Po zamknięciu przeglądarki i wyczyszczeniu cache powinno być dobrze. Do czasu aż ponownie będzie źle
Czterech panów B.
Kochani,
Dostałem z aplikacji LastPass notyfikację, że loginy, hasła, adresy IP i adresy e-mail zostały przejęte i są dostępne w necie.
Więc proponowałbym aby administratorzy wysłali info do wszystkich o tym fakcie.
Miniumum to zmiana haseł oczywiście.
serdeczności
&
Pisałem już, że pracujemy na przestarzałym silniku - niestety bez możliwości uaktualnienia czy nawet wgrania poprawek (osoby opisane jako administratorzy są jedynie moderatorami z rozszerzonymi uprawnieniami, żaden z nas nie ma uprawnień do zmiany konfiguracji forum czy też danych dostępowych do serwera). Jak znajdę stary wątek to podlinkuję, na wszelki wypadek przypomnę kluczowe zasady bezpieczeństwa, które należy stosować zawsze (nie tylko na naszym forum):
Co do sugerowanego przez Sholay'a włamu/wycieku: nie neguję, że coś takiego miało miejsce, ale nie jestem w stanie tego potwierdzić lub temu zaprzeczyć. Ani ja ani pozostali "administratorzy". Jedyne co mogę zrobić to weryfikacja czy mój adres mailowy (używany na tym forum) nie pojawił się w dostępnych w sieci bazach pochodzących z włamów - sprawdziłem, nie ma go w takich bazach (;--have i been pwned? - jeżeli znasz lepszą bazę to proszę o podpowiedź).
- hasło do forum powinno być unikalne, pod żadnym pozorem nie należy go stosować w żadnym innym systemie, warto je od czasu do czasu zmieniać,
- jeżeli tylko jest taka możliwość to unikalny powinien być także e-mail (nie jest to obecnie trudne do zrobienia),
- można rozważyć stosowanie VPN do ukrywania prawdziwego adresu IP.
I na koniec: sugestia zmiany hasła jest zawsze dobra.
EDIT:
Odnalazłem stary wątek, przeniosłem do niego nowe posty.
Ostatnio edytowane przez bartolomeo ; 31-03-2021 o 15:09
Czterech panów B.
Dlaczego forum nie ma dostępu przez HTTPS? Przecież certyfikaty SSL można wygenerować za darmo, to jest kilka minut roboty. Przypominam, że wszelkie dane lecące przez "goły" http mogą być z łatwością "przejrzane" - również hasła, wiadomości prywatne itd.
Przeczytaj ten wątek a będziesz wiedział. W skrócie: nie mamy uprawnień aby to zrobić.
Czterech panów B.
Nadszedł chyba czas aby przypomnieć kilka zasadniczych spraw. Powtarzam wiec, z delikatnymi uaktualnieniami, to co już było w tym wątku napisane. Od razu uspokajam, że nie mamy żadnych informacji o włamaniu na forum - podane poniżej wskazówki to działania prewencyjne
------------------------------------------------------------------------------------------------------------------------------
Forum nie doczeka się aktualizacji silnika ani nawet protokołu HTTPS. W związku z tym podjęto pewne działania mające na celu minimalizację strat w przypadku kolejnych ataków:
- wyłączono wszystkie wtyczki (m.in. Shoutbox),
- usunięto martwe dusze (użytkownicy z zerową liczbą postów, bez logowania się na forum w ciągu ostatnich 12 miesięcy), działanie to będzie regularnie powtarzane.
Przy zachowaniu podstawowych środków bezpieczeństwa konsekwencje kolejnych ataków można zdecydowanie ograniczyć. Jedyną rzeczą, której zapewnić nie jesteśmy w stanie, jest nieprzerwane działanie forum. Wspomniane środki bezpieczeństwa, które bezwzględnie powinien zrealizować każdy forumowicz, są następujące:
- ustawienie do logowania na forum unikalnego hasła, w żadnym przypadku nie może to być hasło ani identyczne ani nawet podobne do jakiegokolwiek hasła stosowanego w jakimkolwiek innym miejscu,
- sugerowana jest zmiana hasła WE WSZYSTKICH SERWISACH, GDZIE USTAWIONE BYŁO TAKIE SAMO HASŁO JAK NA FORUM. Poważnie, to jest kluczowa czynność,
- zmiana adresu pocztowego wskazanego w konfiguracji użytkownika na inny niż główny adres e-mail forumowicza (nie należy na forum podawać adresu, który jest wykorzystywany do jakiejkolwiek komunikacji poza forum). Najlepiej w tym celu utworzyć sobie unikalne konto pocztowe (wyłącznie do obsługi forum) zabezpieczone hasłem innym niż dostęp do forum,
- wszystkie informacje podawane na forum, zarówno w części otwartej jak i w korespondencji prywatnej (PW) czy w komentarzach w profilach, należy traktować jak dostępne dla każdego internauty mającego jakikolwiek dostęp do sieci,
- jeżeli w jakimkolwiek miejscu forum (wliczając w to prywatne wiadomości) znajdują się dane lub informacje, których nie chcielibyście wypuszczać "na wolność", należy je jak najszybciej usunąć.
Jeżeli forum wyświetla niecodzienne komunikaty, okienka czy prośby o doinstalowanie czegokolwiek (np. nowych czcionek czy oprogramowania) to należy je bezwzględnie odrzucać i zgłaszać je w tym wątku.
Czterech panów B.
A czy nie dałoby się zrobić, żebyśmy mieli? Wystarczy odrobina życzliwości ze strony dysponenta serwera i domeny. Najlepszym rozwiązaniem byłoby delegowanie subdomeny forum.bieszczady.info.pl na adres IP naszego serwera. Konieczne byłoby też przekazanie nam backupu dotychczasowej zawartości forum. I z zewnątrz wyglądałoby to tak samo a odciążylibyśmy serwer dobroczyńcy, biorąc odpowiedzialność za całość funkcjonowania forum. To by nas oczywiście trochę kosztowało, ale w końcu na biednych nie trafiło
Powie ktoś, że nie mamy "naszego serwera". Dzisiaj nie mamy ale jeśli trzeba będziemy mieć jutro.
No właśnie...
Jak mamy mieć lepiej niż teraz to trzeba kupić licencję na najnowszy vBulletin (zdaje się ok. 800 zł) i wynająć serwer z odpowiednią przestrzenią dyskową i transferem. Wybrałem losową firmę i sprawdziłem ile kosztuje 300 GB - to jest 900 zł rocznie (a wątpię aby 300 GB wystarczyło, trochę obrazków jednak na forum jest). W pierwszym roku co prawda promocja i tylko 1 zł, byłoby akurat na licencję vBulletin. A potem min. 800-900 zł rok w rok. Tylko proszę nie przerzucać mnie niższymi cenami w firmie A czy B - rząd wielkości będzie taki jak napisałem.
Nawet jak uda nam się z sukcesem uzbierać te 800 czy 1000 zł na start to za chwilę będą to ciągnąć finansowo 2-3 osoby a jak i im się znudzi to za dwa, trzy lata będzie po forum.
Oczywiście nie wiemy, czy ktoś będzie chciał zaglądać na forum aż tak długo, ale bądźmy optymistami w tym rozważaniach
Nie Wojtku, to nie wypali. Moim zdaniem jedyna droga to rozmowa z właścicielem forum, że warto to czy tamto poprawić.
Czterech panów B.
Aktualnie 1 użytkownik(ów) przegląda ten wątek. (0 zarejestrowany(ch) oraz 1 gości)
Zakładki