/ Forside / Teknologi / Hardware / Mac / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Mac
#NavnPoint
UlrikB 4810
kipros 1675
Klaudi 1010
myg 920
pifo 907
Stouenberg 838
molokyle 830
Bille1948 815
rotw 760
10  EXTERMINA.. 750
Avalonia.net - Snyd og dårlig sikkerhed
Fra : DrBREdk@gmail.com


Dato : 02-02-06 09:54

Hej,

Jeg skriver for at advare om mine dårlige erfaringer med webhotellet
Avalonia.net, samt for at skabe en debat om dette.

Historien startede i efteråret 2004, hvor jeg fik et webhotel, med
tilhørende domæne, som min far havde vundet hos MacBruger
(www.macbruger.dk). Jeg var meget glad for dette webhotel, da jeg
længe havde savnet et sted at programmere PHP på et afslappet,
ikke-professionelt, plan.

Jeg ringede til Avalonia.net for at høre hvordan jeg skulle indløse
præmien, og jeg fik at vide at jeg skulle faxe en domæneformular og
skrive "macbruger" på den. Her efter gik der 2 døgn, og jeg havde et
fuldt ud virkende webhotel som så strålende ud -- udefra. Hostet på
mac-servere, og med en sikkerhed der kunne konkurrere med FBI og CIA,
og en support der nærmest serverede kaffe - og så endda helt gratis!

.... Men fornøjelsen varede ikke så længe. Kort efter finder jeg ved
en tilfældighed ud af at deres system er fyldt med alvorlige fejl. Jeg
er ikke nogen serveradministrator selv, og har da kun indblik fra
PHP-siden, men det er ikke en fejl der burde kunne ske - og slet ikke
sådan et sted. Fejlen gik ud på at man kunne lave et script (Ekstremt
simpelt, max 5 linier kode som enhver PHP-begynder kan lave) som gik
tilbage fra ens mappe ( "../" ), og dermed få adgang til samtlige
kunder på den server man lå på. Flere af disse var webshops med
dankortbetaling. Man kunne ikke blot se hvilke filer der lå, men også
åbne, redigere og slette dem. Hvis jeg var ondsindet kunne jeg tilmed
gå længere tilbage end den mappe og slette systemfiler, redigere i
indstillinger eller meget andet ubehageligt. Endvidere er dette en ting
der ikke på servere (Efter min viden) kan eller bliver logget (Da alle
webhoteller tilsyneladende kørte under samme bruger) - så det ville
kunne ske med stor anonymitet.
Jeg kontakter den efterfølgende dag Avalonia.net om fejlen, som
påstår at "det ikke er noget de _forventer_ at brugerne udnytter". I
sig selv en æddel tanke - men sikkerhed baseret på ædle tanker
hedder efter min mening Windows (Ja, det var et flamebait ). De
lover tilmed at denne tilsyneladende trivielle "fejl" vil blive rettet
- men der sker intet selv 14 dage efter mailen.

Jeg holder her efter op med at benytte webhotellet og overdrager
domænet til nogle kollegaer, som herefter bruger, og jeg kontakter
Avalonia.net mundtligt og forklarer at jeg ikke længere agter at bruge
webhotellet. Jeg har ikke skrevet nogle bindende kontrakter under (Blot
en domænebestillingsformular uden nogen som helst bindinger på og
heller ikke henvisninger til dette) - så jeg forventer at de kan tage
en besked. Der går et par uger og jeg modtager to breve fra Avalonia -
et med en regning på over 1500,- kr for domæne og et års hosting.
Jeg bliver naturligvis forskrækket over dette da jeg var på SU og
ikke havde plads i økonomien til den slags under mine studier. Jeg
skynder mig og åbne det næste brev som er en "hovsa, ups - bare glem
det andet brev", og en ny regning på omkring 250,- kr.
Jeg betaler efterfølgende dag denne regning i håb om at jeg aldrig
mere skal høre noget fra dette selskab (selv om min gevinst
inkluderede et domæne var det meget dårligt formuleret, og jeg
tænkte ikke jeg ville kæmpe med dem, eftersom de trods alt havde min
underskrift på en domænebestillingsformular).

Der går nu næsten et år og det bliver den 1. februar 2006. Jeg
modtager nu endnu et brev fra Avalonia.net. Det er endnu en regning på
omkring 1300,- kr for endnu et års hosting. Jeg ringer straks til dem
(2-2-06 8:10) for pænt at høre hvad meningen er, og personen jeg får
fat i beder mig højlydt "slappe af" flere gange. Han kludrer
tydeligtvis rundt i nogle systemer, hvorefter jeg for at være
behjælpelig siger at der før har været fejl med deres fakturasystem
og mig, og at jeg egentligt er skuffet over at jeg måtte betale
regningen for domænet dengang, da jeg forstod gaven som at der var
tilhørende domæne. Manden griner og fortæller at de også grinte
lidt dengang de opdagede det, og jeg da bare kunne lade være med at
være så dum at betale regningen (Dvs. de sender regninger der ikke er
berettiget og intet gør når de modtager betaling for sådanne).
Han finder da min faktura i hans system, og fortæller mig at det hele
er ordnet. Jeg beder om en kreditnota for at være på den sikre side,
hvor efter han nærmest fornærmet fortæller mig at det da ville være
spild af tid. Han indvilliger dog i at sende mig sådan en, og samtalen
ophører.

Det var min erfaring med Avalonia.net - og jeg må ærligt talt sige
jeg ikke vil rekommendere det til nogen. Jeg endte med at betale 250,-
kr for en enkelt måneds hosting samt en masse problemer. Desuden var
deres sikkerhed forkastelig på det tidspunkt, og den server mit site
befandt sig på.


Mvh,
Skuffet Avalonia-kunde


 
 
Hanne Hertzog (02-02-2006)
Kommentar
Fra : Hanne Hertzog


Dato : 02-02-06 15:31

DrBREdk@gmail.com on torsdag 2. februar 2006 at 9:53 +0100 wrote:
>Det var min erfaring med Avalonia.net - og jeg må ærligt talt sige
>jeg ikke vil rekommendere det til nogen. Jeg endte med at betale 250,-
>kr for en enkelt måneds hosting samt en masse problemer. Desuden var
>deres sikkerhed forkastelig på det tidspunkt, og den server mit site
>befandt sig på.
>
>
>Mvh,
>Skuffet Avalonia-kunde

hej, Uden navn

Sådan som jeg læser det, er det domaine navn, du har betalt for og det
ejer du stadig, hvis altså du fornyer det hvert år hos domaine.dk ( hedder
det vist?)

Så vil jeg lige sige, at vi- min mands firma, har flere domainer hostet
hos Avalonia og har været yderst tilfredse
kunder i 5 år. Vi har aldrig virus og vi har til enhver tid fået
øjeblikkelig hjælp, hvis vi har haft problemmer. Disse har som regel været
fra vores teleudbyder eller at folk har sendt nogle mærkelige PC
kæmpefiler, hvor der har været problemmer med Outlook, som min mand bruger
på sin PCHvis jeg skal vudere, så har vi højst haft et problem pr.år!
Vi har des for uden aldrig oplevet, at vores sider har været gået ned.

Selv har jeg aldrig haft problemmer med min Mac. Har end og ( lidt dumt af
mig) aldrig haft et virus program på min maskine i nu snart 10 år.

Vi har også i rigtig mange år haft MacBrugers hjemmeside hostet gratis hos
Avalonia, til vores fulde tilfredshed.
Heller ikke her, har vi haft uorden i driften.

Det der meget beklageligt, at du har fået, så dårlig erfaring/behandling
af Avalonia. Jeg har ikke det mindste begreb på al teknikken du skriver
om. Så det kan jeg ikke deltage i, men det var jo meningen, at den der fik
denne gave, skulle blive glad og tilfreds.

venlig hilsen Hanne Hertzog

www.macbruger.dk
____________________
Største og ældste forening
for MacBrugere i Danmark




Preben Bødker Nielse~ (02-02-2006)
Kommentar
Fra : Preben Bødker Nielse~


Dato : 02-02-06 20:32

Hanne Hertzog <hanne@enterpol.dk> wrote:

> Jeg har ikke det mindste begreb på al teknikken du skriver
> om. Så det kan jeg ikke deltage i,

Det er meget simplet, Hanne.
Han har opdaget, at man ved hjælp af et simpelt script, kan komme til
samtlige brugeres mapper på webserveren.


/Preben
--
http://www.ravnekrogen.dk/gallery
preben AT ravnekrogen.dk . ICQ 138052172 . AIM/Skype prebenbodker

Jesper Haaber Gyllin~ (03-02-2006)
Kommentar
Fra : Jesper Haaber Gyllin~


Dato : 03-02-06 14:55

Preben Bødker Nielsen <spam@events.dk> wrote:

> Hanne Hertzog <hanne@enterpol.dk> wrote:
>
> > Jeg har ikke det mindste begreb på al teknikken du skriver
> > om. Så det kan jeg ikke deltage i,
>
> Det er meget simplet, Hanne.
> Han har opdaget, at man ved hjælp af et simpelt script, kan komme til
> samtlige brugeres mapper på webserveren.

Men kan pille og ændre i dem ?

--
med venlig hilsen Jesper Haaber Gylling
http://www.gylling.net/
AIM/iChat: macnerd1965 + MSN: jesper@gylling.net
Skype: jesperhaabergylling

Thomas von Hassel (03-02-2006)
Kommentar
Fra : Thomas von Hassel


Dato : 03-02-06 19:33

Jesper Haaber Gylling <jesper@gylling.net> wrote:

> Preben Bødker Nielsen <spam@events.dk> wrote:
>
> > Hanne Hertzog <hanne@enterpol.dk> wrote:
> >
> > > Jeg har ikke det mindste begreb på al teknikken du skriver
> > > om. Så det kan jeg ikke deltage i,
> >
> > Det er meget simplet, Hanne.
> > Han har opdaget, at man ved hjælp af et simpelt script, kan komme til
> > samtlige brugeres mapper på webserveren.
>
> Men kan pille og ændre i dem ?


hvis det har været sat op som jeg tror det har været sat op .. jep

/thomas


--
A: Because it messes up the order in which people normally read text.
Q: Why is top-posting such a bad thing?
A: Top-posting aka TOFU (Top-post Over, Full quote Under)
Q: What is the most annoying thing on usenet?

Peter Makholm (03-02-2006)
Kommentar
Fra : Peter Makholm


Dato : 03-02-06 07:10

spam@events.dk (Preben Bødker Nielsen) writes:

> Hanne Hertzog <hanne@enterpol.dk> wrote:
>
>> Jeg har ikke det mindste begreb på al teknikken du skriver
>> om. Så det kan jeg ikke deltage i,
>
> Det er meget simplet, Hanne.
> Han har opdaget, at man ved hjælp af et simpelt script, kan komme til
> samtlige brugeres mapper på webserveren.

Og hvis det så bare var det, men hvis man ikke tænker på sikkerhed når
man koder, så kompromiterer man ikke kun sit eget websted, men alla de
websteder Avalonia hoster.

Det kan godt være at jeg kunne tænke mig tilfælde hvor jeg kunne stole
på "kunders" gode hensigter, men *aldrig* på deres evner til at
programmere sikkerhedskritiske webprogrammer.

--
Peter Makholm | Wisdom has two parts:
peter@makholm.net | 1) having a lot to say, and
http://hacking.dk | 2) not saying it

Søg
Reklame
Statistik
Spørgsmål : 177557
Tips : 31968
Nyheder : 719565
Indlæg : 6408885
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste