Sikkerhedsfejl i RSS2BLOG
Jeg blev i dag opmærksom på at en seriøs sikkerhedsfejl er identificeret i programet RSS2BLOG, der er et værktøj som anvendes til automatiske opdateringer af blogs. Om man skal anvende den slags værktøjer eller ej er der mange meninger om, men uanset dette er sagen interessant at kigge nærmere på ud fra en ren web-sikkerheds vinkel.
Til at starte med er det på sin plads at sige at fejlen blev meddelt af firmaet selv, bag RSS2BLOG til deres kunder og der blev med det samme udgivet en opdatering der fjernede det tidligere hul. Det må man trods alt tage hatten af for. Du kan se emailen på SEOBlackHat.com
Kernen i problemet er lidt langhåret og har mest at gøre med hvordan ens webserver er opsat – og hvilke filer almindelige brugere kan få adgang til. På WebsiteDefense kan du se en glimrende video der beskriver detaljerne i problemet – og ikke mindst hvordan du kan løse dem på din RSS2Blog installation. De kommer også med nogle ret gode tips til hvordan man, sådan mere generelt, kan øge sikkerheden på sine websites og applikationer – ikke bare RSS2BLOG.
Som du kan se af ovenstående video er det et ret alvorligt sikkerhedshul, da det giver adgang til alle passwords til dine WordPress blogs og en række MySQL informationer. Meget uheldigt!
Desværre kommer de med en helt forkert oplysning i videoen som det er meget vigtigt du ikke lytter på. De påstår at man med robots.txt kan forhindre søgemaskinerne i at indeksere sider og directories på sit website. Det er ikke korrekt! Robots.txt fortæller blot søgemaskinerne at de ikke skal crawle siden. Der er en vigtig forskel mellem crawling og indeksering. Alle de store søgemaskiner indekserer sider de aldrig har besøgt og crawlet alene på baggrund af links, toolbars og andre kanaler. Google har f.eks. milliarder af den slags sider indekseret – sider de aldrig har besøgt.
Skriv kommentar