maar even gewacht tot de winterspelen voorbij waren

Zo af en toe zie je een site waarbij je denk…. daar zit een probleem in. Dat had ik afgelopen jaar ook toen ik een noc/nsf site bezocht. Vraag me niet waarom, waar en hoe (naja, hoe mag best) maar het bleek wederom waar. De noc/nsf site is zo lek als een mandje.

Nu mag men zich afvragen waarom ik dit niet eerder publiek maakte. Nou, dat is niet zo moeilijk. Een lekke site, zeker een site waar de mensen erachter druk zijn om een beetje ondersteuning te geven aan sporters die gouden plakken moeten halen ga je niet lastig vallen met problemen als dat niet direct nodig is.

De makers van de site is gemeld dat ze last hebben van een blind xss probleem. In kort komt het er op neer dat je een commando verbergt in commentaar en dat je daarmee server side data van de bezoeker zelf zichbaar maakt. Het ziet er ongeveer zo uit:

__utma=229520413.1950071226.1263850856.1266359604.1267222900.4; __utmz=229520413.1263850856.1.1.utmcsr=(direct)|utmccn=(direct)|utmcmd=(none); fontType=; _____cci_cnfsid=off3vqvsbikvzii2iifsoljj

Nu kan dit niet echt een probleem zijn. Het gaat om data die alleen voor de mensen die het uitvoeren zichtbaar wordt. Het laat geen data van andere bezoekers zien. Het geeft echter wel aan dat het noc/nsf een site draait waarbij waardes niet echt onder een controle vallen. Voor echte hackers een teken dat ze eens verder moeten kijken naar sql injecties en soortgelijke hacks.

Uiteraard gooi ik dit soort informatie niet zomaar online. De mensen achter de site heb ik ongeveer 5 keer laten weten dat het niet echt handig is om dit niet te fixen. Het lijkt echter geen prio te hebben. Vandaar dat ik maar eens online gooi dat men binnen ministeries die de sport bekostigen geld van de belasting betaler in een putje gooit dat niet altijd een positief iets kan opleveren.

Overigens ben ik wel blij met de 100ste gouden medaille :-)

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: