Posts by K.Rens

http://nl.wikipedia.org/wiki/Capgemini
=> Is ontstaan blijkbaar mee uit Ernst & Young, een afdeling ervan, maar is onafhankelijk gaan werken.

Nee, echt waar, geen grote fouten ontdekt.

Een scan is nooit nutteloos, je moest toch maar eens iets vergeten.
+ Nu kunnen wij aan die klant de zekerheid geven dat de veiligheid in orde is, het is getest door Ernst & Young (ook al heb ik het zelf gedaan - dit werk zal wel worden nagekeken door een collega, dus er is wel degelijk assurance over de kwaliteit - onafhankelijkheid blijft gewaarborgd).

Scan afgelopen.

Veel rommel uitgekomen die niet klopt.
Bv: het blokkeren van de /icons standaard map in apache.
Zal ik doen, maar zie het nut er niet van in.
Alsof niemand weet dat die map bestaat... (xD)

Er is wel 1 aanbeveling bij die ik effectief ga uitvoeren.
Meer informatie volgt.
(Is een kleintje, niet belangrijk, 1 minuutje werk).
Komt er op neer om iets dat bijna niet meer gebruikt wordt in het echt uit te schakelen. Gewoon voor de zekerheid naar de toekomst toe.
Hack kans via deze fout is zeer laag, want er moet eerst een andere hack mogelijk zijn voor deze valt uit te voeren.

Man, wat moet ik hier weer cryptisch zijn...

Of weet je wat: wie het raadt krijgt elite status van me (xD)

Ps: neen, je mag onze server niet gaan scannen.
Kan je een permanente ban opleveren op onze servers.
Trouwens, na 10 requests word je toch geblokkeerd.
Als ik je ip niet in de uitzonderingenlijst zet, is je attack tijdverspilling voor jezelf.

Door een interne security audit van Ernst & Young op 1 van de sites voor een klant, ondergaat onze server op dit moment een aantal zware testen op het vlak van security.

Hierdoor kan CriminalsPoint mogelijk tijdelijk trager laden.

Er worden op dit moment 17.000 verschillende exploits en bugs getest op onze server.

De conclusies die we kunnen trekken voor deze klant zullen ook worden opgevolgd op CriminalsPoint. Zo kunnen we jullie een nog betere kwaliteit aanbieden.

Bedankt voor jullie begrip.

Ps: indien jullie geïnteresseerd zijn publiceer ik na het patchen van de mogelijk gevonden fouten het rapport hier online. (h)

Tip: voeg scripts die je doorstuurt ook toe aan onze scripts database op CP!
Dan kan iedereen er meteen ook van genieten!

CriminalsPoint biedt gratis hosting aan voor dit project.
Zo kunnen meerdere mensen meehelpen en werkt de link wel altijd
Pb me voor details.

Ps: we vragen dan wel elke maand een voortgangsrapportje.
Kwestie dat we geen dode sites gratis hosten

[offtopic]No information about you or the sites you visit is communicated during list updates. The second is in the event that you encounter a reported phishing or malware site. Before blocking the site, Firefox will request a double-check to ensure that the reported site has not been removed from the list since your last update.[/offtopic]

Dit klopt dus duidelijk niet uit mijn bevindingen.
Mijn browser communiceert continu met de cache van Google...
Is een verdacht zaakje...

Verder vertrouw ik Google ook niet.
Mozilla geeft immers gewoon aan dat we naar de privacy policy van Google moeten kijken, welke - zoals we wel weten - zeer slecht is voor ons, eindgebruikers...

Er is niet 1 manier om zo iets op te lossen.
Het begint allemaal met een goede server beveiliging.
Daarop moet je dan veilig programmeren.

In geval van PHP moet je dus alle user input valideren.
Dit wil zeggen dat je eerst moet kijken of wat de eindgebruiker invoert, wel correct is en is toegestaan in je applicatie.

Vandaar ook mijn verbazing.
Kan iemand mijn bevindingen bevestigen?

Natuurlijk staat er wel al veel informatie over in Google, dus ik ga er voorlopig van uit dat dit verhaal klopt.

Vandaag zag ik tijdens het testen van een website voor een klant de hele tijd requests langskomen gaande naar
safebrowsing-cache.google.com

Na wat verder zoeken bleek mijn standaard Firefox voor elke url die ik bezoek, eerst te vragen aan google of deze website wel "veilig" is.
Als er spyware op zou zitten, geeft google dit terug en blokkeert Firefox de website.

Ik vind dit persoonlijk zeer verontrustend.
Google houdt al jaren bij welke sites ik bezoek via Firefox. Dit geeft ze enorm veel kennis over mij, meer dan ik me comfortabel bij voel...

Ok, ik ben zogezegd veilig, maar beschermt mijn antivirus en firewall mij niet, waarom moet Google dit allemaal doen?
En sinds wanneer kent Google iets van beveiliging? Voor zover ik weet zijn ze bezig met desktop tools en zoekmachines.

Ik heb gekozen om dit nu toch maar uit te zetten in Firefox, want het vertraagde bovendien het laden van websites:

Ik heb browser.safebrowsing.enable gedisabled en browser.safebrowsing.malware.enable
Je kan ze uitzetten door dit in te typen in je urlvenster van je browser: "about:config"

Zou Mozilla geld hiervoor krijgen van Google?
Spyware in Firefox?
Ik heb immers geen plug-ins van Google op die VM staan en bovendien staat er in verschillende fora dat dit standaard geleverd werd vanaf versie 3.5.x
Zeer verdacht...

Wow, ziek veel.
Elke maand meer dan 1/10de van je maandloon alleen al aan je telefoon

Ik belde voor ik werkte ongeveer 15 euro op per 6 maand :p
Nu ik een lief heb ongeveer 15 euro per 2 maand, maar is nog altijd niet super veel.

Met werk telefoontjes bij zit ik nu op ongeveer 30 euro per maand, gelukkig betaald door het werk, maar vind ik nog altijd veel geld...

Antagonist nog maar 1 negatieve ervaring mee voor een klant:
ze hebben een domein laten vervallen zonder verwittiging.
Deze klant heeft nadien extra moeten betalen voor het uit quarantaine halen van het domein.
Administratief foutje langs hun kant, dat ze toch op de klant aanrekenen.

Toen geen probleem van gemaakt.

Antagonist is in elk geval al stukken beter dan andere hosting providers.

Contract stelt niet wat er gebeurd indien 1 van de partijen niet voldoet aan de voorwaarden.

In dit geval zou een rechter het nietig kunnen verklaren, omdat 1 van de voorwaarden niet is voldaan.

Zou het onderling proberen te regelen,
eerst bellen, werkt dat na 3 dagen nog niet kun je het contract annuleren.
Er is sprake van eenzijdige contractbreuk.

Voor 30 euro verwacht ik nu niet meteen veel problemen hierbij...

Héhé, is goed.
Prettige avond nog :p

Stuur je email adres in een pb naar me en dan zal ik het bewijzen. (h)
Ben al die domme reacties beu.
Ben al sinds mijn 12 jaar bezig met het hacken van time trials van software en sinds mijn 14 jaar bezig met het hacken van websites.
Tot mijn 16-17, toen ben ik begonnen met GameColl en had ik daar geen tijd meer voor.
Nu heb ik deze hackersdraad weer opgepakt en ben ik volwaardig lid van het security audit team.

Verder kunnen dit soort reacties via PB!!!!!
Respecteer onze regels of je krijgt een banpunt!

[offtopic]Ik heb al meer dan 6 slechte ervaringen met Transip, dit is dus zeker niet 1x voorgevallen.
Gelieve geen uitspraken te doen zonder dit eerst te controleren.[/offtopic]

Ontopic aub.

[offtopic]Ik heb jullie dit niet verteld, maar op onze bestuursvergadering van maandag werd beslist om CriminalsPoint op te splitsen (h)
Geloof het of niet, maar het punt dat jullie hier aanhalen heeft hier ook mee te maken.

Maar meer gaan we ook niet verraden.
Voor meer details moet je V5 wachten.[/offtopic]

Speculaties zijn natuurlijk welkom, maar bijna niemand hier weet van iets, zelfs de volledige crew nog niet (enkel de belangrijksten weten het al).
Eens we ons projectplan hebben uitgewerkt zal dit worden voorgelegd aan de crew voor goedkeuring. (h)

Wat denk jij dat wij van plan zijn met CP?

Ps: geen schrik, CP blijft bestaan - we gaan het niet verkloten of onder DiMoWeb hangen!
Blijft een onafhankelijke site (h)
Je moet verder niet gaan zitten ruzie maken over iets waar je niets van weet!
Enkel suggesties en speculaties zijn toegestaan.

De opmerking dat ik niet zou luisteren is verder ongepast, want je weet niet of dit werkelijk zo is.
Gelieve dus niet zulke uitspraken te opperen...

Slechte ervaringen mee gehad:
1) Ik kan als Belg geen domeinen daar beheren, want een NL rekening nummer is verplicht - ik krijg soms domeinen gepusht via transip en dan kan ik ze niet verlengen...

2) Ik moet voor ik een domein wegverhuis vanuit Transip eerst de eigenaargegevens veranderen naar mijn eigen gegevens. Anders kan ik dit nadien zeer lastig doen (formulieren getekend verplicht).
Ik kan echter - zie hoger - dit niet betalen, want geen NL rekening nummer.

3) Ze verlengen het domein automatisch, je krijgt geen verwittiging op voorhand (NEE, zelfs niet als jij DENKT dat ze dit wel doen!)!!
Je moet het zelf op voorhand aangeven, of je bent de pineut.

4) Als ik een domein gepushed krijg, dan verhuis ik deze niet meteen om niet dubbel te moeten betalen, het is meestal immers pas al verlengd. Ik verhuis ze ongeveer een maand voor ze vervallen, zo bespaar ik op de verhuiskosten, want ze worden meteen ook verlengd.
Transip verwittigd niet, dus ik ben de pineut en moet dubbel betalen.

5) Transip heeft mega smerige voorwaarden. Uiteindelijk is de klant altijd de pineut en zijn fouten van Transip altijd voor rekening van de klant.

6) Als ze SIDN moeten contacteren om een verhuis in orde te krijgen, rekenen ze je soms onredelijk veel hoge kosten aan. Een collega van me heeft ooit een rekening gehad van 400 euro voor 1 domein te verhuizen... Dit omdat de papieren niet in orde waren, omdat - juist - Transip geen geldige handtekeningen gebruikt...
Ze worden vaak geweigerd door SIDN. En dan ben jij de pineut als je probeert het domein weg te krijgen...

7) Als jij aanvinkt dat ze echt het domein mogen verhuizen, dan is de uiteindelijke eigenaar de pineut, want Transip controleert dit niet! Ze stelen domeinen, en je kan er geen kl*ten tegen doen!
Bovendien rekenen ze je dan nog eens onredelijke tarieven aan voor hun dienstverlening, terwijl ze zelf in fout zijn!!!

Hun support is enkel vriendelijk tegen je als je klant wil worden bij hen, ze pesten je als je weg wil bij hen!

En zo zijn er nog verschillende zaken!
Nog nooit zo een smerige praktijken tegengekomen bij zo'n groot bedrijf...

De klant is de pineut, want als jij niet oppast maken ze fouten - en jij mag dat allemaal betalen.
Ik HAAT hun algemene voorwaarden - mega oneerlijk!

We zijn niet gevallen...
Gelieve niet te overdrijven.
Joshua: Dat was dus een geintje..

Het wordt zelfs sterker, ik ben ook niet aanwezig deze en volgende week, of enkel op rare momenten.
Er werd mij verzocht penetratie testen uit te voeren op de Amerikaanse website van The Royal Bank Of Scotland tussen 15u en 24u.
Ik kan dus enkel in de voormiddag of snel even tussen de werkuren (zoals nu) online komen (xD)

Argumenten kunnen privé

Snoopdogj en Abbadon, mannen, dimmen.
Stop met altijd alles te bekritiseren en leer er mee leven (xD)

Door jullie aanvallen op de crew, bereiken jullie het omgekeerde van wat jullie willen bereiken:

1) Ik heb net 30 minuten geinvesteerd in enkel en alleen dit topic, om alles te bekijken, na te lezen en uit te zoeken - inclusief deze reactie.
Puur verloren tijd voor iedereen en brengt niets bij.

2) Hoe meer jullie tegen de crew en de regels in gaan, hoe harder wij moeten optreden, hoe meer jullie in opstand komen, hoe harder wij moeten optreden, hoe meer jullie in opstand komen, hoe harder wij moeten optreden...
Jullie starten een vicieuze cirkel en juist met deze regels en juist door het strenge optreden van de crew kunnen wij dit doorbreken. Dankzij de banpunten weten we zeker dat jullie verplicht tijd hebben om af te koelen (h)
We kunnen er niet van uitgaan dat jullie de cirkel zelf doorbreken en stoppen, dus hebben wij geen keus dan meteen dit soort zaken aan te pakken.

3) De gemiddelde leeftijd op deze site vereist een strengere aanpak. We kunnen niet zomaar alles tolereren, want dan klagen de vaste leden dat de kwaliteit naar beneden gaat.
Wij verkiezen kwaliteit boven kwantiteit. Hiervoor moeten wij streng zijn.

4) Het banpunten systeem is misschien niet perfect, maar ervaring leert mij dat dit hetgene is waar mensen het snelste door leren.
Als we eerst 3x een waarschuwing geven, duurt het zeker ongeveer een maand voor we ze een eerste keer kunnen straffen.
Dit is veel te laat, het is beter om meteen te straffen na een misdrijf en telkens meer te straffen.
Doet men iets mis, krijgt men tijdelijk geen toegang meer.
Probleem opgelost. Meteen voelbaar.
Doet men weer iets mis, krijgt men nog langer geen toegang.
Denk je echt dat men dan op den duur hier niet op gaat letten?
Ik denk niet dat mensen zin hebben om 3 dagen zich niet te kunnen uitleven op deze site...

Bovendien ben ik radicaal tegen systemen van 3 maand ban.
3 Maand heeft statistich gezien 0,0 zin.
Men leert hier niets van, want men komt niet op de site
+ na 3 maanden ga ik echt niet opeens terug gaan naar een site, ik ben en blijf dan voorgoed weg.
Zelfs 2 maanden zorgt bij velen al dat men permanent weg blijft.

Ik ben voorstander van regelmatig kleine bans, toenemend in tijd, met vanaf de eerste keer al voelbare gevolgen. Net als in het echte leven.
Komaan, zelfs ik lach met waarschuwingen...
Met bans kan ik niet lachen, heb geen keuze, ik moet luisteren naar de regels van de site...

Ik weet dat dit zeeeeeer hatelijk voor jullie is,
maar is enige manier om deze site met zo veel kritikasters, leefbaar te houden :p

[offtopic]Ik maak niet zwart, ik vertel mijn persoonlijke ervaringen (h)
Verder vertel ik ook geen leugens en kan ik dit zwart op wit bewijzen in het geval van transip.
Zwart maken is vooral als je het niet kunt bewijzen.[/offtopic]

Idd, een grote stap vooruit.

Edit: