InloggenBookmarks Woordenboek
UitloggenInstellingenForum-hulp!
Huishoudelijk
Over PaardNatuurlijk zelf, het forum, techniek, etc.
 
3 berichten
Pagina 1 van 1
Je leest nu onderwerp "DRINGEND betere beveiliging PN nodig, denk ik", gefilterd op rubriek
Volg datum > Datum: zaterdag 11 maart 2017, 13:5711-3-17 13:57 Nr:274286
Volg auteur > Van: e m kraak Opwaarderen
Volg onderwerp > Onderwerp: DRINGEND betere beveiliging PN nodig, denk ik Structuur

e m kraak
Nederland


7960 berichten
sinds 5-5-2004
Vannacht hebben we er een nieuwe liefhebber bij: "adsf"
Niet alleen debuterend met 6 spamberichten, maar ook een primitieve hackpoging achterlatend: een scriptje dat bij gebruikers een afgedwongen alert veroorzaakt.
Als dit scriptje werkt, dan werken "leukere" scriptjes ook, wrsch. zeer spoedig te verwachten.
Daarom MOET paardnatuurlijk asap beveiligd worden tegen scripts van gebruikers en updaten naar geldige shtml. Er is nu denk ik geen enkel excuus meer om aan de sterk verouderde website niets te doen.
Simpelste veiligheidsmaatregel is denk ik alle participatie van gebruikers te sluiten tot de beveiligingslekken gerepareerd zijn.
Volg datum > Datum: maandag 13 maart 2017, 13:4113-3-17 13:41 Nr:274287
Volg auteur > Van: Frans Veldman Opwaarderen Re:274286
Volg onderwerp > Onderwerp: Re: DRINGEND betere beveiliging PN nodig, denk ik Structuur

Frans Veldman
Homepage
Drenthe
Nederland

Jarig op 22-10

5061 berichten
sinds 1-1-2003
e m kraak schreef op zaterdag 11 maart 2017, 13:57:

> Vannacht hebben we er een nieuwe liefhebber bij: "adsf"
> Niet alleen debuterend met 6 spamberichten, maar ook een primitieve
> hackpoging achterlatend: een scriptje dat bij gebruikers een afgedwongen
> alert veroorzaakt.

Vanaf nu is het niet langer toegestaan om html-code, waaronder scripts, in het forum te posten. De reeds bestaande scriptjes zijn verwijderd.

> Daarom MOET paardnatuurlijk asap beveiligd worden tegen scripts van
> gebruikers en updaten naar geldige shtml.

Met het eerste ben ik het eens maar de logica van het tweede ontgaat me.

> Er is nu denk ik geen enkel
> excuus meer om aan de sterk verouderde website niets te doen.

Het wel of niet toestaan om html in berichten te plaatsen heeft niets met de leeftijd van de website te maken. In Hoefnatuurlijk.nl, wat toch moeilijk als "verouderd" te betitelen is, bestond hetzelfde probleem.

Beveiliging is altijd een afweging maken tussen vrijheden toestaan of inperken. Op dit moment is het ook mogelijk om foto's te plaatsen in het forum, maar ook daarbij is voor te stellen dat er bij misbruik van deze mogelijkheid we uiteindelijk moeten beslissen om geen foto's meer toe te staan. Dat heeft niets te maken met het al dan niet verouderd zijn van de website maar bij het afwegen of bepaalde opties wel of niet worden toegestaan. Jammer dat er nu een deelnemer is gekomen die het nodig vond om de faciliteiten van PN anders te gebruiken dan was bedoeld en we bepaalde vrijheden hebben moeten beknotten.

Frans
Volg datum > Datum: dinsdag 14 maart 2017, 2:4514-3-17 02:45 Nr:274289
Volg auteur > Van: e m kraak Opwaarderen Re:274287
Volg onderwerp > Onderwerp: Re: DRINGEND betere beveiliging PN nodig, denk ik Structuur

e m kraak
Nederland


7960 berichten
sinds 5-5-2004
Frans Veldman schreef op maandag 13 maart 2017, 13:41:

> e m kraak schreef op zaterdag 11 maart 2017, 13:57:
>
>> Vannacht hebben we er een nieuwe liefhebber bij: "adsf"
>> Niet alleen debuterend met 6 spamberichten, maar ook een primitieve
>> hackpoging achterlatend: een scriptje dat bij gebruikers een afgedwongen
>> alert veroorzaakt.
>
> Vanaf nu is het niet langer toegestaan om html-code, waaronder scripts, in
> het forum te posten. De reeds bestaande scriptjes zijn verwijderd.

Geldt dat ook voor andere scripttalen? Indien niet, beter wel afdekken. Jullie hebben immers ook nog een winkel. Een php-tab kan onzichtbaar zijn, bij voorbeeld (Ik ben geen hackspecialist maar dit voorbeeld ken ik toevallig wel - de tab roept op de beurt weer iets anders op, html of een transparante pixel of wat dan ook juist om de gebruikelijke weigeringen online van html-varianten-import en bestanden te omzeilen... en de echte diehards zullen wel directe machine code gebruiken maar daar heb ik allemaal geen verstand van!). Als je beveiliging goed is krijg je dan een phishing alert.

>> Daarom MOET paardnatuurlijk asap beveiligd worden tegen scripts van
>> gebruikers en updaten naar geldige shtml.
>
> Met het eerste ben ik het eens maar de logica van het tweede ontgaat me.

vooral en in eerste plaats vanwege de winkel, lijkt mij.
Volgens mijn software heeft PN geen enkele moderne beveiliging.
Ik weet ook niet wat er echt wel moet en wat niet... alleen dat beveiligingen ervoor zorgen dat je beter gewaarschuwd wordt als er zaken niet in de haak zijn.

>> Er is nu denk ik geen enkel
>> excuus meer om aan de sterk verouderde website niets te doen.
>
> Het wel of niet toestaan om html in berichten te plaatsen heeft niets met
> de leeftijd van de website te maken. In Hoefnatuurlijk.nl, wat toch
> moeilijk als "verouderd" te betitelen is, bestond hetzelfde probleem.

Hoefnatuurlijk http://www.hoefnatuurlijk.nl/ doet het op mijn PC momenteel niet eens:

Server fout!

Foutbericht:
Premature end of script headers: multicms.fcgi

Indien u van oordeel bent dat deze server in fout is, gelieve de webmaster te contacteren.
Error 500
www.hoefnatuurlijk.nl
Tue Mar 14 02:01:21 2017
Apache/2.2.17 (Linux/SUSE)

> Beveiliging is altijd een afweging maken tussen vrijheden toestaan of
> inperken. Op dit moment is het ook mogelijk om foto's te plaatsen in het
> forum, maar ook daarbij is voor te stellen dat er bij misbruik van deze
> mogelijkheid we uiteindelijk moeten beslissen om geen foto's meer toe te
> staan. Dat heeft niets te maken met het al dan niet verouderd zijn van de
> website maar bij het afwegen of bepaalde opties wel of niet worden
> toegestaan. Jammer dat er nu een deelnemer is gekomen die het nodig vond
> om de faciliteiten van PN anders te gebruiken dan was bedoeld en we
> bepaalde vrijheden hebben moeten beknotten.

1 en ander heeft uiteraard altijd en overal wel te maken met de opzet in technische zin. Waarom anders doet youtube het zo onvergelijkbaar veel beter dan de website(s) van onze nationale omroepen (toch maximaal professioneel in elkaar geklust, verwacht ik...)? En minder plezierig: ik heb recent twee internetwinkels moeten waarschuwen dat ze voor phishing gehackt waren. Als het personeel van een computerwinkel dan ook nog eens zo arrogant en dom is te stellen dat dat niet kan en dat het wel aan mijn wél goed beveiligde PCs (is mijn inet paranoia nog ergens goed voor) moet liggen, dan koop ik daar dus nooit meer.
Je noemt de foto-upload als andere mogelijkheid tot sabotage - maar het is toch zo dat die bestanden geherformatteerd worden, of niet (ik dacht van wel maar ben ook wel eens in de war en het is niet mijn website)? Volgens mij overleeft eventuele sneakcode dat niet als bij herformattering de headers eruit gegooid worden.

Ik heb je eerder beloofd inhoudelijk niet meer te mopperen, daar houd ik mij aan en zo moet je dit ook niet zien. Ik ben altijd fan van je forumopzet geweest, dat staat los van mijn mening dat ik de website deels outdated vind. Net zoals dat los staat van dat wij het over bepaalde zaken nooit eens zijn geweest - dat hoeft ook niet, toch!?
Je leest nu onderwerp "DRINGEND betere beveiliging PN nodig, denk ik", gefilterd op rubriek
Huishoudelijk
Over PaardNatuurlijk zelf, het forum, techniek, etc.
 
3 berichten
Pagina 1 van 1
 InloggenBookmarks Woordenboek
UitloggenInstellingenForum-hulp!

Deelnemers online: 0 verborgen deelnemers.
contact