---

Hej jeg er ny her



Er der nogen der har lyst til at tjekke sikkerheden/login på hjemme
siden http://www.vetreg.dk


hilsen jørgen

---

jvj wrote:
> Hej jeg er ny her
>
>
>
> Er der nogen der har lyst til at tjekke sikkerheden/login på hjemme
> siden http://www.vetreg.dk

Det er jo en offentlig side. Du glemmer at fortælle hvorfor du ønsker
den gransket. Stoler du ikke på den, eller er du ansvarlig for den, eller?

Peter

---

Peter Mogensen skrev:
> jvj wrote:
>
>>Hej jeg er ny her
>>
>>
>>
>>Er der nogen der har lyst til at tjekke sikkerheden/login på hjemme
>>siden http://www.vetreg.dk
>
>
> Det er jo en offentlig side. Du glemmer at fortælle hvorfor du ønsker
> den gransket. Stoler du ikke på den, eller er du ansvarlig for den, eller?
>
> Peter


Ja undskyld jeg er bruger af den og skal indtaste oplysninger jeg
senere kan blive "kontrolleret efter. Når jeg logger ind kan jeg ændre
en masse ting for andre brugere derinde uden systemet brokker sig kan
endvidere oprette "profiler" med kjhkhkjhkj og 35465465 dvs tilfældige
tastetryk.

Mon det bliver sat i en log hvis der besøger siden ? og hvem der logger
på ? hilsen jørgen

---

jvj wrote:
> Mon det bliver sat i en log hvis der besøger siden ? og hvem der logger
> på ? hilsen jørgen

Den slags har man praktisk taget ingen chanche for at svare på som
udenforstående alligevel.

Peter

---

Peter Mogensen skrev:
> jvj wrote:
>
>>Mon det bliver sat i en log hvis der besøger siden ? og hvem der logger
>>på ? hilsen jørgen
>
>
> Den slags har man praktisk taget ingen chanche for at svare på som
> udenforstående alligevel.
>
> Peter

Nej

men det ville være intersant om en "tilfældig" kunne logge på evt ved
hjælp af program da passwors og login jeg har modtaget faktisk fra IBM
virker meget lidt tilfældige

hilsen jørgen

---

Den Fri, 25 Nov 2005 12:41:12 +0100 skrev jvj:
> Peter Mogensen skrev:
>> jvj wrote:
>>
>>>Mon det bliver sat i en log hvis der besøger siden ? og hvem der logger
>>>på ? hilsen jørgen
>>
>>
>> Den slags har man praktisk taget ingen chanche for at svare på som
>> udenforstående alligevel.
>
> Nej
>
> men det ville være intersant om en "tilfældig" kunne logge på evt ved
> hjælp af program da passwors og login jeg har modtaget faktisk fra IBM
> virker meget lidt tilfældige

Det kan ikke udelukkes at det er muligt, men da det er strafbart, finder
du næppe nogen her i gruppen der har lyst til at gøre forsøget for dig.

Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.

---

jvj wrote:
> Ja undskyld jeg er bruger af den og skal indtaste oplysninger jeg
> senere kan blive "kontrolleret efter. Når jeg logger ind kan jeg ændre
> en masse ting for andre brugere derinde uden systemet brokker sig kan
> endvidere oprette "profiler" med kjhkhkjhkj og 35465465 dvs tilfældige
> tastetryk.

Ret henvendelse til den adresse der står i bunden af siden. Der er både
emailadresse og telefonnummer.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk

---

Jo tak for svarene men hvad skal jeg egentlig spørge dem om ?




Alex Holst skrev:
> jvj wrote:
>
>> Ja undskyld jeg er bruger af den og skal indtaste oplysninger jeg
>> senere kan blive "kontrolleret efter. Når jeg logger ind kan jeg ændre
>> en masse ting for andre brugere derinde uden systemet brokker sig kan
>> endvidere oprette "profiler" med kjhkhkjhkj og 35465465 dvs tilfældige
>> tastetryk.
>
>
> Ret henvendelse til den adresse der står i bunden af siden. Der er både
> emailadresse og telefonnummer.
>

---

Den Sat, 26 Nov 2005 14:00:44 +0100 skrev jvj:
>
> Jo tak for svarene men hvad skal jeg egentlig spørge dem om ?

Det du gerne vil vide.

Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.

---

jvj wrote:
>
> Jo tak for svarene men hvad skal jeg egentlig spørge dem om ?

Først og fremmest skal du lade være med at top-poste. Dernæst kunne du
sige noget i stil med:

"Ja undskyld jeg er bruger af den og skal indtaste oplysninger jeg
senere kan blive "kontrolleret efter. Når jeg logger ind kan jeg ændre
en masse ting for andre brugere derinde uden systemet brokker sig kan
endvidere oprette "profiler" med kjhkhkjhkj og 35465465 dvs tilfældige
tastetryk."

Det skulle få en eller anden ansvarlig til at løfte et øjenbryn.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk

---

jvj wrote:
>
> Hej jeg er ny her
>
> Er der nogen der har lyst til at tjekke sikkerheden/login på hjemme
> siden http://www.vetreg.dk

Den redirecter til en ssl url, og certifikatet ser troværdigt
ud. Og sådan lige ved første øjekast kunne jeg ikke få øje på
noget sted hvor den ville sende noget til andre servere. Men
alt det der javascript har jeg ikke været igennem.

Med mindre der er store huller i browseren tror jeg godt man
kan stole på den side. Jeg kan selvfølgelig overhovedet ikke
udtale mig om, hvad der foregår på serversiden.

--
Kasper Dupont
Note to self: Don't try to allocate
256000 pages with GFP_KERNEL on x86.

---

Kasper Dupont skrev:
> jvj wrote:
>
>>Hej jeg er ny her
>>
>>Er der nogen der har lyst til at tjekke sikkerheden/login på hjemme
>>siden http://www.vetreg.dk
>
>
> Den redirecter til en ssl url, og certifikatet ser troværdigt
> ud. Og sådan lige ved første øjekast kunne jeg ikke få øje på
> noget sted hvor den ville sende noget til andre servere. Men
> alt det der javascript har jeg ikke været igennem.
>
> Med mindre der er store huller i browseren tror jeg godt man
> kan stole på den side. Jeg kan selvfølgelig overhovedet ikke
> udtale mig om, hvad der foregår på serversiden.
>


takker havde nu heller ikke indtryk af phising


kan jeg få dig til at prøve at logge ind ?

---

jvj wrote:
>
> kan jeg få dig til at prøve at logge ind ?

Jeg har ikke noget brugernavn til sitet.

--
Kasper Dupont
Note to self: Don't try to allocate
256000 pages with GFP_KERNEL on x86.

---

Kasper Dupont skrev:
> jvj wrote:
>
>>kan jeg få dig til at prøve at logge ind ?
>
>
> Jeg har ikke noget brugernavn til sitet.
>

brugernavnet består af 3 måske 4 tal

og adgangskoden formenlig af 3 bogstaver efterfulgt af 3 tal

---

jvj wrote:

>>>kan jeg få dig til at prøve at logge ind ?
>>
>>
>> Jeg har ikke noget brugernavn til sitet.
>>
>
> brugernavnet består af 3 måske 4 tal
>
> og adgangskoden formenlig af 3 bogstaver efterfulgt af 3 tal

STOP!

Valus-sagen viser, at hvis nogen forsøger at følge din anvisning,
uanset om de har success med det eller ej, kan både du og de muligvis
retforfølges for "hacking"[0]. GØR DET IKKE.


[0]: Kasper er udmærket bekendt med sagen, men det er andre der læser
med her måske ikke.

--
Niels Callesøe - dk pfy
pfy[at]nntp.dk - http://www.t29.dk/~nica/disclaimer.php

SPF makes baby Jesus retarded.

---

jvj wrote:
>
> Kasper Dupont skrev:
> > jvj wrote:
> >
> >>kan jeg få dig til at prøve at logge ind ?
> >
> >
> > Jeg har ikke noget brugernavn til sitet.
> >
>
> brugernavnet består af 3 måske 4 tal
>
> og adgangskoden formenlig af 3 bogstaver efterfulgt af 3 tal

Jeg kan ikke se hvad de oplysninger kan bruges til.

--
Kasper Dupont
Note to self: Don't try to allocate
256000 pages with GFP_KERNEL on x86.

---

Kasper Dupont skrev:
> jvj wrote:
>
>>Kasper Dupont skrev:
>>
>>>jvj wrote:
>>>
>>>
>>>>kan jeg få dig til at prøve at logge ind ?
>>>
>>>
>>>Jeg har ikke noget brugernavn til sitet.
>>>
>>
>>brugernavnet består af 3 måske 4 tal
>>
>>og adgangskoden formenlig af 3 bogstaver efterfulgt af 3 tal
>
>
> Jeg kan ikke se hvad de oplysninger kan bruges til.
>
ærgeligt men ok

---

On Sat, 26 Nov 2005 10:20:48 +0100, jvj wrote:


> ærgeligt men ok

Kan eller vil du ikke forstå at du opfordrer andre til at begå en strafbar
handling?


--
:: J.K.Arning ::
http://yndigtland.dk

---

Hej

> > ærgeligt men ok
>
> Kan eller vil du ikke forstå at du opfordrer andre til at begå en strafbar
> handling?

Ja, man burde næsten melde ham for det.

Mvh Max

---

On Sat, 26 Nov 2005 12:20:01 +0100, Max wrote:


>
> Ja, man burde næsten melde ham for det.
>
Det må være på til den forurettede som jeg har sendt en mail med freference
til hele korrespondancen her hvilket om ikke andet giver dem en mulighed
for at undersøge om de rent faktisk skulle have en sikkerheds problem.


--
:: J.K.Arning ::
http://yndigtland.dk

---

Hej alle takker for de mange indput ..

Kunne I hjælpe mig sådan mere konkret hvad jeg skal stille af tekniske
spørgsmål til ejeren af hjemmesiden . Spørger jeg bare om de har et
sikkerhedsproblem er svaret NEJ jo givet på forhånd ?

hilsen jørgen

---

jvj wrote:
>
> Hej alle takker for de mange indput ..
>
> Kunne I hjælpe mig sådan mere konkret hvad jeg skal stille af tekniske
> spørgsmål til ejeren af hjemmesiden . Spørger jeg bare om de har et
> sikkerhedsproblem er svaret NEJ jo givet på forhånd ?

Det er et spørgsmål om at formulere spørgsmålet rigtigt. Hvis du
bare spørger dem om sikkerheden er i orden, siger de selvfølgelig
ja. Men prøv i stedet for at spørge om lov til at undersøge
sikkerheden, så tør jeg godt garantere dig for, at de ikke er så
sikre på sikkerheden.

--
Kasper Dupont
Note to self: Don't try to allocate
256000 pages with GFP_KERNEL on x86.

---

jvj wrote:
> Kunne I hjælpe mig sådan mere konkret hvad jeg skal stille af tekniske
> spørgsmål til ejeren af hjemmesiden . Spørger jeg bare om de har et
> sikkerhedsproblem er svaret NEJ jo givet på forhånd ?

Kontakt et firma med speciale i IT-sikkerhed og få dem til at hjælpe.

Hvis du har en grund til at interessere dig for sikkerheden på den
omtalte side, er det ikke tilstrækkeligt med den hjælp, du kan få her.

Mvh. Michael.
--
Which is more dangerous? TV guided missiles or TV guided families?
Visit my home page at http://michael.zedeler.dk/
Get my vcard at http://michael.zedeler.dk/vcard.vcf

---

jvj wrote:
>>> Er der nogen der har lyst til at tjekke sikkerheden/login på hjemme
>>> siden http://www.vetreg.dk
> [klip]
> kan jeg få dig til at prøve at logge ind ?

Det er faktisk også ulovligt, hvis ikke man har fået udleveret et login.
Du opfordrer altså folk til at gøre noget, de ikke bør gøre.

Mvh. Michael.
--
Which is more dangerous? TV guided missiles or TV guided families?
Visit my home page at http://michael.zedeler.dk/
Get my vcard at http://michael.zedeler.dk/vcard.vcf

---

jvj wrote:
> Er der nogen der har lyst til at tjekke sikkerheden/login på hjemme
> siden http://www.vetreg.dk

Det første jeg ville gøre, er checke om siden er åben for SQL
injection-angreb og dernæst om nogle usikre porte er åbne. Men det er
ulovligt uden forudgående aftale med ejeren, så i teorien opfordrer du
folk til at gøre noget ulovligt.

Og hvordan kan jeg vide hvem du er?

Mvh. Michael.
--
Which is more dangerous? TV guided missiles or TV guided families?
Visit my home page at http://michael.zedeler.dk/
Get my vcard at http://michael.zedeler.dk/vcard.vcf

---

Michael Zedeler wrote:
>
> jvj wrote:
> > Er der nogen der har lyst til at tjekke sikkerheden/login på hjemme
> > siden http://www.vetreg.dk
>
> Det første jeg ville gøre, er checke om siden er åben for SQL
> injection-angreb og dernæst om nogle usikre porte er åbne. Men det er
> ulovligt uden forudgående aftale med ejeren,

I mange tilfælde skal der ikke mere end en lille tastefejl til
for at opdage muligheden for en SQL injektion. Jeg kan huske
fire forskellige sites hvor jeg har opdaget SQL injektions
uden overhovedet at lede efter dem.

Men hvis man vil være sikker på at der ikke er nogen huller,
så skal man jo gennemgå samtlige steder hvor serveren tager
imod input, og hvis man gør det, så er det åbenlyst, at der
ikke er tale om en tilfældighed.

Men jeg tvivler nu på at det er ulovligt, hvis man blot har
til hensigt at undersøge om sitet er sikkert nok til at man
kan aflevere sine personlige oplysninger.

--
Kasper Dupont
Note to self: Don't try to allocate
256000 pages with GFP_KERNEL on x86.

---

Hej Alle de sidste indput var gode selvom taknikken ikke sir mig noget ..

jeg vil kontakte sitet og spørge mig frem

hilsern jørgen

---

Den Sun, 27 Nov 2005 08:59:44 +0100 skrev Kasper Dupont:
> Michael Zedeler wrote:
>>
>> jvj wrote:
>> > Er der nogen der har lyst til at tjekke sikkerheden/login på hjemme
>> > siden http://www.vetreg.dk
>>
>> Det første jeg ville gøre, er checke om siden er åben for SQL
>> injection-angreb og dernæst om nogle usikre porte er åbne. Men det er
>> ulovligt uden forudgående aftale med ejeren,
>
> I mange tilfælde skal der ikke mere end en lille tastefejl til
> for at opdage muligheden for en SQL injektion. Jeg kan huske
> fire forskellige sites hvor jeg har opdaget SQL injektions
> uden overhovedet at lede efter dem.
>
> Men hvis man vil være sikker på at der ikke er nogen huller,
> så skal man jo gennemgå samtlige steder hvor serveren tager
> imod input, og hvis man gør det, så er det åbenlyst, at der
> ikke er tale om en tilfældighed.
>
> Men jeg tvivler nu på at det er ulovligt, hvis man blot har
> til hensigt at undersøge om sitet er sikkert nok til at man
> kan aflevere sine personlige oplysninger.

Men du får fa**ens svært ved at bevise at det var din hensigt.

Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.

---

Kent Friis skrev:
> Den Sun, 27 Nov 2005 08:59:44 +0100 skrev Kasper Dupont:
>
>>Michael Zedeler wrote:
>>
>>>jvj wrote:
>>>
>>>>Er der nogen der har lyst til at tjekke sikkerheden/login på hjemme
>>>>siden http://www.vetreg.dk
>>>
>>>Det første jeg ville gøre, er checke om siden er åben for SQL
>>>injection-angreb og dernæst om nogle usikre porte er åbne. Men det er
>>>ulovligt uden forudgående aftale med ejeren,
>>
>>I mange tilfælde skal der ikke mere end en lille tastefejl til
>>for at opdage muligheden for en SQL injektion. Jeg kan huske
>>fire forskellige sites hvor jeg har opdaget SQL injektions
>>uden overhovedet at lede efter dem.
>>
>>Men hvis man vil være sikker på at der ikke er nogen huller,
>>så skal man jo gennemgå samtlige steder hvor serveren tager
>>imod input, og hvis man gør det, så er det åbenlyst, at der
>>ikke er tale om en tilfældighed.
>>
>>Men jeg tvivler nu på at det er ulovligt, hvis man blot har
>>til hensigt at undersøge om sitet er sikkert nok til at man
>>kan aflevere sine personlige oplysninger.
>
>
> Men du får fa**ens svært ved at bevise at det var din hensigt.
>
> Mvh
> Kent



ja du har måske ret jeg har fundet nedenstående




* Af Jesper Stein Sandal
* Offentliggjort onsdag 12.januar 2005 kl. 07.02
omputerworld

Lovligt at offentliggøre huller
Værktøjer til at scanne websteder for sikkerhedshuller findes både fra
store sikkerhedsfirmaer og fra hackerverdenens gråzone.

Umiddelbart er det ikke ulovligt at offentliggøre oplysninger om
sikkerhedsbrister på websteder i Danmark.

Det var i hvert fald dommerens vurdering i en dom sidste år, hvor en
debattør fra Computerworlds debatforum blev frifundet. Debattøren havde
i et debatindlæg beskrevet en sårbarhed i betalingssystemet Valus.

Det fandt dommeren var i orden. Dommen slog dog samtidig fast, at det
var forsøg på hacking, da en anden person senere forsøgte at manipulere
med Valus' webapplikation efter anvisningerne.

---

Den Sun, 27 Nov 2005 10:40:35 +0100 skrev jvj:
>
>
>
>
>
> Kent Friis skrev:
>> Den Sun, 27 Nov 2005 08:59:44 +0100 skrev Kasper Dupont:
>>>
>>>Men jeg tvivler nu på at det er ulovligt, hvis man blot har
>>>til hensigt at undersøge om sitet er sikkert nok til at man
>>>kan aflevere sine personlige oplysninger.
>>
>>
>> Men du får fa**ens svært ved at bevise at det var din hensigt.
>
> Umiddelbart er det ikke ulovligt at offentliggøre oplysninger om
> sikkerhedsbrister på websteder i Danmark.
>
> Det var i hvert fald dommerens vurdering i en dom sidste år, hvor en
> debattør fra Computerworlds debatforum blev frifundet. Debattøren havde
> i et debatindlæg beskrevet en sårbarhed i betalingssystemet Valus.

Bemærk at der står offentliggøre, IKKE undersøge.

Så vidt jeg husker havde mandet fundet hullet ved et tilfælde, ikke
ved bevidst at lede efter det. Hvis man bevidst leder efter det, får
man svært ved at overbevise dommeren om at man ikke havde til hensigt
at (mis-) bruge informationerne.

Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.

---

Kent Friis wrote:
>
> Den Sun, 27 Nov 2005 08:59:44 +0100 skrev Kasper Dupont:
> > Michael Zedeler wrote:
> >>
> >> Det første jeg ville gøre, er checke om siden er åben for SQL
> >> injection-angreb og dernæst om nogle usikre porte er åbne. Men det er
> >> ulovligt uden forudgående aftale med ejeren,
[...]
> > Men jeg tvivler nu på at det er ulovligt, hvis man blot har
> > til hensigt at undersøge om sitet er sikkert nok til at man
> > kan aflevere sine personlige oplysninger.
>
> Men du får fa**ens svært ved at bevise at det var din hensigt.

Er det ikke anklageren, der har bevisbyrden i sådan en sag?

X-FUT: dk.videnskab.jura

--
Kasper Dupont
Note to self: Don't try to allocate
256000 pages with GFP_KERNEL on x86.

---

Den Mon, 28 Nov 2005 08:35:29 +0100 skrev Kasper Dupont:
> Kent Friis wrote:
>>
>> Den Sun, 27 Nov 2005 08:59:44 +0100 skrev Kasper Dupont:
>> > Michael Zedeler wrote:
>> >>
>> >> Det første jeg ville gøre, er checke om siden er åben for SQL
>> >> injection-angreb og dernæst om nogle usikre porte er åbne. Men det er
>> >> ulovligt uden forudgående aftale med ejeren,
> [...]
>> > Men jeg tvivler nu på at det er ulovligt, hvis man blot har
>> > til hensigt at undersøge om sitet er sikkert nok til at man
>> > kan aflevere sine personlige oplysninger.
>>
>> Men du får fa**ens svært ved at bevise at det var din hensigt.
>
> Er det ikke anklageren, der har bevisbyrden i sådan en sag?

Eftersom "hensigt" ikke kan bevises (man kan ikke skille folks hjerne
ad og kigge efter), men stadig er strafbart, kan det logisk set aldrig
blive andet end ord mod ord.

Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.

---

Den 28-11-05 17.08 skrev Kent Friis følgende:

>>>Men du får fa**ens svært ved at bevise at det var din hensigt.
>>
>>Er det ikke anklageren, der har bevisbyrden i sådan en sag?

Jo.

> Eftersom "hensigt" ikke kan bevises (man kan ikke skille folks hjerne
> ad og kigge efter), men stadig er strafbart, kan det logisk set aldrig
> blive andet end ord mod ord.

Der kan være andre ting, der peger på en bestemt hensigt. Fx hvis man
har programmer, der kan bruges til at bryde ind på andres computere.
Hvis browserhistorikken viser, at man har besøgt hackerhjemmesider. Hvis
man har besøgt et hackerforum, kan eventuelle indlæg give et fingerpeg
om ens hensigter. Hvis der findes logfiler, der viser lignende forsøg
mod andre sider, hvor samme forklaring måske ikke er særlig sandsynlig.

--
Mvh. Kim Ludvigsen
Få en gratis tetris-klon i form af Tetrix.
http://kimludvigsen.dk