What?

[steenkhDeltager Planet]

Nu kan man ikke direkte se hvilken forumsoftware der er brugt, men det virker lidt gammelt, så chancen er at det ikke længere er supporteret, og at man kun kan lukke sikkerhedshullerne ved at migrere til en supporteret software. Hvis man altså vil kræve at sikkerhedshullerne skal lukkes, så kan man komme til at vente i lang tid.

Et andet alternativ for os som brugere, er at vores egen software er patchet så meget som muligt, eller at man – som jeg – bruger en iPad som ikke er lige så udsat for angreb.

Hullerne skal naturligvis lukkes. Det er ikke kun et spørgsmål om reklamer for Viagra, men i lige så høj grad et spørgsmål om serveren bliver overtaget af forbrydere til at sprede malware. Så vi må håbe at AS snarest får startet arbejdet med at oprette et forum på ny software.

[xplodeDeltager Nova]

steenkh wrote: Nu kan man ikke direkte se hvilken forumsoftware der er brugt, men det virker lidt gammelt, så chancen er at det ikke længere er supporteret, og at man kun kan lukke sikkerhedshullerne ved at migrere til en supporteret software. Hvis man altså vil kræve at sikkerhedshullerne skal lukkes, så kan man komme til at vente i lang tid.

Et andet alternativ for os som brugere, er at vores egen software er patchet så meget som muligt, eller at man – som jeg – bruger en iPad som ikke er lige så udsat for angreb.

Hullerne skal naturligvis lukkes. Det er ikke kun et spørgsmål om reklamer for Viagra, men i lige så høj grad et spørgsmål om serveren bliver overtaget af forbrydere til at sprede malware. Så vi må håbe at AS snarest får startet arbejdet med at oprette et forum på ny software.

Det står lett tilgjengelig i koden på hver side hvilken forum software som er brukt:

Software: Web Wiz Forums(TM) ver. 9.51

Info: http://www.webwizforums.com

Copyright: (C)2001-2008 Web Wiz(TM). All rights reserved

Det hjelper lite att vi brukere har oppdatert hardware og software som er mindre utstatt for angrep når det er forumsoftware som er full av sikkerhetshuller.

[apollo.13Deltager Main Sequence]

Der findes mange andre “forum platforme” men selvfølgelig er det vel også et spørgsmål om økonomi.

---

Vh. Morten

[steenkhDeltager Planet]

Xplode wrote: Det står lett tilgjengelig i koden på hver side hvilken forum software som er brukt:

Software: Web Wiz Forums(TM) ver. 9.51

Info: http://www.webwizforums.com

Copyright: (C)2001-2008 Web Wiz(TM). All rights reserved

Tak. Jeg bruger jo iPad, og der kan man ikke se koden.

Web Wiz eksisterer stadig, og der bliver stadig lavet opdateringer til deres gratis forumsoftware, så hvis man vælger at beholde Web Wiz, bliver det sikkert en noget mindre opgave at få patchet softwaren, end at konvertere til et helt nyt system – i hvert fald hvis de gamle indlæg skal bevares.

Det hjelper lite att vi brukere har oppdatert hardware og software som er mindre utstatt for angrep når det er forumsoftware som er full av sikkerhetshuller.

Det er jeg ikke enig i. Når serverens sikkerhed er svag, bliver den nemmere en vektor for angreb, men de angreb der kan ramme brugerne, er de samme, uanset serverens sikkerhed. Men det er naturligvis rigtigt at serverens sikkerhed skal bringes op på et forsvarligt niveau så hurtigt som muligt.

Når vores browser, pdf-reader osv. er opdaterede, så kan vi kun angribes gennem 0-te dags sårbarheder (dvs angreb der endnu findes forsvar mod), og statistisk set er 0-te dags angreb relativt sjældne.steenkh2017-04-23 09:36:08

[BjarneModerator Super Nova]

Lad os lige se, hvordan

Ivan Ristić, Qualys, bedømmer webwizforums.com:
https://www.ssllabs.com
Servere bedømmes efter det amerikanske karaktersystem.
webwizforums.com bedømmes til Grade T.
Den laveste karakter er ellers normalt Grade F.
Da jeg eksperimenterede med at lave min egen SSL/TLS server, opdagede jeg, at
mange offentlige hjemmesider fik Grade F. Der gik sport i konfigureringen,
og det endte med, at ssllabs.com gav min hjemmeside kosmologi.eu
Grade A+. ssllabs tester også din browser.

[BjarneModerator Super Nova]

Et godt eksempel på migration fra http til https med topsikkerhed
er proshop.dk, hvor jeg ofte handler. De blev ofte udsat for angreb.
ssllabs.com giver den nu Grade A, og man får en detaljeret liste
over serverens

Cipher Suites. Man får i det hele taget en meget
detaljeret rapport fra ssllabs.com

Den grønne pil, som man ofte ser, er noget, som man betaler ekstra for,
når man køber et certifikat til domænet. Men Gandi.net skrev, at den
intet betyder for sikkerheden, men deres kunder føler sig mere trygge
ved den grønne pil.

[nightskyDeltager Neutron star]

Ligegyldigt hvor godt jeres klienter er beskyttet, hjælper det intet imod en komprimeret server.
Det er totalt naivt at tro andet.

Der kan stadig samles data ind om brugerne, password, email adresser, hvem der forum
mailer med hvem osv.
Derefter kan der f.eks. laves avancerede mail der ser ud til at komme fra en bruger til en
anden, som indeholder avanceret snavs som IPads, IPhones, Adrois, Windows osv. kan
rammes af.

Blot en bruger af astro-forum rammes så er der hul igennem til at sende mails fra vedkommendes
mail konto med snavs.

Hvis man stadig har adgang tilserveren kan der hurtigt og helt automatisk lægges sårbarheder
på, som gør at det bliver meget svært at holde sin Ipad, telefon, Windows fri for infektioner.

Det er hul i hovedet at tro nogen kun gør dette for sjov. Personerne og systemerne bag dette
vil kun ondt.

Derfor igen. Har man fundet og identificeret fejlen? Har man efterfølgende lukket for det?
Jeg kan ikke bruge tror, muligvis, og mener som fakta, Astronomisk Selskab og admins,
Det er jeres pligt at passe sitet, hvor træls det end måtte være.

Nightsky2017-04-23 13:03:55

[BjarneModerator Super Nova]

Nu var astro-forum vist en gave, og opfordring til at tage sig sammen er ikke den
mest konstruktive. Der er brug for gode råd, helst af den billige slags.

Jeg har som allerede undersøgt sagen for mig selv. WordPress er den mest udbredte
software til dette formål. WP har dog visse svagheder. Den har flere gange været udsat
for “SQL code injection” og andre huller i diverse plugins. Mit argument for alligevel at
anvende WP er, at den er installeret på 50+ millioner hjemmesider, herunder på nogle
højt profilerede sider, som tiltrækker sig angreb. Det er derfor sandsynligt, at huller
hurtigt opdages og lukkes. Jeg undgår desuden plugins, hvis ikke de også anvendes af
en million sider.

Der er imidlertid en anden mere strukturel svaghed. WP har en lineær struktur,
dvs man opretter et emne, hvorefter men tilføjer kommentarer lineært.
Det ville være nyttigt at kunne tilføje krydskommentarer.
Såvidt jeg har forstået, har Ruby on Rails denne mulighed:
https://en.wikipedia.org/wiki/Ruby_on_Rails

[xplodeDeltager Nova]

Wordpress er bra og oppdateres ofte, men det er en blogsoftware og egner seg ikke til å ta over oppgaven til forumet her.

Det finnes massevis av gratis forumsoftware som oppdateres ofte og 3 veldig populære er disse:

https://www.phpbb.com/

http://www.simplemachines.org/

https://mybb.com/

Jeg vet ikke hvilken økonomi det er bak astro forum, men siden forumsoftwaren er gratis kunne det kansje være mulig å leie inn noen for å hjelpe til med å få tilpasset utseende på forumet godt nok?

Jeg har tidligere leid hjelp på https://www.fiverr.com

[nightskyDeltager Neutron star]

BjarneT wrote: Nu var astro-forum vist en gave, og opfordring til at tage sig sammen er ikke den
mest konstruktive. Der er brug for gode råd, helst af den billige slags.

Hvad skal man så skrive?
Fordi det har været en gave fritager det ikke AS for et ansvar. Hvad er det for noget sludder?
Jeg har ikke selv mulighed for at undersøge noget som helst, så jeg kan kun opfordre til at
man tager det alvorligt.

Det bedste gratis gode råd er:
Finde hullet, lukke det. Undersøge omfanget af skaden. Underret evt. ramte. Gennemgå sine
rutiner for at drive sitet, for at se om noget kan gøres bedre.
Kontakt nogen for at få råd og vejledning fra nogen som ved hvad de taler om, teknisk og
driftmæssigt. Det kunne jo være der var en IT-pro med de rette kompetencer som vil hjælpe,
billigt eller gratis.

Pas på med at lytte til diverse input her sitet, inkl mine egne, medmindre man med 100%
sikkerhed ved det kommer fra nogen som har den nødvendige kompetence. Jeg har ikke
selv den nødvendige tekniske indsigt, men jeg ved en del om at drive IT ansvarligt.

Gode råd er ikke:
Henvisninger til andet software, beretninger om opgraderinger til andet software m.v.
Det løser intet for den nuværende situation, men er blot støj.

Ansvarlighed:
Hvis man siger ja tak til at drive et forum i den skala som Astronomisk Selskab gør her, så kan
man ikke bare lade være med at sikkerhedsopdatere sitet, tjekke evt. log filer, reagere ansvarligt
når det går galt m.v. At det går galt en gang imellem kan sandsynligvis ikke undgås, og
derfor bør man også have en ansvarlig plan/ide om hvad så gør i når det sker.

Hvis man ikke formår dette, bør man ikke drive sådan et site. Det handler ikke om software,
, men om at være ansvarlig og gøre det rigtige. Det er faktisk ikke så svært.

[BjarneModerator Super Nova]

Ja, men det er helt evident, at man skal tage sikkerhed alvorligt.
Jeg troede, at jeg skar det ud i pap og bøjede det i neon:
At astro-forums skaber ikke selv kan lave en sikker hjemmeside
betyder, at andre ikke har mulighed herfor. Den nuværende situation
kan ikke løses. Påstand om andet vil være et alternativt faktum.

Med hensyn WordPress som forum software:
https://premium.wpmudev.org/blog/forum-wordpress/
Dette er blot et eksempel.

BjarneT2017-04-23 17:36:25

[BjarneModerator Super Nova]

De vælter frem med mere interessant støj:

How to Add a Forum in WordPress with bbPress

http://www.wpbeginner.com/wp-tutorials/how-to-add-a-forum-in-wordpress-with-bbpress/

Nu hedder emnet “ideer og forslag” og ikke “unødig støj”, så lad os udnytte

muligheden, inden astro-forum lukker ned, som den selvfølgelig burde.

BjarneT2017-04-23 17:34:34

[steenkhDeltager Planet]

BjarneT wrote: Lad os lige se, hvordan 

Ivan Ristić, Qualys, bedømmer webwizforums.com:https://www.ssllabs.comServere bedømmes efter det amerikanske karaktersystem.webwizforums.com bedømmes til Grade T.Den laveste karakter er ellers normalt Grade F.Da jeg eksperimenterede med at lave min egen SSL/TLS server, opdagede jeg, atmange offentlige hjemmesider fik Grade F. Der gik sport i konfigureringen,og det endte med, at ssllabs.com gav min hjemmeside kosmologi.euGrade A+. ssllabs tester også din browser. 

Interessant 🙂

Gad vide hvad vurderingen ville være hvis Astro-forum var krypteret. Men jeg er helt enig: der bør køres SSL i dag. Alt andet er for usikkert. Det bør webhotellet også kunne klare.

Det kunne være sjovt hvis AS’s programmør skrev om sine planer her på forummet. Men måske er det ikke så tiltrækkende at invitere en masse bagsædechauffører til at give besyv med?

[xplodeDeltager Nova]

steenkh wrote:

Lad os lige se, hvordan 

Ivan Ristić, Qualys, bedømmer webwizforums.com:https://www.ssllabs.comServere bedømmes efter det amerikanske karaktersystem.webwizforums.com bedømmes til Grade T.Den laveste karakter er ellers normalt Grade F.Da jeg eksperimenterede med at lave min egen SSL/TLS server, opdagede jeg, atmange offentlige hjemmesider fik Grade F. Der gik sport i konfigureringen,og det endte med, at ssllabs.com gav min hjemmeside kosmologi.euGrade A+. ssllabs tester også din browser. 

Interessant 🙂

Gad vide hvad vurderingen ville være hvis Astro-forum var krypteret. Men jeg er helt enig: der bør køres SSL i dag. Alt andet er for usikkert. Det bør webhotellet også kunne klare.

Det kunne være sjovt hvis AS’s programmør skrev om sine planer her på forummet. Men måske er det ikke så tiltrækkende at invitere en masse bagsædechauffører til at give besyv med?

Du kan jo se en sikkerhetsvurdering av forumet her

[xplodeDeltager Nova]

BjarneT wrote:

De vælter frem med mere interessant støj:<h1 =”entry-title”=”” itemprop=”line”>How to Add a Forum in WordPress with bbPress</h1><h1 =”entry-title”=”” itemprop=”line”>http://www.wpbeginner.com/wp-tutorials/how-to-add-a-forum-in-wordpress-with-bbpress/</h1>

Nu hedder emnet “ideer og forslag” og ikke “unødig støj”, så lad os udnytte

muligheden, inden astro-forum lukker ned, som den selvfølgelig burde.

Selvsagt er det mulig å legge til ett forum til ei wordpress side, men hvis en ikke trenger wordpress delen så vil det jo bare være kompliserende å sette opp.

Skulle det gå mot oppgradering må en finne ut hvilke behov som Astro-forum har før en bestemmer hvilken programvare en skal gå for

[Forfatter]

Indlæg