Dołącz do zespołu ekspertów! Backend lub Frontend Developer?

Sprawdź najnowsze oferty pracy naszego partnera - 8lines.io!

Serwis MyBB.com ofiarą ataku hakerów

Założony przez  MazuLuka.

Jak na razie nie działa wiki , dev - dla deweloper , mods
tak z ciekawości chciałem zobaczyć poprawki issues , wcześniej bardziej przyglądając się w kod poprawek isusess to w kodzie skupiano się zmieniane były linki i sposób ich umieszczania, jak bym miał dostęp do dev to podał bym przykład, nie skupiając się na istocie sprawy zabezpieczeniu.
Jestem zwolennikiem Mybb, aby tak jak popularny jest skrypt Mybb tak samo był zabezpieczony.
U mnie działa, już normalnie stronka.
Nigdzie nie przekierowuje.

@ Ouuu, jednak nie. mybb.com jest jedynie, lecz podstrony tj. mods.mybb.com jeszcze nie działają. :/
Ale widać,że już pracują nad serwisem.
Forum też już działa :)
Teraz wiem czemu nie mogłem sprawdzić czy używam aktualnej wersji ...
Czy ktoś ma jeszcze złudzenia co do tego aby trzymać wszystkie informacje w chmurze? gmail, apple id i cała masa innych serwisów. Wystarczy dobrać się do poczty i już masz dostęp do wszystkich serwisów powiązanych z danym kontem pocztowym - niestety wygoda kosztuje.
Większość serwisów ma opcję "Zapomniałem hasła", więc wystarczy zdobyć maila i masz praktycznie wszystko. Gmail ma 2-step verification, które polecam (o ile nie masz alternatywnego maila podanego - http://niebezpiecznik.pl/post/jak-mozna-...piecznika/ ). Dropbox bodajże też to wprowadził...
@marcif
Nie zgodzę się z tym. Technologia jest dla ludzi i jeżeli ktoś myśli, to problemu być nie powinno.
Oczywiście są i wady - tak MS jak i Apple do logowania na konto wymagają tylko hasła. Obie platformy po zalogowaniu pozwalają na zdalne czyszczenie telefonu... bez dodatkowych potwierdzeń.

Google to nie jest ideał, ale mają weryfikację dwuetapową - logujesz się z nieznanego urządzenia, to wymaga się od Ciebie podania kodu wysłanego SMSem.

Zdalne czyszczenie komórek również powinno wymagać podania kodu z SMSa, lub też w razie jego braku (np. czyścimy go ktoś nam ukradł telefon / zgubiliśmy go) potwierdzać przez inne metody weryfikacji konta (np. pytania zabezpieczające jak przy resetowaniu hasła).
Jeżeli ktoś ma dostęp do jakichś ważnych rzeczy, to powinien sam dbać o bezpieczeństwo, a telefon na wszelki wypadek szyfrować. Wypadki chodzą po ludziach, nigdy nie wiadomo gdzie go zostawimy / z kim będziemy mieli do czynienia.
Oczywiście wszytko trzeba robić z głową jednak pokazuje to ewidentnie, że wszelkiego rodzaju hackerzy mają dużo łatwiejsze zadanie, wystarczy zdobyć hasło do jednego konta pocztowego i mają wszystko na talerzu ;)
Teraz wystarczy atak na komputer użytkownika podmieniający mu w lokalnych DNSach IP do gmail.com lub innego serwisu i gotowe.
Co więcej często zdarza się, że dostęp do ważnych danych mają osoby totalnie nie mające pojęcia o podstawowych zasadach bezpieczeństwa.

Na potwierdzenie dzisiejszy post na WHT http://www.wht.pl/34-uzytkownikow-uzywa-...ych-hasel/
marcif napisał(a):Na potwierdzenie dzisiejszy post na WHT http://www.wht.pl/34-uzytkownikow-uzywa-...ych-hasel/
Nie chwaląc się: https://webboard.pl/thread-33863.html
A nawet jeśli, to moim zdaniem, jeśli użytkownik jest tak głupi, że ustawia sobie hasło 123456 to wychodzi na to, że nie zależy mu na swoich danych i jak dojdzie do ataku to po prostu - Niech bierze odpowiedzialność za swoje lenistwo. Nie wspominając już o przypadkach kiedy user omija zabezpieczenia jak podany wyżej plugin i daje np. hasło "123-456", ja tam nie będę robił zabezpieczeń "antydebilnych", bo takowe nie są do stworzenia, można pomóc użytkownikowi, ale trzymać za rączkę nie będę. To jego powinno interesować bezpieczeństwo jego konta.
No tak, ale załóżmy, że koleś jest np. kimś ważniejszym na Twoim forum i ustawia sobie hasło 12345 do konta. Wtedy ktoś w minutę się włamuje i zasyfuje Twoje forum różnymi śmieciami (na ile mu pozwolą prawa).

Dlatego najfajniejszym sposobem jest włączenie skomplikowanych haseł do kont. ;)
Pytanie - po co niszczyć?
Teraz w cenie włamywaczy lepszym sposobem jest wyciągnięcie jakiś danych, potem kolejnych itd.

Jeżeli już ktoś uzyska dostęp do konta kogoś ważnego, to raczej nie będzie wykorzystał tego aby syfić forum, no chyba, że to jakieś script kiddies :)
Pewnie, masz rację ;)

Ale zawsze się znajdzie ktoś, kto będzie chciał coś zniszczyć. Chociaż przejąłem Twoje zdanie, że lepiej poszpiegować.
Nieco odkopię, ale dopiero teraz zauważyłem:
Fromasz napisał(a):No tak, ale załóżmy, że koleś jest np. kimś ważniejszym na Twoim forum i ustawia sobie hasło 12345 do konta. Wtedy ktoś w minutę się włamuje i zasyfuje Twoje forum różnymi śmieciami (na ile mu pozwolą prawa).

Jeśli na takim forum byłbym adminem i ktoś inny z ekipy (szczególnie ktoś z dostępem do ACP) ustawiłby takie hasło najpierw dostałby ostry opierdziel, a potem zmniejszyłbym jego uprawnienia moda/admina do minimum. Jeśli natomiast byłbym użytkownikiem takiego forum i takie hasło miałby admin to po włamaniu natychmiast żądałbym zadośćuczynienia za spowodowanie wycieku z jego winy (zakładając, że skoro był tak głupi, żeby dać 123456 jako hasło to też nie dał w regulaminie notki o nie braniu winy za włamania... o ile takowego regulaminu nie skopiował.)
Żeby zabezpieczać takie rzeczy jak hasła itp. najlepiej zrobić sobie jakiś związek hasła do portalu. Po za tym warto mieć oddzielne hasło do poczty.

hasło ogólne to "selmysQQL145"
np. portal to mybboard.
to do portalu mybboard może być dobre hasło smeylbmbyosaQrQdL145
Jest to wymieszana nazwa portalu z hasłem według zasady : pierwsza litera hasła, pierwsza litera nazwy portalu itp...

Drugi przykład:
portal to veldrim

Hasło to sveellmdyrsiQmQL145.

Taki związek łatwo zapamiętać a naprawdę daje dość duże bezpieczeństwo.
A jeśli nawet tego ci się nie chce to chociaż zmień hasło do poczty...
Tak, a teraz niech ktoś odkryje ten schemat, ma po prostu więcej zabawy przy wpisywaniu hasła, nic więcej...



Użytkownicy przeglądający ten wątek:

1 gości