QUOTE (Wasi)||CoDer||: Besten Dank fuer dein umfangreiches Feedback.
Immer wieder gerne. Gerade wenn es um IT-Sicherheit geht, guck ich eben ganz genau hin.
QUOTE (Wasi)Vielleicht setzen wir da einmal mehr etwas zuviel an Grundverstaendnis voraus. [...] Mir ist klar, dass das deutsche Gesetz fast schon jegliche Aktivitaeten im Web verbietet und wir werden die AGB sicherlich noch zig male aendern muessen um jegliche lokale Gesetzesgebungen abdecken zu koennen. Fuer's erste lassen wir den Kunden via AGB wissen, dass Geekweb jegliche Haftung fuer allfaellige Schaeden ablehnt. Sprich, wenn das lokale Gesetz eine Erlaubnis des Hosters verlangt, dann muss (zumindest zur Zeit) der Kunde sich darum kuemmern.
Auf jeden Fall. Denn die Zielgruppe, welche von eurem Angebot angesprochen wird und es nutzen möchte, wird höchstwahrscheinlich kein fundiertes Wissen über die Technik hinter solchen Tests haben oder die Risiken allgemein gut einschätzen können. Gerade da wäre ich als Anbieter vorsichtig, wenn der Kunde quasi operieren kann, wie er lustig ist. Denn spätestens wenn wirklich ein Schaden entsteht, wird man euch so oder so dafür haften lassen. Auch wenn es nur das Schlüpfloch "Störerhaftung" ist oder man auf fehlende Sicherheitshinweise eingeht. Ein bloßes Ausschließen der eigenen Haftung ist - in nahezu allen Ländern auf diesem Planeten - nicht ausreichend. Du bist als Anbieter immer mit einem Fuß über der Klippe... Übrigens ist meine Information, dass auch in der Schweiz kein Angriff ohne Zustimmung erfolgen darf. Und die Zustimmung wird eben auch in der Schweiz vom Betreiber ebenso benötigt. Da führt kein Weg dran vorbei. Ansonsten ist es wie ein Crash-Test mit einem Leihwagen. Wenn du das Ding mit 200 gegen die Wand fährst, dann ist es dem Richter auch in der Schweiz wurst, was du in den AGB stehen hast.
QUOTE (Wasi)Wir wollen den ganzen Verifizierungsprozess so kurz,knapp und einfach wie moeglich halten und sollten diese Punkte fuer's Erste allenfalls etwas detailierter in den AGB erwaehnen. Dass dies ein kritischer Punkt ist, ist mir klar. Etwas mehr fuer die ToDo-Liste.
Der Punkt ist durchaus kritisch. Aber ihr solltet auch wissen, dass ein Verifizierungsprozess ala "Google" mit Einbinden von bestimmten Code als Erkennung oder Hochladen von Dateien mit bestimmten Namen/Inhalten, als Verifizierung nicht ausreicht. Immerhin könnten auch nicht-autorisierte Personen (Praktikant/Lehrling/Dienstleister/Kinder/...) den "Angriff" anstoßen. Um wirklich auf der sicheren Seite zu sein, benötigt man eine Verifizierung mit Unterschrift und möglichst Dokumente, die eine Berechtigung unterstreichen. Bei uns wird grundsätzlich nur ein schriftlicher Auftrag mit Kennung und bei größeren Projekten mit Ausweiskopie, schriftlicher Genehmigung von autorisiertem Personal usw. angenommen und danach gearbeitet. Immerhin macht genau diese Verifizierung aus, ob man als Dienstleister/Anbieter eine Straftat begeht oder nicht. Und wenn einer eurer Kunden das Angebot wahrnimmt, ohne autorisiert zu sein, ihr den Kunden machen lasst und dabei ein Schaden beim Hoster entsteht, gibt es mindestens 2 Angeklagte: Den Kunden und euch.
QUOTE (Wasi)Um die richtigen Programme nutzen zu koennen, braucht's eine Weile an Research plus das Anwenden dieser ist nicht immer von Anfang an verstaendlich. Mit unserem Service vereinfachen wir den Prozess und decken (wie das Alain in einem vorigen Post bereits erwaehnte) ein breites Spektrum an Schwachstellen-Typen an, was meines Wissens keine OpenSource/Freesoftware Programme 'all-in-one' anbieten. Es gibt durchaus ClosedSource-Software die einiges unserer Tests (und teilweise gar mehr) abdecken. Alle verschiedenen Varianten haben ihre Vor- und Nachteile. Da stellt sich generell die Frage: Service vs Software
Naja... Da gibt es schon einige Tools, die für den Normalo schon brauchbar, kostenlos und leicht bedienbar sind:
Hier mal ne Liste:
https://www.owasp.org/index.php/Category:Vu..._Scanning_Tools
QUOTE (Wasi)Verwendung des Dienstes durch einen 'Laien': Unser Dienst kann auch von einem 'Laien' (sofern er durch den Verifizierungsprozess kommt) genutzt werden, der dann mit dem Report zu seinem Experten gehen kann. Ein Laie wird jedoch kaum die notwendigen Programme herunterladen und installieren um diese Checks durchzufuehren.
Das ist schon klar. Aber ein Laie der wirklich Sicherheit möchte, wird auch direkt zu einem Experten gehen. Das sollte er grundsätzlich, wenn er sensible Daten speichert oder bestimmte Webanwendungen betreibt. Und sei mir bitte nicht böse, aber ein derartiger Test für 20 Taler ist in meinen Augen nicht einmal ansatzweise ein Grund, später mit gutem Gefühl seine Seite zu betreiben. Denn selbst die beste Software - ja, auch die für 5.000 EUR aufwärts - ist nur ein Hilfsmittel. Und zwar nur ein Hilfsmittel für Leute, die wirklich wissen, was sie da tun.
QUOTE (Wasi)Testen der eigenen Seiten: Klar haben wir jegliche eigene Webseiten bereits mehrfach getestet. Und bis auf die ueblichen CSRF und CJ Issues haben wir da bei den wenigsten Seiten Schwachstellen finden koennen. Sollten dir gewisse Schwachstellen auf irgendwelchen von Geekweb unterhaltenen Webseiten aufgefallen sein, bitte ich dich mir diese via PM (oder gleich direkt an Geekweb ueber das Kontaktformular auf der Webseite) mitzuteilen.
Das bestätigt meine Annahme, dass der automatisierte Test nicht gerade ausführlich arbeitet.
Wie ihr ja schon entdeckt habt, war in einem Unterbereich eurer Website eine XSS-Schwachstelle. War leicht zu finden, weil ihr ja schließlich den Sourcecode für das Script (PSNAPI) öffentlich bereitstellt. Und wie ich vorhin gesehen habe, habt ihr nun auch mittels Filter versucht, diese Schwachstelle zu schließen. Wollte euch ne Mail rüberschicken mit den Details und vorher nochmal prüfen, ob die Lücke nicht doch schon entdeckt wurde.
Nun, wenn ich jetzt sage, dass der Filter zwar das Problem überschminkt, es aber nicht beseitigt und die Schwachstelle demnach immernoch vorhanden ist?
Ich würde sagen das gäbe dann mindestens 19,90 USD für die Ayom Kaffeekasse.
Cheers!