Utvecklare och entreprenörer är av naturen lata

Ja, åtminstone när det handlar om saker som inte har med de omedelbara framgångsfaktorerna att göra.
Detta är så klart en grov generalisering men ofta kan man märka av att lyckan för att något personen utvecklat/ordnat fungerar så missar de många andra viktiga och ibland självklara saker.

Ett exempel är alla hackerangrepp som uppdagats den senaste tiden där bland annat Aftonbladet struntat i att meddela sina kunder att deras lösenord har läckt ut.

Det kan ju tyckas vara trivialt att lösenord för en webbplats läcks ut bara man ser till att skydda webbtjänsten, problemet är bara att många använder samma lösenord på massor av webbtjänster. Med andra ord behöver användarna få reda på detta så fort som möjligt.

En variant som inte fungerade var nu nyss när Bilddagboken.se (IDG.se) hackades så skickades nya lösenord ut via mejl. För de som har samma lösenord på mejlen hjälper detta föga då de tusentals sabotörerna på Flashback.info garanterat är inne och snokar i deras e-postboxar.

Ett sätt att lösa detta är att man exempelvis tvingas ange sitt personnummer eller annan till synes jobbigare uppgift att snoka upp för sabotörerna och denna information krävs för att återaktivera kontot exempelvis på Bilddagboken. En sådan lösning skulle givetvis minska antalet aktiva användare och visa hur få som egentligen har förtroende för tjänsten efter en lucka i säkerheten, alltså inget som en kommersiell ägare vill göra.

De farligaste webbplatserna att använda är nog de som har en entusiastbakgrund. Där har en person för sitt egna nöja fokuserat på att bygga en bra tjänst istället för att se till helheten och då även säkerhetsaspekterna. En sådan mass-aktion utfördes nyligen genom så kallade SQL injections (IDG.se) där 70 000 webbplatser hackades på kort tid.

För att utföra en SQL injection behöver man inte förstå så mycket mer än grundläggande webbkonstruktion. En vanlig variant är att man labbar med ett användarnamn, exempelvis admin, sedan skriver man i lösenordsrutan bla´ OR ´1=1 för att manipulera med lösenordets kontroll. Detta var ett av problemen som Aftonbladet hade med de så kallade magic quotes.
Det som händer är att frågan mot användarinformationen alltid returnerar ett svar eftersom 1=1 alltid är sant genom att frågan ställs som OR (alltså eller), i vardagsspråk:

Hämta ANVÄNDARNAMN & LÖSENORD från användarsystemet där
ANVÄNDARNAMN är ADMIN OCH LÖSENORD är bla ELLER då 1 är detsamma som 1

Eftersom 1 är detsamma som 1 så kommer systemet se att det kommer minst ett svar, åtminstone om användarnamnet finns och är unikt, och många exempelskript för nybörjare är konstruerade på just sättet att man blir inloggad utifall att systemet returnerar fler än 0 träffar.

En lösning för oss som vill känna oss trygga är att ha ett program som sköter lösenorden åt oss och alltid har unika lösenord på varje webbplats.

Appropå utvecklares yrkesetik (IDG)