Log ind
Publiceret d. 9. oktober 2008 kl. 14.28
ANNONCE:
Det fortæller Steven Snedker, der er teknisk supporter for Journalisten.dk.
Fejlen betød, at tilfældige besøgende i dagevis havde mulighed for frit at manipulere med indhold, udseende og brugerettigheder på alle niveauer i sidens cms-system.
Disk-crash ødelagde database
I forbindelse med disk-nedbruddet gik en del af sidens database-tabeller ifølge Steven Snedker i stykker.
Derfor gendannende Journalisten.dk nogle af disse fra en back-up, mens andre kunne repareres via MySQL's eget reparationsværktøj, fortæller Steven Snedker.
Når besøgende alligevel fik adgang til systemet, skyldes det ifølge Steven Snedker, at de session-cookies, som fandtes i systemets database, var i stykker efter gendannelsen.
Derfor opstod der formentlig et såkaldt upassende match, når systemet sammenlignede de besøgendes cookie med de cookies, som fandtes i session-tabellen.
Fra nyhedsite til Wiki
"Onsdag får vi så at vide, at vi lige pludselig er blevet til en Wiki. At nogen kan komme ind og være administrator på trods af, at de ikke burde have den rette cookie liggende i deres browser," siger Steven Snedker.
Løsningen på problemet var derfor manuelt at slette alle session-cookies med administrator-rettigheder i databasen.
Det foregik natten til torsdag. Derfor burde det nu ikke længere være muligt for udenforstående at få adgang til Dansk Journalistforbunds fagblad på nettet.
Når det var nødvendigt at forsøge at genskabe session-tabellen over cookies i stedet for blot at installere den fra en backup, så skyldes det, at tabellen løbende bliver opdateret ved hvert besøg.
Derfor ville en back-up meget hurtigt bliver forældet, forklarer Steven Snedker.
"Det første man gør er at slette session-tabellen. Jo færre administrator-cookies der er, jo færre forkerte matches kan der komme," siger han.
Næppe udbredt fejl
Journalisten.dk kører på det anerkendte cms-system Drupal, der blandt andet også benyttes af dagbladet Information og kultursitet aok.dk.
Systemet har kørt upåklageligt i halvandet år, fortæller Steven Snedker.
Derfor behøver kolleger med samme opsætning som Journalisten.dk formentlig ikke at frygte en generel fejl i Drupal, vurderer Steven Snedker.
"Jeg tror ikke, at vi er faldet over en ny Drupal-fejl. Men vi er faldet over en fejl, som kan opstå, når noget af databasen bliver korrupt," siger han.
Ifølge Steven Snedker er Journalisten.dk opmærksom på, at sitet har været ude for et meget stort problem, og derfor kan han ikke udelukke, at man vil man lukker siden ned.
"Vi kan lukke på grund af sikkerhed og forfængelighed," siger han.
Han fortæller, at der ikke burde være flere løsgående administratorer tilbage, men at der i øjeblikket er lukket for kommentar-modulet, ligesom andre funkitioner kan blive lukket, hvis der optræder flere fejl i løbet af dagen.
