Sicherheit des Forums

So!

Die Katze ist aus dem Sack!

Es sind bei dem sehr intensiven Audit des Forums doch so einige Sicherheitslücken zum Vorschein gekommen.

Einige davon sind eigentlich eher dem Umstand geschuldet, dass ich in den vergangenen Monaten zu wenig Zeit hatte um, zeitnah nach den Veröffentlichungen, entsprechende Aktualisierungen vor zu nehmen. Dieses bringt schon mal einen erheblichen Sicherheitsgewinn, wenngleich es natürlich keine Garantie darstellt (aber die gibt es ohnehin nie )

Weiterhin sollte ich die Rechte an den ca. 44.000 Dateien mal im Einzelnen überprüfen, was für sich allein schon ein Job für ein Jahr wäre..., dafür gibt es aber Software, die das für einen erledigt, die werde ich wohl anschaffen.

Ein weiteres Manko ist die Sitzungsdauer, die ich auf mehrfachen Wunsch ja mal auf 1 Stunde gesetzt hatte. Optimal wären 15 Minuten, ich werde sie aber mal auf 30 Minuten verkürzen.

Darüber hinaus sind natürlich ein paar Komponenten installiert und teilweise auch aktiv, die wir gar nicht benötigen, bzw. auch gar nicht benutzen. Einige davon sind standardmäßig mit vorgesehen, andere hatte ich wohl mal zum Testen installiert und dann nicht wieder entfernt...

Das Datenbankpasswort war dann am Ende doch nicht so toll, wie ich dachte..., nach schlappen 6 Stunden war es doch geknackt .Dafür gibt es bestimmte Vorgehensweisen, eine davon nennt sich "Brute Force", dann wird per Zufallsgenerator so lange probiert, bis es passt.

Aaaaber, die gute Nachricht: Es ist bislang noch niemandem gelungen, einzudringen, und auch der Auditor hat es schließlich nur geschafft, weil ich ihn reingelassen habe.

Ich möchte es aber nun nicht dabei bewenden lassen, sondern muss mehr für die Sicherheit tun. Ein Weg wäre vielleicht ein solches Abo abzuschließen (€ 300,00/Jahr), ein anderer wäre, sich die notwendigen Tools (Software) anzuschaffen, die die Arbeit zwar nicht allein machen, aber nach einmal erfolgter Anpassung an die eigenen Bedürfnisse einfach eine Menge Zeit sparen und die Verwaltung einfach erleichtern.

Zeitgleich möchte ich noch ein paar (kostenpflichtige) Sicherheitskomponenten einbauen.

Der Vorteil dabei wäre, dass die Software immer verfügbar ist, ich nach wie vor alle Freiheiten habe, etwas zu testen und zu verändern und wir lediglich ab und an diese Tools aktualisieren müssten (wenn man sie denn erst mal hat)

Der Nachteil dabei ist, dass man natürlich noch immer selbst Hand anlegen muss, doch auch sonst möchte ich mich einfach in dei Hände eines Fremden begeben...

Wie schon gesagt, wenn man bereit ist, alles "outzusourcen", wie man wohl in Neudeutsch sagt, ist es natürlich bequem und auch zunächst mal sicher, man begibt sich aber auch in eine gewisse Abhängigkeit, und damit habe ich -offen gestanden- ein Problem.

Der Nachteil einer so genannten externen Betreuung liegt einfach darin, dass ich nicht mehr einfach etwas machen kann, ohne den Wartungsvertrag zu verletzen und es eigentlich vorprogrammiert ist, dass der Vertrag so immer wieder in Frage gestellt würde. Das ist mir auf die Dauer zu anstrengend, ganz ehrlich :unsure:

Was meint Ihr, technisch aufrüsten und weitermachen, oder "outsourcen"?

Moin,

Zitat

Was spricht dagegen wenn es auf 30 Minuten begrenzt wird, im schlimmsten Fall wenn man länger Online ist, muß man sich neu Einloggen.

Das kommt ja auch nur zum Tragen, wenn man inaktiv online ist. Solange man aktiv ist, d.h. verschiedene Seiten aufruft, läuft die Zeit nicht.

Zitat

Was wäre auf längere Sicht die Beste und nicht so Kostenintensivere Investition?

Die Anschaffung eigener Software mag im ersten Ansatz vielleicht etwas teurer sein (hält sich aber sicher noch im verfügbaren Rahmen), und ist sicher am Anfang auch ein wenig zeitintensiver. Auf längere Sicht jedoch ist das sicher die günstigere Alternative.
Investitionen zahlen sich ja in der Regel nicht unmittelbar, nachdem sie getätigt wurden, aus, sondern es bedarf einer gewissen Zeit.

Zitat

Das man selbst Hand anlegen müßte, würde ich an Deiner Stelle auch in Kauf nehmen, in Fremde Hände würde ich mich auch nicht so ohne weiteres begeben, man ist dann Irgendwie Abhängig

Genau, die Abhängigkeit, der man sich aussetzt, wenn man das in fremde Hände legt, ist es, die mich zweifeln lässt, ob das eine gute Alternative ist.

Zitat

Du hast Dir die Frage ja schon selbst beantwortet, und verstehe Deine Bedenken.

Das stimmt natürlich, Herwig! Es ist, auf Basis der verfügbaren Informationen und Argumente eigentlich keine Frage mehr..., dennoch möchte ich, da wir vier hier ein Team sind, solche Entscheidungen möglichst im Konsens herbeigeführt wissen. Es ist nicht meine Art, den "Patriarchen" zu spielen und "über die Köpfe hinweg" zu entscheiden :cheer: .
So handhabe ich das hier bei mir in der Firma auch, mit ziemlichem Erfolg, über -zig Jahre
Manchmal kommt es zwar vor, dass ich mich über eine Mehrheitsmeinung hinweg setzen muss, aber so ist das nun mal, wenn man "den Hut auf hat". Dafür trägt man ja letztendlich auch die Verantwortung.

Udo, Heiner????

Moin,

das mit dem Schulen ist so eine Sache, das kann sich eigentlich nur auf die Verwaltung beschränken, nicht auf die IT selbst.

Die IT lernt man wirklich nicht mal eben zwischendurch , ich beschäftige mich seit nunmehr fast 25 Jahren damit, und stoße immer wieder an meine Grenzen

Sicher kann man Programme beherrschen lernen, aber das reicht nur solange aus, bis etwas in die Hose geht..., denn dann fängt man an, im eigentlichen Code zu suchen und zu korrigieren, sofern man etwas findet.

Korrigieren kann man aber nur, wenn man beim Auftreten des Fehlers dabei war und genau weiß, was passiert ist. Ansonsten kann man nur raten, und das führt meist dazu, dass am Ende alles durcheinander ist

Da halte ich es für eine bessere Sache, wenn Ihr Euch mal ins Backend einloggt, einfach mal stöbert und dann gezielt fragt. Ich kann dann versuchen, Euch gezielt ein wenig schlauer zu machen

Moin,

Zitat

Nur war da keine neue Nachricht von Dir, wie kannst Du Dir das erklären.

Ganz einfach, ich hatte versehentlich auf absenden gedrückt, obwohl ich das noch gar nicht wollte. Da ich aber keine Zeit mehr hatte, den Beitrag auszuformulieren, habe ich ihn kurzerhand wieder gelöscht und dann später im Büro wieder eingestellt

Also, kein Fehler im System...

Wenn Fragen, dann fragen , ich erkläre es wirklich gern, wenn es die Zeit erlaubt.

Moin,

gerade habe ich das schriftliche Angebot für die Wartung erhalten

Von € 299,00 ist schon keine Rede mehr..., bei dem Umfang möchte man nun noch € 150,00 zusätzlich haben.

Kommt nicht in die Tüte! Dann mache ich lieber meine Hausaufgaben selbst

Der Wartungsvertrag beinhaltet, dass ein paar Sicherheitseinstellungen "optimiert" werden, was ja schwer zu kontrollieren ist.
Weiterhin werden immer alle neuesten Sicherheitsupdates eingespielt.

Im Großen und Ganzen war's das schon

Der Zeitaufwand hierfür ist schwer einzuschätzen.

Es ist nicht enthalten, eventuelle Fehler zu beseitigen, normale Optimierungen vorzunehmen oder Erweiterungen einzuspielen.

Das Einpflegen neuer Funktionen natürlich auch nicht, und wenn der Besitzer das dann selbst macht, ändert sich der Vertragsgegenstand..

Nee, Nee, da bleibe ich doch lieber selbst am Ball, ausgestattet mit ein paar neuen Hilfswerkzeugen wird das schon gehen.

Und am Jahresende umstellen auf die neueste Version muss ich auch ohnehin selbst, da das schon gar nicht enthalten ist.

Auf Deine Frage, Herwig, kome ich morgen zurück, heute brannte ein wenig die Luft bei uns im Büro

Moin,

kurzes Update:

Ich habe heute mal einige Sicherheitseinrichtungen verändert.

Na ja, ich hab's ja wieder hinbekommen

Erste, für Euch wichtige, Veränderung: http://www.hobby-wohnmobilforum.de/administrator funktioniert nicht mehr. Wenn Ihr das eingebt, werdet Ihr auf die normale Startseite geleitet.
Ihr müsst jetzt, um ins Backend zu kommen, http://www.hobby-wohnmobilforum.de/administrator/?bunker eingeben. Da soll ein Hacker erst einmal drauf kommen..., kleine Änderung, große Wirkung

Weitere Sicherheitseinstellungen werden noch folgen....

Moin Herwig,

Zitat

Die letzten Tage habe ich des Öfteren anstatt in der Adresszeile das Logo vom Forum als favicon das von Promobil gehabt, hängt wahrscheinlich mit dem IE zusammen.

Ich nehme stark an dass das mit dem Cache Deines IE zusammenhängt, der vielleicht mal geleert werden sollte Microsoft bringt da manchmal was durcheinander.