- Dette emne har 61 svar og 8 stemmer, og blev senest opdateret for 5 år, 12 måneder siden af Bjarne. This post has been viewed 3370 times
-
Indlæg
-
Bjarne- Super Nova
Jeg har forsøgt mig med The Onion Router browser i en opdateret Fedora27, med afhjælpning af Meltdown. Jeg kommer aldrig så langt, at jeg kan logge ind. Den emsige Jetpack, som for øvrigt har en opdatering, meddeler:
Jetpack Protect has locked your site’s login page.
IP (xxx.xxx.xxx.xxx) has been flaged for potential violation (den kan selvfølgelig se, at det er en tor-knude).
Email yourself a link to regain access to the login form (Hvorfor skal jeg udfylde den? Den er allerede i min profil).
Så får jeg min absolutte favoritfejl:
There was an error sending your email.
Jeg har heller ikke konfigureret min thunderbird i Fedora27. Dette kræver, at den registreres hos Google som en app.
Jeg forsøger igen ved at bringe tor-browseren op. Jeg får denne gang en ny IP-adresse, og det hele starter forfra.
Jeg kan også læse det, at jeg jo bare kan whiteliste min IP. Dette kræver, at jeg spekulativt kan gætte den næste IP.
Jeg er desværre ude af stand til at teste CAPTCHA.
Bjarne- Super Nova
Jeg er nu endelig logget ind via ProtonVPN. Jeg blev ved at få den berømte CAPTCHA. Jeg tastede de korrekte tegn, men den mente stadig, at jeg måtte være Robert. Så opdagede jeg, at den kræver, at cookies er slået til. Jeg har mange Add-blockers og en cookie-exploder. Jeg slog dem alle fra. Det virkede stadig ikke. Jeg undersøgte, om cookies var slået til. Det var de. Så loggede jeg ud og ind igen. Nu virker det, men det skyldes ikke, at cookies ikke var slået til. Det er på grund af mine mange plugins. Dette her lugter langt væk af Googles Add betingelser. Man må ikke anvende Googles tjenester, hvis de ikke kan spore mig. Dette er sikkert også grunden til, at tor-browseren nægter mig login. Det drejer sig om Googles forretningsmodel. Jeg plejer at undgå Googles tjenester, når jeg er anonym. Men hvad gør bbPress med plugin på mine vegne?
Bjarne- Super Nova
Årsagen til den omtalte CAPTCHA er Google. Jeg slog min tracker selfdestructing plugin til igen. Jeg fik igen den meget omtalte CAPTCHA, som fortæller, at det er blevet vanskeligere og vanskeligere at identificere robotter. Men min plugin fortæller noget andet: trackers from Google.com selfdestructed. Det er velkendt, at fingerprinting af oplysninger om en browser næsten entydigt bestemmer maskine og browser. Jeg testede det for nogen tid siden. Den er identificerbar til 1 ud af ca 5 millioner. De mener i virkelighede: Vi kan kun entydigt identificere dig, hvis vi må installere en tracker. Det lyder selvfølgelig ikke helt så pænt som det andet. Man har faktisk givet dem lov, hvis man vil anvende deres tjenester. Men sagen er mere delikat i dette her tilfælde, da det tilsyneladende er astro-forum, som anvender Googles tjenester.
nightsky- Neutron star
Man kunne jo få den fælde tanke at der en lille ekstra indtægt for hosting firmaet her, eller er det udelukket?
Bjarne- Super Nova
Det er Jetpack. De anvender Google analytic. Situationen er anderledes på den anden side af bordet. Det koster kassen at bruge analytic. Der findes en Google analytic til WordPress. Jeg troede lidt naivt, at jeg som privatperson kunne installere den gratis. Google DK tilkbød en rabat på 900 kr, men så sørger de også for at mine reklamer for mit web-sted sikrer et vist antal hits, så jeg figurerer i Google søgninger. Jeg kender ikke prisen per år, men de tilbyder hjælp på stedet med konfigureringen. Dette er også grunden til, at Dansk Industri er imod EU’s ide om, at vi selv ejer vore data. Google Danmark er medlem af DI. Alle offentlige hjemmesider er sovset inde i Google analytic.
Rudi- Neutron star
Hvis der virkelig skal være så høj grad af sikkerhed og bruger verifikation, og der er så meget bøvl med Jetpack/GoogleAnalytic – hvorfor så ikke bruge NemID? https://www.nets.eu/dk-da/l%C3%B8sninger/nemid/nemid-tjenesteudbyder
Det vil så give en udfordring for ikke-danskere, så det er jo nok en dårlig ide. Kunne man overveje at droppe Jetpack?
/Rudi B. Rasmussen
Bjarne- Super Nova
Spørgsmålet er ikke sikkerhed, men tracking. Den nemmeste løsning er Google analytics. Alle bruger Google analytics. Torben spurgte om den bedste VPN. Den bedste er den som giver CAPTCHA på Astro-Forum! …og som man ikke kan besvare korrekt, da det slet ikke drejer sig om en frasortering af robotter. Spørgsmålet er, om Google kender min maskine. Jeg anvender også ZenMate VPN plugin, faktisk lige nu. Google har ikke noget imod ZenMate. Jeg eksploderer stadig Googles tracker på maskinen. Men ZenMate har et problem med et DNS-læk. De anvender Googles DNS-servere. Google har mange måder til at identificere mig. Vær sikker på, at dit VPN ikke har et DNS-læk. Jeg anvendte indtil for nylig en server på Island til min dnscrypt-proxy krypterede DNS uden læk. Den holdt på mystisk vis op med at fungere. Dette skyldes bitstorm på Island, som åbenbart er afløseren. Disse servere er “namecoin” DNS servere. Det drejer sig om .bit domænenavne. Man har lagt domænerne på en blockchain, som først blev anvendt af Bitcoin (den digitale guldmønt). Jeg har endnu ikke fundet ud af, hvordan disse domæner anvendes med dnscrypto-proxy.
nightsky- Neutron star
Forstår ikke det med Google Analytics. Jeg mindes ikke på noget tidspunkt at have set en privacy policy fra dette site om at man bruger GA. Jeg er rimelig sikker på at loven er ganske klar hvad dette angår, så hvis det er tilfældet skal der være en privacy policy.
Som udgangspunkt har AS ingen grund til at bruge GA. Valget af platform dukker desværre op igen.
Bjarne- Super Nova
Er det kun mig, som kan læse om Jetpack plugin. Der står efter en opdatering, at GA er blevet forbedret. Vi burde måske fokusere på en 2FA (two factor authenticator) plugin som en afløser for Jetpack som en mere hensigtsmæssig metode. Der er uheldigvis ret mange af den type plugins. De virker i princippet på samme måde som NemID med nøglekort. Den kan f.eks. virke med Googles Autentificeringsapp. Jeg kan ikke bedømme, hvilken plugin, der er bedst, men den skal helst bruges af så mange som muligt. Jeg forsøger at finde en positiv løsning på problemet, hvis der overhovedet er et problem. Man kunne jo også bare tælle antallet af mislykkede login-forsøg. Man kunne stilles om til 2FA efter et beskedent antal forsøg på en bestemt brugers konto.
Bjarne- Super Nova
Google kræver en berigtigelse i Politiken: Google sælger ikke data om brugerne og deres adfærd videre. Virksomheder kan købe målrettede annoncer, men ikke adgang til data om brugeradfærd og søgninger. Man kan ikke betale for at komme i toppen af søgeresultaterne: Man kan betale for at få sin annonce vist over resultaterne eller ved siden af.
Det er jo en juridisk strid om ord. Formålet med annoncerne er formodentlig at tiltrække besøgende til siden, så den bevæger sig opad på listen over søgeresultater. Problemet med brugeradfærden er, at virksomheders hjemmesider sagtens selv kan finde ud af at sætte tracking cookies.
Udviklingen af Android apps betales med tracking data fra telefonen. Men disse data kan slås fra, så tracking er et juridisk mellemværende mellem telefonejeren og app-udvikleren.
Erhvervsministeriet søger en Disruption-chef med udfordringsret, som skal understøtte udviklingen af et digitalt mind-set i samarbejde med Koncern HR.
Så er vi vist fast forankret i et DJØF-univers.
Bjarne- Super Nova
Jeg er bange for, at vi ikke kommer videre, hvis Jetpack ikke erstattes med en 2FA løsning. Det næste problem bliver så hosting-firmaet. De anvender måske også Google analytic?
biberadm- Main Sequence
Lad mig lige byde ind med lidt baggrund:
Vi bruger IKKE – og har aldrig anvendt – Google Analytics. Lars har helt ret. Det er overkill i fht vores site, og vi behøver ikke den slags data. Desuden fornemmer jeg, at der er en vist (forståelig) animositet imod overvågning, og det respekterer vi også.
Om nødvendigt kan vi på vores server hoste vores eget statistik-værktøj Piwik, der kalder sig et opensource alternativ til Analytics.
Google Analytics er i øvrigt normalt gratis – utivlsomt fordi ens webbesøgende er produktet. Det er ufatteligt nyttigt for webmasters, der gerne vil analysere kommercielt på deres site, men i vores sammenhæng, kan jeg ikke ikke rigtig se nytten af det. Vi har nok snarer brug for at vide lidt om, hvilke tråde der læses mest. De data gemmes allerede lokalt i WordPress, så der er det bare et spørgsmål om at få dem præsenteret. Det er noget Frank har kigget lidt på. Det kommer der nok lidt mere om i den nye version.
Så er der Google AdWords, som er et kommercielt annonce system, der kan spille sammen med Google Analytics, og som egentlig er beregnet på at styre og oprette annoncer rundt omkring på nettet og i Googles søgeresultater. Det er heller ikke relevant for os.
Jeg tvivler meget på, at vores hostingfirma sælger tracking-info til Google bag om ryggen på os. De har den højeste eller næsthøjeste brugerrating blandt Europas førende hosting-udbydere, så jeg tror, at det ville være at skyde sig i foden og spille hasard med deres troværdighed.
(Nu har jeg ikke kunnet se koden til den CAPTCHA, som nogle af jer har mødt, men jeg vil tro, at den kommer fra en af udbyderens egne server, eller alternativt et sikkerhedsfirma. Næppe fra Google. Men hvis nogen gider kopiere html-koden næste gang, så kan vi jo tjekke det.)
Dette er min nye signatur. xx
biberadm- Main Sequence
Og så er der vores tilbagende ven JetPack:
Vi har anvendt JetPack, som er en pakke af ca. 30 kvalitets WordPress-plugins, der er udviklet af Automattic (hovedkraften bag WordPress), især med henblik på at gøre livet lettere for bloggere på Automattics hostede og semi-kommercielle WordPress.com-platform. Men da WordPress er drevet af opensource-princippet, tilbyder Automattic også denne pakke til selv-hostede WordPress-installationer som vores. De fleste af disse plugin er ikke relevante for os, da de retter sig mod bloggere, men da man i dag selv kan bestemme, hvilke af pakkens plugins, man ønsker at bruge, så kan den være ok at installere, selv om man som vi kun skal bruge et par stykker af dem.
Alligevel ville jeg foretrække ikke at installere så stor en pakke med mindre, der virkelig var en stor fordel. Det der gør JetPack værdifuld i vores sammenhæng er de gratis services, som kører fra Automattics servere. Det er fx enestående, at de tilbyder gratis billede-caching (CDN) i en fuldstændig smooth og transperant form, som tilfældet er. Det sætter performance på sitet i vejret og gør at vores server bliver mindre belastet. Så alene af den grund. Om vi fortsat kan beholde denne, når Frank og jeg har fundet frem til den bedste og mest brugervenlige foto-upload og -lightbox-løsning vil vise sig. Men jeg håber det, for den er virkelig genial. Denne service hedder nu Image CDN, tidligere Photon.
Den anden ‘gave’ som JetPack har haft til os, er en kæmpe real-time database af hacking-forsøg og dubiøse IP-numre, som samles sammen blandt andre plugin-brugere, og som effektivt kvæler rigtigt mange brute-force forsøg i fødslen. Uheldigvis ser det ud til, at netop denne funktion måske genkender visse Tor-browser-IP’er som dubiøse. Denne sikkerhedsfunktion er plug’n’play, og vi kan ikke justere på noget ud over at tilføje faste IP-addresser og -ranges til en whitelist.
Jeg har aldrig før haft problemer med dette fænomen, men har heller ikke erfaring med legitime brugere, der har anvendt Tor, så det er en ny erfaring for mig.
Da vi fornylig konstaterede, at der nok var denne sammenhæng, deaktiverede jeg indtil videre denne del af JetPack (som jeg vist også fortalte i en anden tråd). Men det ser ud til, at funktionen er hoppet tilbage. Eller også fik jeg den ikke deaktiveret rigtigt. Den drillede i hvert fald igen i dag. Og der har i øvrigt været en afkobling af JetPack, sandsynligvis pga en opdatering. I skrivende stund skulle “Block suspicious-looking sign in activity” (igen) være deaktiveret. Men sig til, hvis nogen af jer igen bliver blokeret.
Det må naturligvis bero på en kølig vurdering over tid, hvordan vi bedst kan sikre os mod det ene og det andet angreb. Vi skal løbende holde sikkerhed op imod bekvemmelighed. Og det gjorde da indtryk på mig, da Jens (?) argumenterede mod en overdreven sikkerhedsparanoia. Derfor tror jeg heller ikke, at to-faktor-sikkerhed kommer på tapetet, før vi har et mere brugervenligt og generelt bud på det. Det er jo ikke Fort Knox her, og vi de brugere, som har niveauet »participant« har i forvejen ret begrænsede rettigheder.
Så mit fokus på sikkerhed ligger nok mest på »vulnerabilities« gererelt i koden og brute-force-angreb. Indtil videre. Og så må Torben vurdere, hvem vi tør lukke inden for som brugere. 😉
Det var igen en længere svada. Men I har jo krav på at vide lidt om, hvad der sker under motorhjelmen. 😉
Dette er min nye signatur. xx
Bjarne- Super Nova
Ah-ha. Dette forklarer, hvorfor jeg igen kan logge ind via ProtonVPN, som i virkeligheden er openvpn. Den har den fordel, at den ikke har nogen DNS-læk. Det er nødvendigt med en form for VPN, hvis jeg både skal kunne forbinde til min egen server og astro-forum. Jeg har også en browser plugin VPN-proxy, men den er både upålidelig (den er igen gået ned) og den lækker DNS til Google, idet den af en eller angen grund bruger Googles DNS-servere. Det er Google selvfølgelig meget tilfreds med, da de kan identificere mig på denne måde. Man kan spørge sig selv, og måske ZenMate, hvad man skal med en sådan VPN.
Bjarne- Super Nova
Jeg får stadig CAPTCHA, når jeg forsøger med tor-browseren i Fedora 27. Dette gælder både for forum.astronomisk.dk og http://www.astronomisk.dk, selvom let’s encrypt certifikatet ikke er udstedt på den samme dag. Et klik på hængelåsen fortæller: connection is not secure.
Website Identity: This website does not supply ownership information.
Prøv til sammenligning at klik på hængelåsen på mit web-site:
http://www.kosmologi.eu: Secure Connection
Den vigtigste oplysning er, at der for neden står, at tilladelse kræver, at browseren kan sætte en cookie.
Denne lille bitte uskyldige cookie er uden tvivl en tracker fra Google analytic. En sådan har jeg ikke på min side, da det viste sig at være alt for dyrt. Det er sikkert den usikre forbindelse, som kræver Google analytics.
- Emnet 'Endnu en gang – stadig fejl CAPTCHA' er lukket for nye svar.