Ik heb voor iemand twee weken aan een site gewerkt en nu het op betalen aankomt heeft hij de wachtwoorden van de ADMIN en FTP veranderd.
Ik kan nog wel via phpmyadmin in de database.
Heeft iemand een oplossing, dat ik de database eerst aanpas en dan readonly maak, of dat ik een datebase bestand kan uploaden die een waarschuwingstekst weergeeft of een IP ban voo iedereen
Het is voor mij heel belangrijk om druk uit te oefenen omdat het over bijna twee duizend Euro gaat.
Ik post maar niet meer. Als ik lees dat iemand werk uitgevoerd heeft voor een ander en de ander heeft ondanks afspraken niet als "klant" ethisch gehandeld maar gewoon iemand opgelicht moet daar in mijn optiek wat aan te doen zijn.
In mijn veronderstelling is Loek de maker van de code en moet de klant gewoon dokken. Als de klant door gegevens te wijzigen op zijn systeem de toegang eenzijdig afbreekt en de code wel gebruikt in gebruik heeft is er nog een probleem bijgekomen voor de "klant". Het ongeautoriseerd gebruik maken van andermans eigendom.
Wat hier dan blijkbaar gebeurd is dan de klant willens en wetens Loek heeft weten te benadelen en lijkt het mij niet moeilijk om dan uit emails, MSN logfiles of zo een IPadres te halen..
Daarnaast is de FTP server van de klant juridisch gebruikt om een levancier te benadelen.. Ik zou het wel weten... Dus Loek, stuur me maar een e-mail.
Het wijzigen van data op andermans computer valt inderdaad onder computervredebreuk. Er moet wel aantoonbaar te maken zijn dat er sprake is van een leverings / afname afspraak. Dus bronnen.. e-mail, log's etc. Bij voorkeur een IP adres.
Het is gewoon als diefstal aan te merken.
Arian, ik zal in vervolg beter lezen :) Weer een leermoment gehad.
lekker heftig bezig John, ga zo door, is wel handig :P
[line]
Vraagje, bestaat er een zwarte lijst met mensen die website laten maken en niet betalen??
zo nee, lijkt mij een goed idee om die hier op te zetten.
?
Onbekende gebruiker
15-10-2008 19:16
Arjan Kapteijn schreef op 15.10.2008 17:35
Computervredebreuk omdat je de wachtwoorden van je eigen server aanpast? Whaha.
Inderdaad. Dat zou toch raar zijn, je eigen wachtwoord niet eens meer mogen aanpassen?
John Hendrikx schreef op 15.10.2008 18:39
Daarnaast is de FTP server van de klant juridisch gebruikt om een levancier te benadelen.. Ik zou het wel weten... Dus Loek, stuur me maar een e-mail.
Uhm. Ik volg dat effe niet, zal wel aan mij liggen, maar ik volg het niet en het klinkt wel belangrijk. Maar volgens mij klopt het niet helemaal.
John Hendrikx schreef op 15.10.2008 17:31
Dit is toevallig mijn vakgebied. Van PHP weet ik nog niet veel (komt nog wel hoop ik) maar van deze vorm van criminaliteit weet ik gelukkig wel wat, en hoe je het kunt aanpakken.
(Zie ook laatste stuk, quote eerder.)
Verder zou ik graag weten of jij een C.V. oid hebt, het klinkt mij eerder als van "Ik ben een hobbyboer, die effe wat heeft gelezen heeft, en nu het tot mijn vakgebied heeft verklaard". Php is ook mijn vakgebied, maar ik heb geen C.V. oid dus kan het niet op die manier bewijzen.
John Hendrikx schreef op 15.10.2008 18:39
Het wijzigen van data op andermans computer valt inderdaad onder computervredebreuk. Er moet wel aantoonbaar te maken zijn dat er sprake is van een leverings / afname afspraak. Dus bronnen.. e-mail, log's etc. Bij voorkeur een IP adres.
De klant is eigenaar van de server, hij beheert de server en dus ook alle useraccounts. Verder is er geen sprake van computervredebreuk aangezien het dus op die klant z'n server staat...
John Hendrikx schreef op 15.10.2008 17:31
Wellicht handig om een lijst aan te leggen van Mensen / Ip adressen van "klanten" en deze op een safe plaats te archiveren. Bij de intake gesprekken het hier niet over hebben. In je eventuele documentatie wel aangeven dat je klant data opslaat om administratieve redenen.
Volgens mij ga je hiermee privacy problemen krijgen aangezien je persoonsgegevens opslaat zonder toestemming van de klant. Deze moet weten dat je dat opslaat omdat hij deze gegevens moet kunnen inzien en of wijzigen.
Jonathan schreef op 15.10.2008 18:22
Als je even een dump van de database aan mij stuurt, kan ik wel even kijken wat slim is om te veranderen...
Mij lijkt dit ook niet helemaal slim om te gaan doen, hier pleeg je dus wel computervredebreuk aangezien je de klant's data aanpast...
Zover ik weet bestaat er geen officiƫle zwarte lijst. Er is wel een lijst van "verdachte IP adressen" en de ISP's zijn sinds een paar jaar VERPLICHT om de persoonsgegevens vrij te geven aan opsporingsambtenaren als het gaat om mogelijk strafbaar handelen.
p.s. Ik ben geen hobby figuur die dit van "lezen" of "hebben horen zeggen" heeft. maar ik sluit dan maar de discussie. Eerst de feiten dan het onderzoek, dan eventueel de rest. Als ik verkeerd gelezen heb spijt me dat. Maar ik kap met de discussie. Suc6.
Even naar het idee van Loran.
Als je een IP lijst opzet moet je ook een controlemiddel hebben. Dat kun je doen (zag ik laatst) door een ip-nummerbestand methode te hanteren op een MySQL server. Je laat de code die je maakt naar een sqltabel ergens op een sql server die aan internet hangt verwijzen en zodra je NIET in het bestand staat krijg je een error. Een soort positieve registratie database.
Dan krijg je zoiets.:
You are not authorized to use this script. Your IP and referer address have been reported to [name]. Command denied to user 'table_lic'@'072-223-033-024.PN.nl'
Dat werkt aardig. Eerst betalen, betaal je niet wordt je IP adres niet in de tabel gezet en kun je de code gewoonweg niet gebruiken.
Zo werkt VABASE.com met hun software. Kun je wel omzeilen, maar dan moet je alles nalopen. Kost tijd, kun je maar beter zelf bouwen, of gewoonweg je afspraak nakomen.
Een optie... ??
Andersom (negatieve registratie) kan ook. De verwijzingen naar een licentie tabel maken vanuit diverse scripts. En kom je niet op de lijst voor kun je de software gewoonweg gebruiken. Sta je met je IP adres in de tabel. Jammer dan.
Beide manieren hebben pro's en contra's maar wel interessant als je de eigen gemaakte code wilt beveiligen tegen ongautoriseerd gebruik.
greetz,
John
?
Onbekende gebruiker
15-10-2008 19:35
je kunt ook het pw van de database veranderen, en de wachtwoorden staan toch ook in de database, maak er een account bij ;)
Kun je geen database read only maken default? En een user account verwijzen naar dat adres? waarbij je het beheersaccount uiteraard niet prijsgeeft.??
Even een copy van een stukje script van een partij die dit gemaakt heeft, ik heb wel even de data aangepast zodat de verwijzingen weg zijn;
------
lc.php
<?
//Do not edit this file as it will cause your scripts to function incorrectly.
$username="table_lic";
$password="CrTWHy1*a";
$database="[name]_URL";
//End Edit
$hostname="12.345.0.5";
/*-----------------------------------------------------------------*/
mysql_connect($hostname,$username,$password);
/*-----------------------------------------------------------------*/
@mysql_select_db($database) or die("Error Connecting to the database");
?>
de sql vergelijkingen kan ik niet goed interpreteren maar het werkt wel...
greetz,
