Monthly Archives: October 2008

Open source cms systemen

Mede vanuit mijn vakgebied bekijk ik al jaren cms systemen. Vaak oss aangezien het meestal om aanvullende diensten gaat waarbij je een klant iets extra’s wil leveren maar kosten wel een rol spelen.

Na jaren van het bekijken van PHP systemen waarbij het me opvalt dat ze allemaal hun voor en tegens hebben heb ik ook de moeite genomen om naar systemen te kijken die ik ‘onderweg’ tegenkwam. Daarbij zijn een aantal criteria belangrijk. Het moet ‘user friendly’ zijn maar ook veiligheid speelt een grote rol. Gebruiksvriendelijkheid is wel terug te vinden in bepaalde systemen, de makers van bijvoorbeeld exponent denken daar erg goed over na, Ze blijven echter door het gebrek van kennis in de community altijd door de mand vallen als het op security aankomt.

Aangezien ik geen zin heb om het wiel nog ronder te maken ben ik lang blijven kijken naar dit soort systemen. Heb zelfs tijd en moeite gestoken in het helpen opzetten van regels voor bepaalde systemen. Deze guidelines helpen echter alleen als je een club hebt die inziet waarom men meer kan bieden met een systeem dat voldoet aan veiligheid en stabiliteit.

De afgelopen jaren kom ik redelijk veel mensen tegen die me allerlei andere oplossingen aandragen, zowel commercieel als oss. Daaronder zijn ook mensen die Java aanraden als platform, mede om een veiliger situatie te scheppen. Daarom heb ik de afgelopen weken eens gekeken of er iets bij zit, vooral op het gebied van Oss.

Op het internet zijn er diverse plekken waar je dit soort informatie kunt vinden, ook met online demo’s. Namen ga ik nu even niet noemen maar iedereen uit het wereldje weet wel een site waar je de online demo’s kunt testen. Google er rustig op los.

Mijn keuze viel op twee systemen die beiden tomcat als basis gebruikten en MySql als opslag gebruikten. Handig, ik ben redelijk goed bekend met die dbms’n dus dat scheelt weer. Met een setje tests die ik standaard doe ben ik gaan rondneuzen. Kijken naar de mogelijkheden en ook naar zaken waar je niets aan hebt. Mijn oog viel daarbij o.a. op een cms dat met rollen werkt, iets dat zelden goed in elkaar steekt. Er is een demo online die je in staat stelt om in te loggen op diverse manieren, editor, admin en publisher. Het eind resultaat staat min of meer gelijk online als men de juiste rol heeft.

Bij dit soort testen kijk ik meestal gelijk naar XSS injecties. Op zichzelf kunnen ze weinig kwaad maar het is wel vaak een voorbode van wat er mogenlijk zou mogen zijn. Daarmee bedoel ik vooral het slecht afhandelen van input in het algemeen. Het stelt crackertjes in staat om ook te zoeken naar sql injecties als de meest simpele checks al niet aanwezig zijn.

In het systeem dat mij het meeste kans leek te hebben om eindelijk iets te vinden waar ik mee verder kon was het jammer genoeg bij de eerste test al raak. Een zoekactie in hun ‘searchbox’ leverde gelijk al informatie over hoe hun cookie’s in elkaar zitten door een popup te genereren met de relevante gegevens. Aangezien dit al achter een login zit besloot ik dit vandaag ook eens te testen op het gedeelte waar de bezoekers komen. Helaas pindakaas, net zo lek als een mandje of vergiet (kies iets dat van toepassing is).

Het andere systeem was nog erger. Men kon zich aanmelden en met een xss injectie er voor zorgen dat de admin niet ziet dat men een account heeft. De xss zorgt er voor dat dit in de admin interface niet duidelijk wordt tenzij men de html source bekijkt.

Blijkbaar is al die fuzz die men al jaren lang heeft over PHP cms systemen dus gewoon wel waar. Alleen met dat verschil dat systemen geschreven in andere talen[1] er net zo hard last van hebben. Ik hoop echt dat ontwikkelaars zich eens bezig gaan houden met dit soort zaken. Owasp[2] is een mooi begin.

1. http://webwereld.nl/articles/49196/mobiele-site-ns-maand-lang-kwetsbaar-voor-xss-aanval.html
2. http://www.owasp.org/index.php/Main_Page

iTunes is in de war

Al een behoorlijke tijd maak ik gebruik van iTunes. Het heeft een aantal voordelen zoals het automatisch samenstellen van muziek die je graag hoort.

Sinds de laatste update is het echter echt mis. Ik heb een aantal playlists die voorheen heerlijk mijn top 25 of top rated nummers afspelen. Je zet dat aan en hoor je favoriete muziek. Echter, om een onverklaarbare reden lijkt apple te besluiten dat je tegenwoordig daar geen random functie meer op mag loslaten.

Vanavond heb ik echter een oplossing gevonden. Naast de random functie zet je nu de herhaal functie aan. Erg stom, het is een hack die nergens op slaat maar wel werkt. Ik moet echt eens op zoek gaan naar een alternatief.

Storing op de afwasmachine….

Vanavond toch wel iets heel vreemds meegemaakt.

Hier in huis hebben we blijkbaar de pech dat als je per ongelijk sluiting maakt dat alle groepen eruit springen. Na wat gepruts gebeurde dat vanavond ook weer. Dit keer stond de afwas machine echter nog aan. Boel gereset en lekker gaan koffie drinken. Na een poosje hoorde ik nogal gebrom uit de keuken en stond de afwas machine met een code 30 niets meer te doen. Goed, half de smoor in zoeken we de boekjes op en zien alleen het advies “waterkraan dichtdraaien en de monteur bellen”, bah. We proberen nog even om de afvoer los te halen en te kijken of er iets verstopt zat maar ook dat was niet het probleem.

Met het idee dat ik toch wel een heel erge hekel heb aan afwassen duik ik achter internet en zoek op het merk, type nummer en de foutmelding. Dit bracht me bij de site http://www.fixya.com waar we toch wel een heel opmerkelijk advies zagen. We moesten hem voorover bijna op zijn kant leggen, het water zou eruit lopen en vervolgens zou hij weer werken. Niet geschoten is altijd mis dus met de dweil achter de hand hebben we dit maar gedaan. En…. HET WERKT.

Dit is echt te gek. Mede dank aan de mensen die op fixya posten.

pdf searchengine

This morning I found a new site linked in one of the newsletters I am reading. It triggered me since I am always looking for free pdf’s that will help me to store extra information, yes, it’s a dedicated pdf search engine.

http://www.pdf-search-engine.com

This morning I tried a few searches just to see what it found and was very pleased about it. This evening I decided to take a closer look and search on topics that involved older projects I helped develop in the open source community. It found a lot of pdf’s but I also noticed that some sites tend to publish newsgroup items in pdf format.

I think it’s well worth taking a closer look since a lot of manuals are available.

Enjoy

%d bloggers like this: