. Ansonsten ist es wie ein Crash-Test mit einem Leihwagen. Wenn du das Ding mit 200 gegen die Wand fährst, dann ist es dem Richter auch in der Schweiz wurst, was du in den AGB stehen hast.
QUOTE (Wasi)Wir wollen den ganzen Verifizierungsprozess so kurz,knapp und einfach wie moeglich halten und sollten diese Punkte fuer's Erste allenfalls etwas detailierter in den AGB erwaehnen. Dass dies ein kritischer Punkt ist, ist mir klar. Etwas mehr fuer die ToDo-Liste.
Der Punkt ist durchaus kritisch. Aber ihr solltet auch wissen, dass ein Verifizierungsprozess ala "Google" mit Einbinden von bestimmten Code als Erkennung oder Hochladen von Dateien mit bestimmten Namen/Inhalten, als Verifizierung nicht ausreicht. Immerhin könnten auch nicht-autorisierte Personen (Praktikant/Lehrling/Dienstleister/Kinder/...) den "Angriff" anstoßen. Um wirklich auf der sicheren Seite zu sein, benötigt man eine Verifizierung mit Unterschrift und möglichst Dokumente, die eine Berechtigung unterstreichen. Bei uns wird grundsätzlich nur ein schriftlicher Auftrag mit Kennung und bei größeren Projekten mit Ausweiskopie, schriftlicher Genehmigung von autorisiertem Personal usw. angenommen und danach gearbeitet. Immerhin macht genau diese Verifizierung aus, ob man als Dienstleister/Anbieter eine Straftat begeht oder nicht. Und wenn einer eurer Kunden das Angebot wahrnimmt, ohne autorisiert zu sein, ihr den Kunden machen lasst und dabei ein Schaden beim Hoster entsteht, gibt es mindestens 2 Angeklagte: Den Kunden und euch.
QUOTE (Wasi)Um die richtigen Programme nutzen zu koennen, braucht's eine Weile an Research plus das Anwenden dieser ist nicht immer von Anfang an verstaendlich. Mit unserem Service vereinfachen wir den Prozess und decken (wie das Alain in einem vorigen Post bereits erwaehnte) ein breites Spektrum an Schwachstellen-Typen an, was meines Wissens keine OpenSource/Freesoftware Programme 'all-in-one' anbieten. Es gibt durchaus ClosedSource-Software die einiges unserer Tests (und teilweise gar mehr) abdecken. Alle verschiedenen Varianten haben ihre Vor- und Nachteile. Da stellt sich generell die Frage: Service vs Software
Naja... Da gibt es schon einige Tools, die für den Normalo schon brauchbar, kostenlos und leicht bedienbar sind:
Hier mal ne Liste: https://www.owasp.org/index.php/Category:Vu..._Scanning_Tools
QUOTE (Wasi)Verwendung des Dienstes durch einen 'Laien': Unser Dienst kann auch von einem 'Laien' (sofern er durch den Verifizierungsprozess kommt) genutzt werden, der dann mit dem Report zu seinem Experten gehen kann. Ein Laie wird jedoch kaum die notwendigen Programme herunterladen und installieren um diese Checks durchzufuehren.
Das ist schon klar. Aber ein Laie der wirklich Sicherheit möchte, wird auch direkt zu einem Experten gehen. Das sollte er grundsätzlich, wenn er sensible Daten speichert oder bestimmte Webanwendungen betreibt. Und sei mir bitte nicht böse, aber ein derartiger Test für 20 Taler ist in meinen Augen nicht einmal ansatzweise ein Grund, später mit gutem Gefühl seine Seite zu betreiben. Denn selbst die beste Software - ja, auch die für 5.000 EUR aufwärts - ist nur ein Hilfsmittel. Und zwar nur ein Hilfsmittel für Leute, die wirklich wissen, was sie da tun.
QUOTE (Wasi)Testen der eigenen Seiten: Klar haben wir jegliche eigene Webseiten bereits mehrfach getestet. Und bis auf die ueblichen CSRF und CJ Issues haben wir da bei den wenigsten Seiten Schwachstellen finden koennen. Sollten dir gewisse Schwachstellen auf irgendwelchen von Geekweb unterhaltenen Webseiten aufgefallen sein, bitte ich dich mir diese via PM (oder gleich direkt an Geekweb ueber das Kontaktformular auf der Webseite) mitzuteilen.
Das bestätigt meine Annahme, dass der automatisierte Test nicht gerade ausführlich arbeitet.
Wie ihr ja schon entdeckt habt, war in einem Unterbereich eurer Website eine XSS-Schwachstelle. War leicht zu finden, weil ihr ja schließlich den Sourcecode für das Script (PSNAPI) öffentlich bereitstellt. Und wie ich vorhin gesehen habe, habt ihr nun auch mittels Filter versucht, diese Schwachstelle zu schließen. Wollte euch ne Mail rüberschicken mit den Details und vorher nochmal prüfen, ob die Lücke nicht doch schon entdeckt wurde.
Nun, wenn ich jetzt sage, dass der Filter zwar das Problem überschminkt, es aber nicht beseitigt und die Schwachstelle demnach immernoch vorhanden ist?
Ich würde sagen das gäbe dann mindestens 19,90 USD für die Ayom Kaffeekasse.
Cheers!
Immer wieder gerne. Gerade wenn es um IT-Sicherheit geht, guck ich eben ganz genau hin.
QUOTE (Wasi)Vielleicht setzen wir da einmal mehr etwas zuviel an Grundverstaendnis voraus. [...] Mir ist klar, dass das deutsche Gesetz fast schon jegliche Aktivitaeten im Web verbietet und wir werden die AGB sicherlich noch zig male aendern muessen um jegliche lokale Gesetzesgebungen abdecken zu koennen. Fuer's erste lassen wir den Kunden via AGB wissen, dass Geekweb jegliche Haftung fuer allfaellige Schaeden ablehnt. Sprich, wenn das lokale Gesetz eine Erlaubnis des Hosters verlangt, dann muss (zumindest zur Zeit) der Kunde sich darum kuemmern.
Auf jeden Fall. Denn die Zielgruppe, welche von eurem Angebot angesprochen wird und es nutzen möchte, wird höchstwahrscheinlich kein fundiertes Wissen über die Technik hinter solchen Tests haben oder die Risiken allgemein gut einschätzen können. Gerade da wäre ich als Anbieter vorsichtig, wenn der Kunde quasi operieren kann, wie er lustig ist. Denn spätestens wenn wirklich ein Schaden entsteht, wird man euch so oder so dafür haften lassen. Auch wenn es nur das Schlüpfloch "Störerhaftung" ist oder man auf fehlende Sicherheitshinweise eingeht. Ein bloßes Ausschließen der eigenen Haftung ist - in nahezu allen Ländern auf diesem Planeten - nicht ausreichend. Du bist als Anbieter immer mit einem Fuß über der Klippe... Übrigens ist meine Information, dass auch in der Schweiz kein Angriff ohne Zustimmung erfolgen darf. Und die Zustimmung wird eben auch in der Schweiz vom Betreiber ebenso benötigt. Da führt kein Weg dran vorbei. Ansonsten ist es wie ein Crash-Test mit einem Leihwagen. Wenn du das Ding mit 200 gegen die Wand fährst, dann ist es dem Richter auch in der Schweiz wurst, was du in den AGB stehen hast.
QUOTE (Wasi)Wir wollen den ganzen Verifizierungsprozess so kurz,knapp und einfach wie moeglich halten und sollten diese Punkte fuer's Erste allenfalls etwas detailierter in den AGB erwaehnen. Dass dies ein kritischer Punkt ist, ist mir klar. Etwas mehr fuer die ToDo-Liste.
Der Punkt ist durchaus kritisch. Aber ihr solltet auch wissen, dass ein Verifizierungsprozess ala "Google" mit Einbinden von bestimmten Code als Erkennung oder Hochladen von Dateien mit bestimmten Namen/Inhalten, als Verifizierung nicht ausreicht. Immerhin könnten auch nicht-autorisierte Personen (Praktikant/Lehrling/Dienstleister/Kinder/...) den "Angriff" anstoßen. Um wirklich auf der sicheren Seite zu sein, benötigt man eine Verifizierung mit Unterschrift und möglichst Dokumente, die eine Berechtigung unterstreichen. Bei uns wird grundsätzlich nur ein schriftlicher Auftrag mit Kennung und bei größeren Projekten mit Ausweiskopie, schriftlicher Genehmigung von autorisiertem Personal usw. angenommen und danach gearbeitet. Immerhin macht genau diese Verifizierung aus, ob man als Dienstleister/Anbieter eine Straftat begeht oder nicht. Und wenn einer eurer Kunden das Angebot wahrnimmt, ohne autorisiert zu sein, ihr den Kunden machen lasst und dabei ein Schaden beim Hoster entsteht, gibt es mindestens 2 Angeklagte: Den Kunden und euch.
QUOTE (Wasi)Um die richtigen Programme nutzen zu koennen, braucht's eine Weile an Research plus das Anwenden dieser ist nicht immer von Anfang an verstaendlich. Mit unserem Service vereinfachen wir den Prozess und decken (wie das Alain in einem vorigen Post bereits erwaehnte) ein breites Spektrum an Schwachstellen-Typen an, was meines Wissens keine OpenSource/Freesoftware Programme 'all-in-one' anbieten. Es gibt durchaus ClosedSource-Software die einiges unserer Tests (und teilweise gar mehr) abdecken. Alle verschiedenen Varianten haben ihre Vor- und Nachteile. Da stellt sich generell die Frage: Service vs Software
Naja... Da gibt es schon einige Tools, die für den Normalo schon brauchbar, kostenlos und leicht bedienbar sind:
Hier mal ne Liste: https://www.owasp.org/index.php/Category:Vu..._Scanning_Tools
QUOTE (Wasi)Verwendung des Dienstes durch einen 'Laien': Unser Dienst kann auch von einem 'Laien' (sofern er durch den Verifizierungsprozess kommt) genutzt werden, der dann mit dem Report zu seinem Experten gehen kann. Ein Laie wird jedoch kaum die notwendigen Programme herunterladen und installieren um diese Checks durchzufuehren.
Das ist schon klar. Aber ein Laie der wirklich Sicherheit möchte, wird auch direkt zu einem Experten gehen. Das sollte er grundsätzlich, wenn er sensible Daten speichert oder bestimmte Webanwendungen betreibt. Und sei mir bitte nicht böse, aber ein derartiger Test für 20 Taler ist in meinen Augen nicht einmal ansatzweise ein Grund, später mit gutem Gefühl seine Seite zu betreiben. Denn selbst die beste Software - ja, auch die für 5.000 EUR aufwärts - ist nur ein Hilfsmittel. Und zwar nur ein Hilfsmittel für Leute, die wirklich wissen, was sie da tun.
QUOTE (Wasi)Testen der eigenen Seiten: Klar haben wir jegliche eigene Webseiten bereits mehrfach getestet. Und bis auf die ueblichen CSRF und CJ Issues haben wir da bei den wenigsten Seiten Schwachstellen finden koennen. Sollten dir gewisse Schwachstellen auf irgendwelchen von Geekweb unterhaltenen Webseiten aufgefallen sein, bitte ich dich mir diese via PM (oder gleich direkt an Geekweb ueber das Kontaktformular auf der Webseite) mitzuteilen.
Das bestätigt meine Annahme, dass der automatisierte Test nicht gerade ausführlich arbeitet.
Nun, wenn ich jetzt sage, dass der Filter zwar das Problem überschminkt, es aber nicht beseitigt und die Schwachstelle demnach immernoch vorhanden ist?
Ich würde sagen das gäbe dann mindestens 19,90 USD für die Ayom Kaffeekasse.
Cheers!
Rechtliche Absicherung:
Wir haben soeben eine weitere Pflicht-Checkbox in der Sektion 'AGB' hinzugefuegt: "Der Webseiten-Betreiber und Webhoster erlauben mir diese Tests laufen zu lassen." Desweiteren koennten wir auch noch zusaetzlich eine Auswahl vordefinierter Email-Adressen zur verifizierung verlangen (ala webmaster@domain, info@domain, admin@domain), an die dann eine Email mit einem Verifizierungslink zugesannt wuerde (neben der bereits vorhandenen Verifizierung via 'Homepage'
. Wir wollen den Prozess fuer den Kunden so einfach wie moeglich halten und dennnoch sicherstellen, dass Geekweb nicht fuer irgendwelche (durch die Checks verursachte) Schaeden/Probleme belangt werden kann. Ideen, wie wir dies am besten sicherstellen koennen, sind jederzeit willkommen.
XSS in PSNAPI script(s)?
Coder: Wie du ja selbst gesagt hast, habe es da inzwischen entsprechende Filter in den PSNAPI scripts. Wir haben da jedoch seit ner Ehwigkeit nichts mehr geaendert, daher frage ich mich wann du da irgendwelche XSS-Luecken finden konntest. Wenn du nach wie vor welche finden kannst, bitte ich dich um Details via PM oder Mail. Unsere Tests sind bei weitem noch nicht in der Lage alle moeglichen Inhalte zu crawlen und Luecken aufzudecken. Wir wuerden die Checks wohl kaum so guenstig anbieten, wenn dem so waere. Wir analysieren jedoch nach jeder Bestellung, was unsere Tests allenfalls uebersehen haben koennten, um diese entsprechend zu erweitern.
Wir haben soeben eine weitere Pflicht-Checkbox in der Sektion 'AGB' hinzugefuegt: "Der Webseiten-Betreiber und Webhoster erlauben mir diese Tests laufen zu lassen." Desweiteren koennten wir auch noch zusaetzlich eine Auswahl vordefinierter Email-Adressen zur verifizierung verlangen (ala webmaster@domain, info@domain, admin@domain), an die dann eine Email mit einem Verifizierungslink zugesannt wuerde (neben der bereits vorhandenen Verifizierung via 'Homepage'
. Wir wollen den Prozess fuer den Kunden so einfach wie moeglich halten und dennnoch sicherstellen, dass Geekweb nicht fuer irgendwelche (durch die Checks verursachte) Schaeden/Probleme belangt werden kann. Ideen, wie wir dies am besten sicherstellen koennen, sind jederzeit willkommen.XSS in PSNAPI script(s)?
Coder: Wie du ja selbst gesagt hast, habe es da inzwischen entsprechende Filter in den PSNAPI scripts. Wir haben da jedoch seit ner Ehwigkeit nichts mehr geaendert, daher frage ich mich wann du da irgendwelche XSS-Luecken finden konntest. Wenn du nach wie vor welche finden kannst, bitte ich dich um Details via PM oder Mail. Unsere Tests sind bei weitem noch nicht in der Lage alle moeglichen Inhalte zu crawlen und Luecken aufzudecken. Wir wuerden die Checks wohl kaum so guenstig anbieten, wenn dem so waere. Wir analysieren jedoch nach jeder Bestellung, was unsere Tests allenfalls uebersehen haben koennten, um diese entsprechend zu erweitern.
Wir haben nun neben dem Basistest auch noch ein Schnelltest (kostenlos) im Angebot:
Gratis Webseitensicherheit Test
Hier ein Beispiel-Bericht (fuer ayom.com)
Gratis Webseitensicherheit Test
Hier ein Beispiel-Bericht (fuer ayom.com)