Książki

FAQFAQ  SzukajSzukaj  UżytkownicyUżytkownicy  GrupyGrupy
RejestracjaRejestracja  ZalogujZaloguj

Odpowiedz do tematu
Poprzedni temat :: Następny temat
Zmiana silnika forum - możliwy wyciek danych...
Autor Wiadomość
wred 


Posty: 2911
Wysłany: 2020-09-30, 19:40   Zmiana silnika forum - możliwy wyciek danych...

Drodzy, od dawna dawna myślimy nad modernizacją naszego skromnego forum.
Jako że obecny silnik forum (phpBBbyPrzemo) został porzucony dawno temu i nie ma żadnych widoków na aktualizację do obecnie panujących standardów mamy dwie możliwości:

1. samodzielnie przerobienie kodu forum (minimum zgodnośc z PHP7.4),

2. albo przymiarkę do migracji na jakiś inny nowoczesny fajny silnik (responsywny, bez tabelek, szybki i mało obciążający dla serwera...) - tu prośba o wskazówki co Wam się w sieci podoba...


Żeby to nastąpiło to najpierw musimy wspólnie coś ustalić :)


A do każdego z tych kroków przyda się pomoc techniczna
( ogłoszenie: http://www.zaginiona-bibl...p=268192#268192 )
  
 
 
Trojan 


Posty: 6317
Skąd: Wroclaw
Wysłany: 2020-09-30, 20:50   

a co najłatwiej/najprościej dla ekipy podejmującej się przeprowadzenia takiej operacji na otwartym sercu ?
to ja głosuje na to
 
 
fdv 


Posty: 297
Skąd: Neverland
Wysłany: 2020-10-01, 08:22   

Tapatalk - fajna sprawa na telefonie.
_________________
W życiu - oczekujemy co najwyżej sporej porcji bezrefleksyjnej zabawy i przyczynku do dalszej zabawy.
 
 
Fidel-F2 


Posty: 10006
Wysłany: 2020-10-01, 09:03   

fdv napisał/a:
Tapatalk
ja to zaczynam odbierać jako mocno irytującą religię
_________________
Jesteśmy z And alpakami
i kopyta mamy,
nie dorówna nam nikt!

Stary Ork napisał/a:
Jeśli Ziemkiewicz jest normą to trzeba spieprzać na margines
 
 
ASX76 
twój stary


Posty: 13506
Skąd: kurna chata
Wysłany: 2020-10-01, 10:06   

Optuję za pozostawieniem obecnego forum! Howgh!
_________________
Buk, Horror, Dziczyzna
 
 
wred 


Posty: 2911
Wysłany: 2020-10-01, 10:26   

Pozostawienie wymaga modernizacji do php v7...
 
 
Fidel-F2 


Posty: 10006
Wysłany: 2020-10-01, 10:27   

bo jak nie, to co będzie?
_________________
Jesteśmy z And alpakami
i kopyta mamy,
nie dorówna nam nikt!

Stary Ork napisał/a:
Jeśli Ziemkiewicz jest normą to trzeba spieprzać na margines
 
 
wred 


Posty: 2911
Wysłany: 2020-10-01, 10:31   

Bo php5 jest już dawno nie wspierane, podraża nam koszty obsługi forum, stanowi potencjalne źródło włamu...
 
 
ASX76 
twój stary


Posty: 13506
Skąd: kurna chata
Wysłany: 2020-10-01, 11:02   

//panda
_________________
Buk, Horror, Dziczyzna
 
 
Fidel-F2 


Posty: 10006
Wysłany: 2020-10-01, 11:15   

a jak się włamią to co ukradną?
_________________
Jesteśmy z And alpakami
i kopyta mamy,
nie dorówna nam nikt!

Stary Ork napisał/a:
Jeśli Ziemkiewicz jest normą to trzeba spieprzać na margines
 
 
wred 


Posty: 2911
Wysłany: 2020-10-01, 11:26   

Fidel, jak nie masz nic sensownego do powiedzenia to daj sobie spokój...
 
 
Fidel-F2 


Posty: 10006
Wysłany: 2020-10-01, 11:30   

ciekawym sytuacji
_________________
Jesteśmy z And alpakami
i kopyta mamy,
nie dorówna nam nikt!

Stary Ork napisał/a:
Jeśli Ziemkiewicz jest normą to trzeba spieprzać na margines
 
 
Stary Ork 
Świnia z klasą


Posty: 8284
Skąd: Sin Tychy
Wysłany: 2020-10-01, 12:50   

Fidel-F2 napisał/a:
a jak się włamią to co ukradną?


Chcemy wpisać Asiksa na listę dziedzictwa UNESCO, jak się włamią i zdemolują to będzie po zawodach.
I, oraz, Bitewniaki ubiegają się o nagrodę ministra zdrowia za wybitne niestosowanie się do zaleceń Sanepidu, szkoda byłoby stracić taką szansę.
_________________
Jesteśmy przygotowani, że jakoś to będzie.
 
 
Trojan 


Posty: 6317
Skąd: Wroclaw
Wysłany: 2020-10-01, 13:45   

Fidel - nie o o chodzi że siedzi jakiś facet za klawiaturą i wbija na ZB i ściąga tajniackie dane użytkowników, tylko o to że wpadnie tu jakiś autobot i narobi syfu. Administracja serwa zacznie się czepiać bo to zasypie im serwery i będzie problem.

co do taptoka (to coś dla Prezydenta) - ja lubiu oldskulowe obecny typ by Przemo (Nobla mu za ten desing/użyteczność) - ktoś w ogóle zna gościa ?:) wie kto to ?:)
ale rozumiem że czas przesiąść się do Dacii
 
 
Fidel-F2 


Posty: 10006
Wysłany: 2020-10-01, 14:33   

Też ten tego, lubię ten oldskulowy.
_________________
Jesteśmy z And alpakami
i kopyta mamy,
nie dorówna nam nikt!

Stary Ork napisał/a:
Jeśli Ziemkiewicz jest normą to trzeba spieprzać na margines
 
 
wred 


Posty: 2911
Wysłany: 2020-12-02, 16:45   

No i właśnie dostałem takiego emaila z home.pl:

Cytat:
Dzień dobry,


uprzejmie informuję, że otrzymujemy zgłoszenia odnośnie Państwa strony internetowej. Poniżej przekazujemy treść zgłoszenia:

Szanowni Państwo,

Jesteśmy zespołem reagowania na incydenty naruszenia bezpieczeństwa informatycznego CERT Polska. Zespołowi CERT Polska zostały powierzone obowiązki CSIRT NASK wynikające z ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz. U. poz. 1560).

Niniejszą wiadomość kierujemy na adres zapisany w bazie WHOIS jako kontaktowy dla sieci wymienionej poniżej. Wiadomość ta przeznaczona jest dla osoby odpowiedzialnej za bezpieczeństwo informatyczne. Jeśli nie są Państwo odpowiednimi adresatami prosimy o poinformowanie nas o tym oraz przekazanie niniejszej wiadomości do odpowiednich osób.

Prosimy o przekazanie wiadomości do właściciela strony Zaginiona-Biblioteka.pl[212.85.127.52]. Będziemy wdzięczni za poinformowanie nas, że wiadomość została przekazana.

Niniejsze powiadomienie zostało wysłane do Państwa ze względu na umieszczenie adresu Państwa serwisu Zaginiona-Biblioteka.pl na stronie Cit0day, która sprzedawała dostęp do loginów i haseł (bądź ich skrótów) użytkowników serwisów, których bazy dane zostały wykradzione. Szczegółowy opis znajdą Państwo pod adresem https://www.troyhunt.com/...ch-collection/.

Adres Państwa strony znajduje się w spisie wykradzionych baz, który można znaleźć pod poniższymi adresami:
https://gist.githubusercontent.com/troyhunt/0282a5bad48bd6698672735519ca883a/raw/4d5da27b768a1a00b04f02ad37d663da10b59ffb/Cit0day%2520%255B_special_for_xss.is%255D.txt
https://gist.githubusercontent.com/troyhunt/54d421427ae0c32cadc7e18aac28b539/raw/4a12218baf062730eedbbeb8c21b5ef97b5ab86c/Cit0day%2520Prem%2520%255B_special_for_xss.is%255D.txt

Wyciek bazy mógł nastąpić w przeciągu kilku ostatnich lat.
Jeżeli nie podejmowali Państwo działań związanych z analizą tego incydentu, radzimy podjąć wszelkie działania, do których mogą być Państwo zobligowani przez obowiązujące prawo, w szczególności takich jak podjęcie zgłoszenia do UODO, a także poinformowanie państwa użytkowników lub klientów, których dane mogły znaleźć się w posiadaniu przestępców o fakcie wycieku z zaleceniem zmiany hasła używanego w Państwa serwisie w innych serwisach. Zalecamy również zresetowanie haseł poszkodowanych użytkowników i o ile to możliwe, wprowadzenie logowania z użyciem podwójnego składnika uwierzytelniania.

Będziemy wdzięczni za przekazanie informacji o podjętych przez Państwa działaniach w celu rozwiązania problemu.

Z poważaniem
CERT Polska
www.cert.pl

 
 
utrivv 
Roztargniony mag


Posty: 6195
Skąd: Z kapusty
Wysłany: 2020-12-02, 17:13   

A ja się zastanawiam co tak dużo ostatnio spamu o bitcoinach otrzymuję :badgrin:
Na szczęście po włamaniu do Morele pozmieniałem wszystkie hasła a gdzie się dało wprowadziłem potwierdzenie przez telefon //utrivv
_________________
Beata: co to jest "gangrena zobczenia"? //ooo
Fidel-F2: Pojęcie wprowadził Josif Wissarionowicz
Fidel-F2: Jak choćby raz opuścisz granice rodiny, ty już nie nasz, zobczony.
Fidel-F2: Na tę gangrenę lek jest tylko jeden.

Próbuj. Przegrywaj. Nieważne. Próbuj po raz kolejny. Przegrywaj po raz kolejny. Przegrywaj lepiej
 
 
toto 
Washington Irving


Posty: 7476
Skąd: Kirinyaga
Wysłany: 2020-12-02, 17:28   

Warto dać znać wszystkim użytkownikom, że powinni zmienić hasła.
_________________
Naprawdę, nie należy ufać apostołom prawdy. Naprawdę kłamcę zdradza podkreślanie prawdy, jak tchórza zdradza podkreślanie waleczności. Naprawdę wszelkie podkreślanie jest formą skrywania albo oszustwa. Formą narcyzmu. Formą kiczu.
"Oszust", Javier Cercas
 
 
Trojan 


Posty: 6317
Skąd: Wroclaw
Wysłany: 2020-12-02, 17:35   

Mam w sumie pytanie okołotematowe. Sprawdziłem moje dane i się okazało że moim adresem rejestrowym jest mail do którego straciłem dostęp dość dawno temu.
Co z tym począć?
 
 
utrivv 
Roztargniony mag


Posty: 6195
Skąd: Z kapusty
Wysłany: 2020-12-02, 17:39   

Odetchnąć z ulgą :badgrin:
_________________
Beata: co to jest "gangrena zobczenia"? //ooo
Fidel-F2: Pojęcie wprowadził Josif Wissarionowicz
Fidel-F2: Jak choćby raz opuścisz granice rodiny, ty już nie nasz, zobczony.
Fidel-F2: Na tę gangrenę lek jest tylko jeden.

Próbuj. Przegrywaj. Nieważne. Próbuj po raz kolejny. Przegrywaj po raz kolejny. Przegrywaj lepiej
 
 
wred 


Posty: 2911
Wysłany: 2020-12-02, 17:42   

Nie wiem czy i co i kiedy mogło wycieknąć.

w jednym z tych plików jest linijka:

Zaginiona-Biblioteka.pl {1.222} [NOHASH] (Entertainment)_special_for_XSS.IS.rar

jak rozumiem to 1222 dane, ale baza forum przechowuje hasła hashowane (MD5 ale zawsze)
czyli co ?

mogę wysłac takiego emaila wszystkim,
mogę zbiorczo zmienić wszystkim hasła na jakieś losowe nieistniejące,
co z UODO ?

Ktoś z Was zgłaszał kiedykolwiek takie incydenty ?
Może ktoś ma dostęp do tych kilkunastu GB danych żeby sprawdzić co tam zostało wykradzione ?
 
 
toto 
Washington Irving


Posty: 7476
Skąd: Kirinyaga
Wysłany: 2020-12-02, 20:06   

Nie, ja się nigdy nie zajmowałem tą częścią serwisów. Nie wiem, do kogo się zgłasza takie rzeczy. Nie wiem jak rozwiązać problem potencjalnie wyciekłych haseł - czy wystarczy wysłać informację do użytkowników i zalecenie do zmiany hasła, czy zmiana hasła na jakieś wygenerowane hashe plus mail z informacją o zmianie hasła, przyczynie zmiany hasła i prośba o ustawienie własnego hasła przy następnym logowaniu (najlepiej, jakby dało się to wymusić silnikiem forum, ale nie wiem, czy to się da). Ale coś zrobić chyba trzeba.
_________________
Naprawdę, nie należy ufać apostołom prawdy. Naprawdę kłamcę zdradza podkreślanie prawdy, jak tchórza zdradza podkreślanie waleczności. Naprawdę wszelkie podkreślanie jest formą skrywania albo oszustwa. Formą narcyzmu. Formą kiczu.
"Oszust", Javier Cercas
 
 
utrivv 
Roztargniony mag


Posty: 6195
Skąd: Z kapusty
Wysłany: 2020-12-02, 21:49   

NA tej stronie z maila jest na innym przykładzie opisane że w pliku znajduje się email, skrót hasła i hasło złamane ale czy Zaginiona ma aż 1222 użytkowników?
_________________
Beata: co to jest "gangrena zobczenia"? //ooo
Fidel-F2: Pojęcie wprowadził Josif Wissarionowicz
Fidel-F2: Jak choćby raz opuścisz granice rodiny, ty już nie nasz, zobczony.
Fidel-F2: Na tę gangrenę lek jest tylko jeden.

Próbuj. Przegrywaj. Nieważne. Próbuj po raz kolejny. Przegrywaj po raz kolejny. Przegrywaj lepiej
 
 
wred 


Posty: 2911
Wysłany: 2020-12-02, 22:13   

Teraz ma 1940, ale taki stan (około 2000) utrzymuje się od dawna... 1200 kont może było 3-5 lat temu ?
 
 
utrivv 
Roztargniony mag


Posty: 6195
Skąd: Z kapusty
Wysłany: 2020-12-02, 22:23   

Czyli to pewnie wtedy utracono dane?
_________________
Beata: co to jest "gangrena zobczenia"? //ooo
Fidel-F2: Pojęcie wprowadził Josif Wissarionowicz
Fidel-F2: Jak choćby raz opuścisz granice rodiny, ty już nie nasz, zobczony.
Fidel-F2: Na tę gangrenę lek jest tylko jeden.

Próbuj. Przegrywaj. Nieważne. Próbuj po raz kolejny. Przegrywaj po raz kolejny. Przegrywaj lepiej
 
 
wred 


Posty: 2911
Wysłany: 2020-12-02, 22:44   

Nie mam pojęcia. I czy faktycznie...
 
 
wred 


Posty: 2911
Wysłany: 2020-12-02, 22:51   

Opis z jednej stronki:

https://www.zdnet.com/art...ach-index-site/

"However, many databases didn't even contain a password, having a designation of "nohash." "

Hmmm. ?
 
 
utrivv 
Roztargniony mag


Posty: 6195
Skąd: Z kapusty
Wysłany: 2020-12-02, 23:00   

Przy tej ilości danych pewnie jest mnóstwo śmieci
_________________
Beata: co to jest "gangrena zobczenia"? //ooo
Fidel-F2: Pojęcie wprowadził Josif Wissarionowicz
Fidel-F2: Jak choćby raz opuścisz granice rodiny, ty już nie nasz, zobczony.
Fidel-F2: Na tę gangrenę lek jest tylko jeden.

Próbuj. Przegrywaj. Nieważne. Próbuj po raz kolejny. Przegrywaj po raz kolejny. Przegrywaj lepiej
 
 
toto 
Washington Irving


Posty: 7476
Skąd: Kirinyaga
Wysłany: Wczoraj 7:06   

Po zastanowieniu. Moim zdaniem za racjonalne minimum można uznać wysłanie maili do wszystkich zarejestrowanych użytkowników z informacją w stylu:

"Zostaliśmy poinformowani o możliwości wykradzeniu haseł użytkowników z naszej bazy danych. Prosimy o jak najszybszą zmianę hasła. W przypadku używania tego emaila w innych serwisach polecamy również zmianę hasła w tych serwisach."

Oczywiście, można dodać, że fakt, że zaginiona pojawiła się w tym komunikacie, nie oznacza, że hasła wyciekły, ale ze względów bezpieczeństwa i tak należy je zmienić.

Jeśli da się wymusić przez silnik forum, żeby przy następnym logowaniu zażądał jednorazowej zmiany hasła, zrobić to, jeśli się da, dodać też krótką informację dlaczego.
Dodatkowo oddzielny temat z ogłoszeniem, że coś takiego się stało, opisane podjęte kroki itp. Bez dyskusji, tylko informacyjny.

Jeśli silnik forum pozwala, ustawić wymóg zmiany hasła raz w roku - jeśli hasło jest starsze niż rok, wymuś przy najbliższym logowaniu jego zmianę. Jeśli to możliwe, zmiana zapisu hasła na bardziej bezpieczny w bazie danych. Więcej chyba zrobić się nie da.
_________________
Naprawdę, nie należy ufać apostołom prawdy. Naprawdę kłamcę zdradza podkreślanie prawdy, jak tchórza zdradza podkreślanie waleczności. Naprawdę wszelkie podkreślanie jest formą skrywania albo oszustwa. Formą narcyzmu. Formą kiczu.
"Oszust", Javier Cercas
 
 
utrivv 
Roztargniony mag


Posty: 6195
Skąd: Z kapusty
Wysłany: Wczoraj 8:21   

Dodajmy że ewentualnemu złamaniu uległy prawdopodobnie tylko hasła słabe jak Sabetha123, każdy taki wyciek powinien zwiększać świadomość wprowadzania mocnych haseł :-)
_________________
Beata: co to jest "gangrena zobczenia"? //ooo
Fidel-F2: Pojęcie wprowadził Josif Wissarionowicz
Fidel-F2: Jak choćby raz opuścisz granice rodiny, ty już nie nasz, zobczony.
Fidel-F2: Na tę gangrenę lek jest tylko jeden.

Próbuj. Przegrywaj. Nieważne. Próbuj po raz kolejny. Przegrywaj po raz kolejny. Przegrywaj lepiej
 
 
Wyświetl posty z ostatnich:   
Odpowiedz do tematu
Nie możesz pisać nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz głosować w ankietach
Nie możesz załączać plików na tym forum
Możesz ściągać załączniki na tym forum
Dodaj temat do Ulubionych
Wersja do druku

Skocz do:  

Katedra


Powered by phpBB modified by Przemo © 2003 phpBB Group

Nasze bannery

Współpracujemy:
[ Wydawnictwo MAG | Katedra | Geniusze fantastyki | Nagroda im. Żuławskiego ]

Zaprzyjaźnione strony:
[ Fahrenheit451 | FantastaPL | Neil Gaiman blog | Ogień i Lód | Qfant ]

Strona wygenerowana w 0,21 sekundy. Zapytań do SQL: 13