עשית לי חשק לחורב-זאבזי...
תודה רבה
נ.ב.
אם בסיסמא שלכם יש אותיות (בגדלים שונים), סימנים ומספרים (כולם יחד) עדיין יקח להם כמה חודשים לפרוץ אותה (כן כן גם עם הרמז הצפנה) וזה בתנאי שיש להם חוות שרתים + עט/עיפרון והמון זמן פנוי.
אם הם יעברו את הקידוד של IEEE בכלל...
אבל שאפו לילדים האירנים.
Sent from my MI 5X using Tapatalk
נערך לאחרונה על ידי 2 Strokes; 06-08-2018 בשעה 10:31.
החלפתי, תודה על העדכון
הוחלף,
אולי זה הזמן להתקין תעודת SSL לאתר סוף סוף ?
גם עכשיו, בלי HTTPS (המנעול הירוק בשורת הכתובת למעלה) כל העברת הנתונים בין המשתמשים לאתר, ואני רק יכול להניח בין הדאטאבייס / וורדפרס מבוצע באופן לא מוצפן.
ככה שתכלס, אם אכן נכנסו חומיינים, אולי זה הזמן לעשות בדק בית רציני יותר במערכות שלכם, ולא רק להחליף סיסמאות .
(כן, שמתי לב שהמפתח שלכם לא שש לענות לשאלות טכניות לא מסובכות) , אבל אולי זה יעיר אותו (ואותכם).
מבחינת עלויות, אל חשש, יש את https://letsencrypt.org שנותנים תעודות בחיני חינם.
(וכן, אני מאוד מעריך את האתר ומפעיליו, והסיבה שאני מעיר על כך זה רק בשבילכם)
נכתב במקור על ידי NAOR2207
טוב. אז קודם כל שאפו על השקיפות!
זה לא טריוויאלי בכלל לצאת בהכרזה במקרים כאלו.
אישית. הייתי שמח ליותר פרטים טכנים. האם זו היתה חולשה ידועה לגירסה הספציפית של הvb? היכן נשמר המפתח להצפנה? איך אנחנו בטוחים שהם לא שמו יד עליו? האם הוחלף?
וכ'ו וכ'ו
אני יודע שזו בקשה קצת מוזרה ולקחתי בחשבון שאתקל בסירוב. זה לגיטימי והכל טוב מבחינתי.
ושוב. שאפו על השקיפות.
זה קורה גם במשפחות הכי טובות - רק לפני כמה ימים רדיט הודיעו על פריצה דומה
(לא השיטה בה נפרץ, אבל כן סוג המידע שנגנב)
מסתבר שבלינוקס זה גם קורה. לפעמים
עריכה:
אגב, אני יודע שזה לא היה וקטור התקיפה (ואולי כן?) אבל הפורום עדיין לא עובד SSL
אם התעודות יקרות ניתן להשתמש ב LetsEncrypt
עזרתי (עם הידע המצומצם שלי) מוצעת חינם אין כסף לטובת העניין.
אולי אליך כן יתיחסו
לא טוען שאין טעם לSSL (חושב שיכול רק להוסיף), אבל אני לא רואה את הקשר בין המקרה פריצה שמתואר כאן (ניצול פירצת אבטחה בwordpress) לבין SSL.
האתר לא נפרץ כי לא היה SSL, ובכל מקרה, לא היה עוזר כי הוא מצפין רק את התעבורה בין משתמש לאתר, לwordpress במילא יש גישה לכל מערכות האתר והנקודת חולשה היא בו.
נחמד שעל הדרך מנסים לעזור, אבל אין צורך להחמיר עם ״להעיר אותכם״ ו״בדק בית״, לא עברתי על כל השרשורים אבל אני מאמין שלא רשמו כאן את סודות הגרעין הישראלי ואם היה HTTPS, עדיין wordpress זה תוכנה צד שלישית ולא פולגז שיכתבו את הקוד... (היה קורה במילא)
בסך הכל עבודת התאמה יפה ונקייה התבצעה פה.
להגיד שאין פה סודות הגרעין זה כמו להגיד ״למה שיפרצו לי אין לי שום דבר מעניין במייל״ ואיכשהו גניבת זהות היא אחד מהפשעים הכי נפוצים בשנים האחרונות.
הסיבה שפעם לא שמו ssl על אתרים משום שמחשבים לא היו מספיק חזקים לטפל בתעבורת הרשת וגם בפיענוח ההצפנה ואילו היום- כשכל טלפון יכול לעשות את זה ויותר - אין סיבה לא לעשות את זה. גם העלות כבר זניחה ואין צורך להוציא מאות דולרים על תעודה. לזלזל במשהו כלכך טריוואלי רק מראה את חוסר ההבנה בתחום.
גוגל גאונים בקטע הזה שהם דוחפים לזה (וכבר מדברים על זה יותר מ4 שנים)
פריצות שכאלו כמעט אף פעם לא מסתיימות בגניבה פשוטה של מידע, וכמעט תמיד החבר׳ה הנחמדים משאירים מתנות מאחור - עד כדי כך שכמעט תמיד מומלץ להתקין את השרת מאפס. זה עלול להמשיך לפגוע בפול גז גם בעתיד וחבל שכך.
לכל המשתמשים אני מציע לראות את הסרטון הבא (בעברית) על כמה פשוט לאבד גישה לחיים הדיגיטלים, וממליץ בחום להפעיל אימות דו שלבי (2FA) על החשבונות שלכם באשר הם. אם אתם חושבים שזה קורה רק לאנשים מיוחדים, תחשבו שוב.
https://youtu.be/zxJ7j-Xwc_4?t=6s
MAT לא היה חכם במיוחד
כשתמשים בשירותים מקבילים של אפל וגוגל רצוי להשתמש בכרטיס אשראי אנונימי/נטען ובכך למנוע את כל הסגה המיותרת הזו...
בשביל זה יש תקנונים לכל חברה לפני שאתה משתמש במוצר שלה, תקראו והיו מוגנים (הכי פשוט). לכל דבר ניתן לפרוץ, פריצות כבר הוכחו לא ככתיבה גאונית אלא כנוכלות כלשהי מול אדם או חברה (קים דוט-קום). אל תהיו פטי...
Sent from my MI 5X using Tapatalk
עודכן. ממילא רציתי לשנות את כל הסיסמאות שלי לעשרים תווים.
הרשאות פרסום
ציטוט ההודעה בתגובה