D.h es wäre dir zB egal, wenn das Board hier deinen Browser attackiert, weil in die Forensoftware Schadcode injiziert wurde. Und es wäre dir auch wurscht, wenn jmd. in deinem Namen hier Sachen postet. Komplette DB-Dumps, inkl. sämtlicher privaten Kommunikation, wären auch egal.
Kannst ja mal nach vbulletin und xss suchen. Da findet man nach 3.6.1 so einiges.
Aber schon klar: Ist ein Triathlonforum. Da kann ich nicht erwarten, dass die Benutzer eine Vorstellung von den zahlreichen Angriffsvektoren haben.
Zitat:
Zitat von qbz
Der Arbeitsaufwand für eine Aktualisierung der Softwarekomponenten dürfte recht hoch sein, weil man wahrscheinlich das Board neu anpassen / programmieren muss und man nicht einfach automatisch Updates laufen lassen kann. Solange die Systeme laufen, finde ich da kein Problem für mich als Nutzer, da es sich schliesslich ja nicht um Bankensoftware oder einen Shop handelt.
D.h es wäre dir zB egal, wenn das Board hier deinen Browser attackiert, weil in die Forensoftware Schadcode injiziert wurde.
Ja, wäre es mir. Ich halte "das Internet" nicht für eine "sichere Welt", deswegen bin ich hier in einer VM unterwegs.
Zitat:
Zitat von biologist
Und es wäre dir auch wurscht, wenn jmd. in deinem Namen hier Sachen postet. Komplette DB-Dumps, inkl. sämtlicher privaten Kommunikation, wären auch egal.
Ja, wäre es mir. Das mit den Beiträgen fällt schnell auf.
PNs in Foren schreibe ich so, dass ich damit nicht belastet werden kann.
Zitat:
Zitat von biologist
Aber schon klar: Ist ein Triathlonforum. Da kann ich nicht erwarten, dass die Benutzer eine Vorstellung von den zahlreichen Angriffsvektoren haben.
Da unterschätzt Du das Forum und seine Benutzer. Die Anzahl der Nutzer mit entsprechenden Vorstellungen dürfte nicht besonders klein sein.
Als jemand der sich auskennt ist mir all das total egal.
Selbst dass hier quasi jeder mit seinem echten Namen zu finden ist, ist egal.
Was soll passieren außer dass man Ergebnisse findet?
Auf Facebook hinterlassen die meisten mehr Spuren.
Der User xxxxx postet dort regelmäßig Bilder seiner Familie inklusive kleiner Kinder.
Da hätte ich wesentlich mehr bedenken.
Wenn man TS aus einer VM aufruft so ist diese VM trotzdem im privaten Netz und einfach zu kompromittieren wenn man will.
Als jemand der sich auskennt ist mir all das total egal.
Selbst dass hier quasi jeder mit seinem echten Namen zu finden ist, ist egal.
Was soll passieren außer dass man Ergebnisse findet?
.
Jemand der sich „auskennt“ sollte eigentlich nicht mit der Argumentation „ist mir egal“ kommen. Als nächstes kommt ja schon die Stufe ich hab nichts zu verheimlichen hört mich ruhig ab. Der User der weniger Ahnung hat, überall einen identischen user/passwort hat usw. für den hat das evtl. andere Auswirkungen.
Imho kann man schon erwarten, dass zumindest halbwegs regelmäßig gepachted wird.
Im Fall der Fälle hat es evtl. sogar Konsequenzen für die Betreiber.
Denke hier muss man alles neu aufsetzen. Aber das ist die Hölle.
Und dann ist da ja auch noch das Portal (ich glaub Joomla)
Ich hätte da auch keine Lust zu, möchte da nicht mit Arne tauschen.
Bin gespannt, ob sich da mal irgendwann etwas tut.
Meine Frau schaut immer so von der Seite auf mein IPad und sagt dann: Das Forum vom Arne sieht auch immer noch gleich aus, ist schon son running gag bei uns.
Denke hier muss man alles neu aufsetzen. Aber das ist die Hölle.
Und dann ist da ja auch noch das Portal (ich glaub Joomla)
Ich hätte da auch keine Lust zu, möchte da nicht mit Arne tauschen.
Evtl. einfach mal ein Angebot einholen, die Option mit User-Spenden stand ja auch mal im Raum.
Verstehe auch, dass da keiner seine Freizeit opfern will ... aussitzen verbessert die Situation aber auch nicht
Das war auch gar keine Unterstellung, dass das pauschal so ist. Nur erhöht man die Chance, dass etwas passiert, dadurch, dass man >10 Jahre (!) keine Updates einspielt, halt massivst. Die Möglichkeiten einen erfolgreichen Angriff zu landen sind ja auf allen Ebenen vorhanden (OS, PHP, Apache und vBulletin). Sowas wie den mysql-Port (3306) exponiert ins Netz zu hängen kommt dann halt noch on top. Es geht auch nicht nur darum, dass pot. Foren-Nutzer attackiert werden, sondern halt auch darum, dass solche Server gerne mal zu Teilnehmern von Botnetzen werden.
Aber gut, lassen wir das. Ich hab's verstanden, dass es dir egal ist und du das auch weiterhin aussitzen wirst. Wundere dich halt nicht, wenn der "Laden" früher oder später komplett kompromittiert ist und/oder Abuse-Mails via Plusline eintrudeln. Spätestens dann wird eh alles neu aufgesetzt werden müssen, weil nur durch das Zurückspielen eines hoffentlich vorhandenen Backups ja das eigentliche Problem nicht gelöst wird. Denn wenn ein "Pfad" mal erfolgreich beschritten wurde, dann kannst dir sicher sein, dass das immer wieder passieren wird.