Synthforum gehackt - wijzig je wachtwoord
- Thread starter ishi
- Start date
Acidfever
There's no "I" in denial.
- Lid sinds
- 12 Maart 2004
- Berichten
- 9.055
Nee, alle eventuele inkomsten worden direct gebruikt om de kosten van het forum (hosting, licenties, etc.) mee te dekken.
De inkomsten (uit advertenties) worden bewust zoveel mogelijk beperkt om de forumgebruiker zo min mogelijk tot last te zijn.
Dr van Lansberg
Gepokt en gemazeld
Ik denk dat het ter discussie stellen van de inzet en professionaliteit van de beheerder niet de juiste weg is. Uit persoonlijke ervaring weet ik dat daar geen issues zijn. Als je als vrijwilliger voor Synthforum daarnaast nog eens een uur of 60 per week zakelijke verplichtingen hebt, mag je niet verwachten dat er stante pede actie genomen kan worden. Niet altijd. Daarnaast is het forum offline gegaan binnen 30 minuten na de eerste melding erover op facebook. Vervolgens heeft de beheerder zodra zijn beschikbaarheid dit toeliet ('s avonds en de volgende ochtend) onderzoek gedaan, bestanden van de server verwijderd, een nieuwe installatie afgerond en getest (tussen zijn betaalde werk, het eten en het slapen door).
Dr van Lansberg
Gepokt en gemazeld
|
Bericht door een moderator:
|
|
|
vipal
Ouwe rot
Wat mij betreft is dit voldoende. Geef gewoon duidelijk aan dat SF vanwege allerlei praktische (financiƫle) redenen niet in staat is om volledige veiligheid te garanderen en dat de gebruiker zelf zijn wachtwoord(en) moet managen in de zin van uniek voor SF houden. Wees gewoon helder dat hacks hoogst waarschijnlijk zullen blijven optreden. Misschien daarbij aangeven dat het het beste is om een apart, enkel hiervoor bedoeld, Email adres te gebruiken voor de registratie hier.
Ik ben vooral benieuwd of de PB database is onderschept en of deze encrypted is of niet. Als ik dingen (ver)koop via SF gaat er best wat persoonlijke informatie als namen, adressen, telefoonnummers en bankgegevens over en weer. Die heb ik liever niet op straat. Mocht dit een kwetsbaar deel zijn van de forumsoftware zou ik dat graag weten zodat ik eventueel een volgende keer deze gegevens op een andere manier kan verzenden/ontvangen.
vipal
Ouwe rot
Over wat Nap zegt, niet als kritiek op jou/Nap bedoeld, heel terecht, sinds ik de eerste keer van een hack hoorde ben ik al overgeschakeld naar direct verder communiceren buitenom SF per Email, dus wel goed om dit expliciet te vermelden. wellicht hoort hier dan ook bij dat wij zelf in onze historie de berichten verwijderen waarin gevoelige gegevens staan. Email adres kom je natuurlijk niet om heen, maar goed de spamfilters van de grote providers hierbij werken vrij goed is mijn ervaring.
D
Deleted member 18007
Guest
Bedankt voor de update.
Inspiran
Administrator
De architectuur van vbulletin is niet voorzien op encrypten van prive berichten. Verder kan het niet worden uitgesloten dat deze werd bemachtigd.
Ok, dank. Dan zal ik binnenkort eens gaan opschonen.
rutgerjv
Ouwe rot
Zinvolle vragen. Inderdaad zijn PB berichten potentieel zeer privacy gevoelig! Wat me ook niet helemaal duidelijk is uit de berichtgeving is of wachtwoorden zelf buit gemaakt zijn en of deze encrypted waren. In beide laatste gevallen zou ik van de moderators verwacht hebben dat ze een password reset voor iedereen geforceerd hadden, in plaats van "op vrijwillige basis". Of is dat een gekke gedachte?
Mijn gevoel in algemene zin is dat het Synthforum van 10 jaar geleden eigenlijk voorbij is. Ik hoop dat ik hiermee niemand beledig, maar vroeger was het drukker bezocht en lag het expertise-niveau ook hoger. Momenteel hebben we te maken met een meer afgeslankte versie van wat het ooit was, en daar hoort bij dat er minder tijd/energie is voor support/onderhoud van het forum. Begrijpelijk, maar er komt een punt waarop het allemaal wel erg kwetsbaar begint te worden. Misschien zijn er andere vormen waarin deze community door kan gaan die minder onderhoudsgevoelig zijn? En wat betreft custom-plugins: mooi, maar hecht er niet teveel aan. Liever een solide simpel forum waar we kunnen praten over onze gemeenschappelijke interesse, dan fancy toeters en bellen.
R.
Het Synthforum is op dit moment nog steeds vrij modern.. Zo slecht is vBulletin ook weer niet.. :-)
Misschien eens een release posten voor wat meer activiteit?
Dr van Lansberg
Gepokt en gemazeld
De wachtwoorden zijn niet encrypted maar gehashed opgeslagen. Gehashed heeft het voordeel dat het wachtwoord niet te "berekenen" valt. Een wachtwoord wordt bij hashen omgezet in een hexadecimale code van 32 karakters die uniek is voor dat wachtwoord. Hackers hebben soms de beschikking over grote databases met woorden en de hashes ervan. Hoe unieker (of complexer) het wachtwoord, hoe kleiner de kans dat deze in zo'n database voorkomt. Daarom wordt er ook vaak zo gehamerd op het gebruiken van een een wachtwoord met hoofd- en kleine letters, cijfers en leestekens.
Voor meer info, klik hier.
Niet perse een gekke gedachte. Het punt is echter niet zozeer het hacken van een SF account, hoewel dat natuurlijk ook heel vervelend kan zijn en de nodige consequenties kan hebben. Het probleem van het gebruik van hetzelfde wachtwoord voor meerdere diensten is groter. Als iemand de beschikking over je de combinatie mailadres en wachtwoord, is de kans aanwezig dat mailaccounts het volgende slachtoffer zijn. En dat probleem is vele malen groter dan een hack van een SF account. Dan moet je vervolgens de kosten/baten afweging maken. Overigens is dat niet de taak van moderators maar van de beheerder en h et bestuur van de stichting.
Off topic maar deze kon ik natuurlijk niet laten gaan
. Ik vraag me af of dat klopt.Die kwetsbaarheid zit hem niet in het beheer/onderhoud, maar in de code van de software (in combinatie met de kwaliteit van de communicatie van de ontwikkelaar van die software).
We proberen zo weinig mogelijk gebruik te maken van externe add-ons. Op dit moment gebruiken we er 3:
- een embedded audio player
- een channel viewer counter
- een optie om geselecteerde te quoten
Wat mij betreft is in elk geval die eerste een must op een muziekgerelateerd forum
.Zelf heb ik verschillende dingen opgemerkt over het beheer, waar ik geen antwoord op krijg.. :-)
Maar ik moet eerlijk bekennen dat ik, sinds jaren geleden het Synthforum een keer door een malwarescanner werd geblokkeerd, hier altijd een beetje voorzichtig blijf..
Laatst gewijzigd:
Dr van Lansberg
Gepokt en gemazeld
Welk bericht doel je op dan? In post 85 en 86 heb ik volgens mij je opmerkingen die niet als antwoord op een ander zijn gegeven toch besproken?
Misschien nogal draconische maatregel... maar wellicht is het bij een bekend veiligheidslek dat tijd kost om te patchen dan verstandig om tijdelijk de site offline te halen (.htaccess). Dat is snel gedaan en geeft tijd (zeker als je dan je patch doet met een allow ip beheerder).
Verder fijn dat dit forum bestaat en dat er nog fora bestaan buiten FB om! Houd dat in stand! Dank dus ook!
Verder fijn dat dit forum bestaat en dat er nog fora bestaan buiten FB om! Houd dat in stand! Dank dus ook!
Mike Philco
Ehmmm,...
Jongens en meisjes en alles daartussenin,...
Ik vind dat de moderators goed werk verrichten en goed werk hebben hebben verricht in dit vervelende voorval.
Dit soort hack-aanvallen zijn en blijven vervelend.
Wat even heel belangrijk is: Dit forum is gratis. Zij doen dit voor niets. Gewoon erbij. Even tussendoor.
Hopelijk dat de betaalde advertenties voldoende opleveren om uit de kosten te blijven.
Voor hetzelfde geld trekken de moderators de stekker eruit en is het gedaan met het forum.
Ik vind dat de moderators goed werk verrichten en goed werk hebben hebben verricht in dit vervelende voorval.
Dit soort hack-aanvallen zijn en blijven vervelend.
Wat even heel belangrijk is: Dit forum is gratis. Zij doen dit voor niets. Gewoon erbij. Even tussendoor.
Hopelijk dat de betaalde advertenties voldoende opleveren om uit de kosten te blijven.
Voor hetzelfde geld trekken de moderators de stekker eruit en is het gedaan met het forum.
clintrubber
Ouwe rot
Even mee zitten stoeien, ik zag geen mogelijkheid om losse berichten te selecteren om weg te gooien... dan alles maar?
