Menu

Blog

ImageMagick probleem: is mijn site in gevaar?

Recentelijk is een omvangrijk probleem gevonden in ImageMagick. Dit stukje software wordt vaak op webservers geïnstalleerd en gebruikt om...

Recentelijk is een omvangrijk probleem gevonden in ImageMagick. Dit stukje software wordt vaak op webservers geïnstalleerd en gebruikt om automatisch afbeeldingen te verkleinen. Indien uw website dus automatisch afbeeldingen verkleint is er een redelijke kans aanwezig dat de website gebruik maakt van ImageMagick.

De issue met de naam ImageTrick maakt het mogelijk om uitvoerbare bestanden te uploaden die zich vermommen als afbeeldingen. ImageMagick verwerkt ze en daarmee wordt het bestand uitgevoerd. Zodra iemand met kwade intenties een bestand kan uitvoeren op de server kan in principe de volledige server over genomen worden.

Voor de meeste websites zal het gevaar beperkt zijn. Het gaat alleen om websites waar bezoekers zelf afbeeldingen kunnen uploaden die vervolgens verkleind worden met ImageMagick. Denk bijvoorbeeld aan een reactie systeem waarop gebruikers een profielfoto kunnen uploaden, maar ook een webshop waar men een logo kan uploaden om op een product te plaatsen. Indien alleen afbeeldingen worden gebruikt die door u zelf geupload zijn is het risico beperkt.

De oplossing

ImageMagick heeft nog geen update uitgebracht om het probleem te verhelpen, ze zijn hier wel druk mee bezig. Er zijn voor nu een aantal opties om de issue af te vangen. De meest voor de hand liggende is te stoppen met het gebruik van ImageMagick. Als alternatief wordt met PHP de GD Library meegeleverd. Dit vraagt wel enige aanpassingen in de code van de website.

Een betere oplossing is het aanpassen van een bestand van ImageMagick. Het gaat hierbij om policy.xml. Deze is standaard te vinden in /etc/ImageMagick/policy.xml op de server. Daarin moet het volgende komen te staan:

<policymap>
<policy domain="coder" rights="none" pattern="EPHEMERAL" />
<policy domain="coder" rights="none" pattern="URL" />
<policy domain="coder" rights="none" pattern="HTTPS" />
<policy domain="coder" rights="none" pattern="MVG" />
<policy domain="coder" rights="none" pattern="MSL" />
</policymap>

Tot slot kan ook in de code van de website gecontroleerd worden of bestanden geen gevaarlijke data bevatten. Deze oplossing vraagt dus wederom om aanpassing aan de website.

Typify

Indien uw website bij Typify gehost wordt hoeft u zich geen zorgen te maken. Wij zijn direct alle servers nagelopen en hebben de oplossing geïmplementeerd. Mocht Typify niet verantwoordelijk zijn voor de hosting van de website dan is het probleem waarschijnlijk ook niet door ons op te lossen in verband met beperkte toegang tot de servers. Vraag dan bij de hosting provider na of de issue opgepakt is.

Bent u zelf verantwoordelijk voor uw hosting? U kunt ons altijd om advies vragen.

5-05-2016 door

Hosten in de cloud: Amazon

De cloud is het afgelopen jaar getransformeerd van een technisch- naar een marketing begrip. De term is relatief nieuw en komt daarom goed over...

De cloud is het afgelopen jaar getransformeerd van een technisch- naar een marketing begrip. De term is relatief nieuw en komt daarom goed over op reclame uitingen van grote en kleine softwarebedrijven. Microsoft biedt Azure, Google biedt Drive en Apple biedt iCloud. Dankzij de schaalvergroting van dergelijke bedrijven kunnen kleinere bedrijven en particulieren relatief goedkoop gebruik maken van enorme opslag- en rekencapaciteit.

De term cloud kan zowel op de infrastructuur als op software betrekking hebben. Een online applicatie als Google Drive (opvolger van Google Docs) maakt het mogelijk om in een webbrowser waar ook ter wereld aan documenten te werken. We spreken dan van SaaS, Software as a Service. De dienst Dropbox maakt het daarentegen mogelijk om bestanden wereldwijd online beschikbaar te maken voor een gebruiker. Dropbox is een typische IaaS oplossing, Infrastructure as a Service.

Ook Typify kiest voor zwaardere projecten voor de cloud. We hebben nu enkele projecten bij de infrastructuur van Amazon ondergebracht. Dankzij de Elastic Computing Cloud (EC2) kan tegen relatief lage kosten een server opgestart worden. Deze is geheel naar eigen wens in te richten en kan opgeschaald worden zodra dat nodig is.

Daarnaast biedt Amazon allerlei diensten aan die direct als ‘best practise’ afgenomen kunnen worden. Denk hierbij aan een database dienst, grote opslagvoorzieningen, backups, media servers en zoekmachines. Amazon zorgt voor de optimalisatie en de gebruiker betaalt een minimaal bedrag per seconde voor het gebruik.

De diensten draaien op enorm zware servers in de Amazon datacenters, verspreid over alle continenten. Als gebruiker huur je een stukje van een (of meerdere) server(s). Er wordt gebruik gemaakt van virtuele machines om een dergelijke server op te delen in meerdere kleine servers. Dankzij de enorme schaal waarop Amazon dit kan doen blijven de kosten relatief laag.

Voor meer informatie kunt u terecht bij Amazon of vrijblijvend contact met Typify opnemen. Wij bieden ook ondersteuning bij de inrichting van Amazon cloud servers.

13-01-2016 door

Typify WordPress Code Library

Typify heeft een sterke voorkeur voor Open Source software. Hier zijn genoeg redenen voor, een belangrijke is de flexibiliteit. Een systeem als...

Typify heeft een sterke voorkeur voor Open Source software. Hier zijn genoeg redenen voor, een belangrijke is de flexibiliteit. Een systeem als WordPress wordt door leveranciers van commerciële pakketten vaak weggezet als beperkt in functionaliteit en schaalbaarheid. In praktijk blijkt niets minder waar.

Een content management systeem als WordPress wordt standaard met een doel geleverd. Er wordt voornamelijk de nadruk gelegd op bloggen of nieuwsberichten. Door het aanpassen van enkele instellingen kunnen we die nadruk al vrij snel wijzigen.

Daarnaast biedt WordPress voor ontwikkelaars een complete toolkit. Op vele plekken in de code zijn zogenoemde hooks opgenomen. Programmeurs kunnen hun plugins ‘vasthaken’ in de WordPress code en zo de achterkant en voorkant compleet wijzigen. Typify heeft in de loop der tijd een hoop ervaring opgedaan met de wensen en eisen van klanten. Op de punten waar WordPress hier niet aan voldoet hebben wij wijzigen gedaan, zonder ook maar een letter WordPress code aan te passen.

Dankzij onze uitgebreide code library zijn we in staat om snel websites op te zetten. We kunnen verschillende typen entiteiten met verschillende velden definiëren die direct in het CMS te onderhouden zijn. Denk bijvoorbeeld aan een Testimonials pagina. Met enkele regels code creëren we een nieuw type ‘testimonials’ met de velden ‘organisatie’, ‘werknemer’, ‘quote’ en ‘afbeelding’. Dit resulteert in een nieuwe sectie binnen WordPress waar nieuwe testimonials aangemaakt kunnen worden. De afbeelding wordt uit de media library van WordPress gehaald. Op de testimonials pagina worden alle testimonials vervolgens in de juiste volgorde op gestructureerde wijze weergegeven.

Zo zijn er nog vele andere mogelijkheden die WordPress biedt en waar Typify een API aan vastgebouwd heeft. Wilt u meer weten? Wij laten u graag alle mogelijkheden zien!

10-09-2015 door

De opkomst van open source

Typify geeft sterk de voorkeur aan open source systemen. We werken graag met een open source CMS als WordPress of Drupal, maar ook met...

Typify geeft sterk de voorkeur aan open source systemen. We werken graag met een open source CMS als WordPress of Drupal, maar ook met frameworks als jQuery, Ruby on Rails of CakePHP. Per project bekijken wij welke systemen het beste aansluiten bij de wensen van onze klanten.

De gedachte dat betalen voor software betere kwaliteit en ondersteuning oplevert heerst nog vaak onder klanten. Deze gedachte is achterhaald door de vele softwarebedrijven die hun licentiesoftware onder het open source label uitbrengen. Open source betekent namelijk niet per definitie dat de software ook gratis moet zijn. Zodra de broncode inzichtelijk gemaakt wordt spreken we van open source. Ondersteuning wordt daarnaast vaak door derde partijen geleverd.

Juist de transparantie naar de wereld wordt als pluspunt ervaren. Niet alleen kunnen gebruikers zelf verder ontwikkelen aan de software, er is ook een zekerheid dat de code constant onder de loep ligt als het gaat om veiligheid en efficiëntie. Door open source te gebruiken maken wij onze klanten niet afhankelijk van ons. Dit betekent ook dat wij altijd ons best zullen moeten blijven doen om onze klanten tevreden te houden.

Wanneer we kijken naar het gebruik van open source software zien we in de CMS wereld al langer een verschuiving. Maar liefst 60% van de CMS gedreven websites draait op WordPress. Daartoe behoren ook grote websites als TechCrunch en de New York Times. Overheden eisen steeds meer open source om de staatsveiligheid te kunnen garanderen. Daarnaast zien we in de commerciële sector ook een toename. In 2012 gaf 60% van de bedrijven aan gebruik te maken van Open Source. Dit percentage stijgt ieder jaar. De verdere professionalisering van pakketten als OpenERP en SugarCRM dragen hier zeker aan bij.

Voor meer informatie over de voordelen, nadelen en implementatie van open source software kunt u vrijblijvend contact met Typify opnemen.

23-04-2015 door

‘Help, mijn website is gehackt!’

Dagelijks worden we geconfronteerd met nieuwe gevallen van datalekken. We zijn er zo aan gewend geraakt om onze gegevens overal achter te laten...

Dagelijks worden we geconfronteerd met nieuwe gevallen van datalekken. We zijn er zo aan gewend geraakt om onze gegevens overal achter te laten dat we er al lang geen grip meer op hebben. Zelfs bij de grote gerenommeerde partijen als Apple en het Amerikaanse Staples verdwijnt onze data in de verkeerde handen.

Veel eigenaren van kleinere websites denken dat zij zelf geen interessant doelwit zijn voor hackers. Niets is minder waar! Om dit te begrijpen is het belangrijk om te weten hoe hackers te werk gaan en wat hun doel is.

Het doel

Een hack kan meerdere doeleinden hebben. Daarbij laten we politieke en bedrijfseconomische redenen nog even buiten beschouwing, deze liggen voor de hand. Bij bekende partijen gaat het vaak om de kick. Welk digitaal wonderkind droomt er nu niet van om het Apple netwerk binnen te dringen? Er zijn ook genoeg van deze hackers die na het ontdekken van een lek dit melden bij het bedrijf in kwestie. Een andere optie is dat de hacker de partij in kwestie schade toe wil brengen. Dit kan in de vorm van reputatieschade of door daadwerkelijk data te verwijderen. Deze dreiging kan ook uit je eigen omgeving komen!

Bij kleinere websites gaat het vaak om het plaatsen van backlinks, politieke boodschappen of pure rekenkracht. Door backlinks aan te brengen naar eigen websites worden deze hoger gewaardeerd door zoekmachines. Vervolgens wordt op deze websites weer geld verdiend met bijvoorbeeld advertenties.

Wanneer het om pure rekenkracht gaat blijft de hack vaak verborgen. Men gebruikt de server capaciteit om bijvoorbeeld bitcoins te genereren. Er kan ook spam verstuurd worden of de bandbreedte wordt gebruikt voor zogenoemde DDOS aanvallen op andere websites. Door vele (gehackte) servers oproepen te laten doen richting een website zal deze website het verkeer uiteindelijk niet meer aankunnen en onbereikbaar worden.

In het geval van politieke boodschappen wordt de website vervangen met een pagina waarop de boodschap vermeld staat. Dit zijn vaak boodschappen die betrekking hebben op conflictgebieden.

Werkwijze

In het ontwikkelen van websites worden vaak dezelfde fouten gemaakt. Voor een webontwikkelaar is het vooral van belang om in de gaten te houden welke gegevens van een gebruiker af komen. Deze gegevens moeten ten alle tijden gecontroleerd worden op malafide stukken inhoud. Sommige gegevens komen duidelijk van gebruikers af, denk bijvoorbeeld aan een zoek- of loginformulier. Een gebruiker typt het zoekwoord in en deze wordt naar de server verstuurd. Sommige gegevens worden echter door een browser op de achtergrond gegenereerd. Denk hierbij aan cookies of parameters in de link. Ook deze kunnen door kwaadwillende gebruikers aangepast zijn.

Deze techniek wordt vaak misbruikt om database commando’s mee te sturen. Doordat de zoekopdracht direct in een commando op de database verwerkt wordt kan een hacker hier een extra commando aan toevoegen en de database in alle mogelijke vormen manipuleren. Zo zijn er nog vele andere technieken die gebruikt worden om een website te hacken.

Hackers hebben dan ook dag en nacht software draaien die het internet afstruinen (met bijvoorbeeld de hulp van Google) op zoek naar dergelijke lekken. Als er eenmaal één gevonden is gaat er een alarmbelletje rinkelen en kan de hacker aan de slag gaan. Soms gaat dit laatste zelfs geautomatiseerd.

Daarnaast zijn er ook (CMS) pakketten en componenten die bekende veiligheidslekken bevatten. Deze worden vaak snel opgelost, maar daarbij is het wel van belang dat alle gebruikers deze pakketten ook van updates voorzien. Hier gaat het vaak mis. Ook daar maken hackers gretig gebruik van.

Vergelijkbare software zoekt het internet af naar bepaalde pakketten. Deze bevatten altijd bepaalde bestanden. Door te zoeken naar deze bestanden weet een dergelijk stuk software dat de website gebruik maakt van het pakket. Vervolgens test de software of er een versie gebruikt wordt die een bekend lek heeft.

Dezelfde fout wordt ook gemaakt met software op de server. Het gaat dan niet zozeer om de website, maar om de database software, het besturingssysteem of het beheerpanel. Ook deze bevatten regelmatig lekken en moeten van updates worden voorzien.

Bij gerichte hacks zien we overigens vaak terug dat brute force software gebruikt wordt. Op het loginscherm wordt geautomatiseerd een reeks van gebruikersnamen en wachtwoorden geprobeerd tot de gebruiker binnen komt. Dit is bijvoorbeeld ook het geval geweest bij de recente Apple iCloud hack.

Preventie

Om bovenstaand scenario te voorkomen zijn er een aantal zaken waar rekening mee gehouden moet worden. Het laatste scenario (brute force hacks) zijn het makkelijkst te voorkomen. Zorg voor een lang en goed wachtwoord. Ook is het belangrijk om geen voorspelbare gebruikersnaam (zoals ‘admin’) te gebruiken.

Voor de overige zaken is het van belang om met de juiste ontwikkelaars in zee te gaan. Het gebruik van bestaande CMS pakketten en andere componenten is alleen maar sterk aan te raden. Dit scheelt niet alleen in de kosten. Dergelijke software is uitgebreid onder de loep gelegd en  de kans op lekken is daardoor veel kleiner. Webontwikkelaars moeten de componenten ook gebruiken zoals ze bedoeld zijn. Hierdoor zijn veel voorkomende fouten al afgevangen. Daarnaast is het uitvoeren van updates van groot belang.

Wij zien zelf ook vaak websites die gehackt zijn door het gebruik van plugins en modules voor verschillende CMS systemen. Het systeem zelf is dan vaak wel veilig, maar de gebruikte plugins zijn dit niet altijd. Deze worden door hobbyisten in de vrije tijd in elkaar gezet. Vaak ontbreekt het hen aan de kennis op het gebied van beveiliging. Typify gebruikt daarom alleen externe componenten van gerenommeerde partijen.

Ben je bang voor hackers of heb je hier recentelijk mee te maken gehad? Neem vrijblijvend contact met ons op voor een advies op maat.

25-10-2014 door

De ‘livegang’ van een website

De livegang van uw website is een bijzonder moment. De website is gebouwd en gevuld, het harde werken wordt eindelijk beloond met een...

De livegang van uw website is een bijzonder moment. De website is gebouwd en gevuld, het harde werken wordt eindelijk beloond met een spetterende lancering. Het is dan ook belangrijk dat de livegang zorgvuldig uitgevoerd wordt. Er komt namelijk meer bij kijken dan men vaak verwacht.

Het begint met de website overzetten naar een productie omgeving. Dit is de uiteindelijke server (of servers) waar de website op draait. De server wordt ingericht met de benodigde software en geconfigureerd voor de website. Vervolgens worden de bestanden en database over gezet naar deze server. De configuratie wordt aangepast aan de productieomgeving. Alle verwijzigingen in de database worden aangepast naar het uiteindelijke domein.

DNS Omzetten

Indien de hele checklist is afgelopen kan het DNS omgezet worden. Hierbij wordt de verwijzing van het domein naam aangepast om naar de nieuwe server te verwijzen. Het Domain Name System is een gedistribueerd systeem van servers. Er zijn in de wereld een aantal servers waar alle domeinnamen met bijbehorend uniek (IP) adres in geregistreerd staan. Hosting providers kunnen deze lijsten aanpassen. Bij het verhuizen van een domein wordt het recht om een domein aan te passen dan ook overgeheveld naar een andere hosting provider.

Over de hele wereld zijn DNS servers beschikbaar. Iedere internet provider heeft eigen DNS servers waar hun klanten mee verbinden. Deze DNS servers vragen met enige regelmaat de aangepaste lijst van domeinnamen op bij de master DNS servers. Dit gedistribueerde systeem veroorzaakt vertraging bij de livegang van een website. Zodra de verwijzing bij de master DNS servers ingevoerd is dienen deze nog gesynchroniseerd te worden met alle DNS servers over de hele wereld. Over het algemeen duurt het een uur of 2 voordat de wijzigingen doorgevoerd zijn. Er is een maximum van 24 uur voordat de wijziging wereldwijd doorgevoerd is.

Kortom, bij het live zetten van een website komt de nodige arbeid kijken. Het aanpassen van de DNS kost daarnaast nog de nodige tijd. Een lancering kan dan ook niet zonder meer op de minuut gepland worden.

23-03-2014 door

Bel, mail of volg ons

Bel ons op: 070 780 11 55
Copyright © 2004 - 2017 Internetbureau Typify B.V. Regulusweg 11, 2516 AC DEN HAAG

Contact info

Sluiten
Internetbureau Typify B.V.
Regulusweg 11
2516 AC Den Haag
Bel of Fax ons:
Tel:070 780 11 55
Fax:070 780 11 52
E-mail ons:
info@typify.nl

De velden met een * zijn nodig voor een juiste verzending van dit bericht.