הודעה חשובה לגולשי פורום פול גז - החלפת סיסמה

הצג להדפסה

הצג 40 הודעות מהאשכול בעמוד אחד

06-08-2018, 11:08
fleetfoot

החלפתי, תודה על העדכון
06-08-2018, 11:10
ofer

שונה
06-08-2018, 11:38
קיפיבןקיפוד

הוחלף,
אולי זה הזמן להתקין תעודת SSL לאתר סוף סוף ?

גם עכשיו, בלי HTTPS (המנעול הירוק בשורת הכתובת למעלה) כל העברת הנתונים בין המשתמשים לאתר, ואני רק יכול להניח בין הדאטאבייס / וורדפרס מבוצע באופן לא מוצפן.
ככה שתכלס, אם אכן נכנסו חומיינים, אולי זה הזמן לעשות בדק בית רציני יותר במערכות שלכם, ולא רק להחליף סיסמאות .
(כן, שמתי לב שהמפתח שלכם לא שש לענות לשאלות טכניות לא מסובכות) , אבל אולי זה יעיר אותו (ואותכם).
מבחינת עלויות, אל חשש, יש את https://letsencrypt.org שנותנים תעודות בחיני חינם.

(וכן, אני מאוד מעריך את האתר ומפעיליו, והסיבה שאני מעיר על כך זה רק בשבילכם)
06-08-2018, 15:00
naked

ציטוט:

נכתב במקור על ידי אביעד אברהמי

:thumbsup:

:thumbsup:

פרצת האבטחה לא הייתה ב-VB אלא בוורדפרס, ובגלל האינטגציה אצלנו באתר בין הוורדפרס לבין ה-VB הייתה להאקרים גישה מוגבלת לנתוני הפורום. הפרצה כאמור נאטמה.

https://pastebin.com/awJQL3nQ

איזה באסה לגלות במצב הזה שבטעות נרשמתי לפורום עם המייל האישי :tomato2:
06-08-2018, 15:10
NAOR2207

ציטוט:

נכתב במקור על ידי NAOR2207

טוב. אז קודם כל שאפו על השקיפות!
זה לא טריוויאלי בכלל לצאת בהכרזה במקרים כאלו.
אישית. הייתי שמח ליותר פרטים טכנים. האם זו היתה חולשה ידועה לגירסה הספציפית של הvb? היכן נשמר המפתח להצפנה? איך אנחנו בטוחים שהם לא שמו יד עליו? האם הוחלף?
וכ'ו וכ'ו
אני יודע שזו בקשה קצת מוזרה ולקחתי בחשבון שאתקל בסירוב. זה לגיטימי והכל טוב מבחינתי.

ושוב. שאפו על השקיפות.
זה קורה גם במשפחות הכי טובות - רק לפני כמה ימים רדיט הודיעו על פריצה דומה
(לא השיטה בה נפרץ, אבל כן סוג המידע שנגנב)
מסתבר שבלינוקס זה גם קורה. לפעמים :)

עריכה:
אגב, אני יודע שזה לא היה וקטור התקיפה (ואולי כן?) אבל הפורום עדיין לא עובד SSL
אם התעודות יקרות ניתן להשתמש ב LetsEncrypt
עזרתי (עם הידע המצומצם שלי) מוצעת חינם אין כסף לטובת העניין.

ציטוט:

נכתב במקור על ידי קיפיבןקיפוד

הוחלף,
אולי זה הזמן להתקין תעודת SSL לאתר סוף סוף ?

גם עכשיו, בלי HTTPS (המנעול הירוק בשורת הכתובת למעלה) כל העברת הנתונים בין המשתמשים לאתר, ואני רק יכול להניח בין הדאטאבייס / וורדפרס מבוצע באופן לא מוצפן.
ככה שתכלס, אם אכן נכנסו חומיינים, אולי זה הזמן לעשות בדק בית רציני יותר במערכות שלכם, ולא רק להחליף סיסמאות .
(כן, שמתי לב שהמפתח שלכם לא שש לענות לשאלות טכניות לא מסובכות) , אבל אולי זה יעיר אותו (ואותכם).
מבחינת עלויות, אל חשש, יש את https://letsencrypt.org שנותנים תעודות בחיני חינם.

(וכן, אני מאוד מעריך את האתר ומפעיליו, והסיבה שאני מעיר על כך זה רק בשבילכם)

אולי אליך כן יתיחסו
06-08-2018, 15:33
Ritalin

חצי מהיוזרים שהם גנבו של היוזרים החסומים שלי
06-08-2018, 19:48
ees

ציטוט:

נכתב במקור על ידי אביעד אברהמי

:thumbsup:
https://pastebin.com/awJQL3nQ

אביעד-מה זה הלינק הזה ו/או האתר?
06-08-2018, 19:57
אביעד אברהמי

ציטוט:

נכתב במקור על ידי ees

אביעד-מה זה הלינק הזה ו/או האתר?

רשימת המשתמשים.
06-08-2018, 22:53
zrobavel

ציטוט:

נכתב במקור על ידי קיפיבןקיפוד

...
אולי זה הזמן להתקין תעודת SSL לאתר סוף סוף ?

גם עכשיו, בלי HTTPS (המנעול הירוק בשורת הכתובת למעלה) כל העברת הנתונים בין המשתמשים לאתר, ואני רק יכול להניח בין הדאטאבייס / וורדפרס מבוצע באופן לא מוצפן.
ככה שתכלס, אם אכן נכנסו חומיינים, אולי זה הזמן לעשות בדק בית רציני יותר במערכות שלכם, ולא רק להחליף סיסמאות .
(כן, שמתי לב שהמפתח שלכם לא שש לענות לשאלות טכניות לא מסובכות) , אבל אולי זה יעיר אותו (ואותכם).
מבחינת עלויות, אל חשש, יש את https://letsencrypt.org שנותנים תעודות בחיני חינם.

(וכן, אני מאוד מעריך את האתר ומפעיליו, והסיבה שאני מעיר על כך זה רק בשבילכם)

לא טוען שאין טעם לSSL (חושב שיכול רק להוסיף), אבל אני לא רואה את הקשר בין המקרה פריצה שמתואר כאן (ניצול פירצת אבטחה בwordpress) לבין SSL.
האתר לא נפרץ כי לא היה SSL, ובכל מקרה, לא היה עוזר כי הוא מצפין רק את התעבורה בין משתמש לאתר, לwordpress במילא יש גישה לכל מערכות האתר והנקודת חולשה היא בו.

נחמד שעל הדרך מנסים לעזור, אבל אין צורך להחמיר עם ״להעיר אותכם״ ו״בדק בית״, לא עברתי על כל השרשורים אבל אני מאמין שלא רשמו כאן את סודות הגרעין הישראלי ואם היה HTTPS, עדיין wordpress זה תוכנה צד שלישית ולא פולגז שיכתבו את הקוד... (היה קורה במילא)
בסך הכל עבודת התאמה יפה ונקייה התבצעה פה.
06-08-2018, 23:08
NAOR2207

כהרגלך בקודש אתה צודק!
אל לנו להיכנע לציר הרשע!
https://serverguy.com/security/googl...cate-websites/
06-08-2018, 23:41
2 Strokes

אם היה פה סמל של מחיאות כפיים הייתי שם.
יופי של סיכום...

בוא נרד לשאלה מעניינת...
כמה יוזרים חסומים הם מנסים לפרוץ עכשיו?

Sent from my MI 5X using Tapatalk
06-08-2018, 23:42
ees

ציטוט:

נכתב במקור על ידי אביעד אברהמי

רשימת המשתמשים.

הכוונה שלי אם זה דף שאתם פרסמתם או שזה דף שאפר איכשהו להגיע אליו ע"י מנוע חיפוש.
אם זו האפשרות הראשונה, אז יש פגיעה כפולה בפרטיות המשתמשים.
עכשיו כל אחד להצליב שם של כל יוזר עם כתובת המייל שלו.
06-08-2018, 23:55
1122

ציטוט:

נכתב במקור על ידי ees

הכוונה שלי אם זה דף שאתם פרסמתם או שזה דף שאפר איכשהו להגיע אליו ע"י מנוע חיפוש.
אם זו האפשרות הראשונה, אז יש פגיעה כפולה בפרטיות המשתמשים.
עכשיו כל אחד להצליב שם של כל יוזר עם כתובת המייל שלו.

לכול דף וכתובת באינטרנט אתה יכול להגיע דרך מנוע חיפוש...... עובדה אינטרנטית 101#... לא יודע איפה אתה חי :/
07-08-2018, 00:30
ees

ציטוט:

נכתב במקור על ידי 1122

לכול דף וכתובת באינטרנט אתה יכול להגיע דרך מנוע חיפוש...... עובדה אינטרנטית 101#... לא יודע איפה אתה חי :/

עובדה אינטרנטית #102: הכר את:
<meta name="robots" content="noindex,nofollow">
וזו רק הדוגמא הכי פשוטה מבין כמה, ורק ברמת ה-HTML. אני בטוח שאלו פה שעוסקים בזה יכולים לתת לך דוגמאות יותר מורכבות.
אני לא יודע איפה אתה חי, אבל לא לכל דף ולכל כתובת אתה יכול להגיע דרך מנוע חיפוש.
הציניות מיותרת אם אין לך ידע.
07-08-2018, 06:38
אביעד אברהמי

ציטוט:

נכתב במקור על ידי ees

הכוונה שלי אם זה דף שאתם פרסמתם או שזה דף שאפר איכשהו להגיע אליו ע"י מנוע חיפוש.
אם זו האפשרות הראשונה, אז יש פגיעה כפולה בפרטיות המשתמשים.
עכשיו כל אחד להצליב שם של כל יוזר עם כתובת המייל שלו.

זה נראה לך כמו דף שאנחנו פרסמנו?
07-08-2018, 09:07
קיפיבןקיפוד

ציטוט:

נכתב במקור על ידי zrobavel

.... אני מאמין שלא רשמו כאן את סודות הגרעין הישראלי .... .

להגיד שאין פה סודות הגרעין זה כמו להגיד ״למה שיפרצו לי אין לי שום דבר מעניין במייל״ ואיכשהו גניבת זהות היא אחד מהפשעים הכי נפוצים בשנים האחרונות.

הסיבה שפעם לא שמו ssl על אתרים משום שמחשבים לא היו מספיק חזקים לטפל בתעבורת הרשת וגם בפיענוח ההצפנה ואילו היום- כשכל טלפון יכול לעשות את זה ויותר - אין סיבה לא לעשות את זה. גם העלות כבר זניחה ואין צורך להוציא מאות דולרים על תעודה. לזלזל במשהו כלכך טריוואלי רק מראה את חוסר ההבנה בתחום.
גוגל גאונים בקטע הזה שהם דוחפים לזה (וכבר מדברים על זה יותר מ4 שנים)

פריצות שכאלו כמעט אף פעם לא מסתיימות בגניבה פשוטה של מידע, וכמעט תמיד החבר׳ה הנחמדים משאירים מתנות מאחור - עד כדי כך שכמעט תמיד מומלץ להתקין את השרת מאפס. זה עלול להמשיך לפגוע בפול גז גם בעתיד וחבל שכך.

לכל המשתמשים אני מציע לראות את הסרטון הבא (בעברית) על כמה פשוט לאבד גישה לחיים הדיגיטלים, וממליץ בחום להפעיל אימות דו שלבי (2FA) על החשבונות שלכם באשר הם. אם אתם חושבים שזה קורה רק לאנשים מיוחדים, תחשבו שוב.

https://youtu.be/zxJ7j-Xwc_4?t=6s
07-08-2018, 09:31
השושנים

הוחלף!
07-08-2018, 10:28
Busy

החלפתי.
PS ברגל זו,הייתי רוצה למסור ד"ש חם לעם האיראני ומאחל להם שהם יוכלו ליהנות מהר ככל האפשר מאופני הארלי ואינדיאן המצויינים.
07-08-2018, 12:13
1122

ציטוט:

נכתב במקור על ידי ees

עובדה אינטרנטית #102: הכר את:
<meta name="robots" content="noindex,nofollow">
וזו רק הדוגמא הכי פשוטה מבין כמה, ורק ברמת ה-HTML. אני בטוח שאלו פה שעוסקים בזה יכולים לתת לך דוגמאות יותר מורכבות.
אני לא יודע איפה אתה חי, אבל לא לכל דף ולכל כתובת אתה יכול להגיע דרך מנוע חיפוש.
הציניות מיותרת אם אין לך ידע.

אתה מתיימר להיות חכם ועדיין שואל שאלה טיפשית על אתר פשוט כמו pastebin, אבל מה שעושה לך טוב כפרה..
07-08-2018, 12:50
uriar

עודכן. ממילא רציתי לשנות את כל הסיסמאות שלי לעשרים תווים.
07-08-2018, 14:16
ees

ציטוט:

נכתב במקור על ידי 1122

אתה מתיימר להיות חכם ועדיין שואל שאלה טיפשית על אתר פשוט כמו pastebin, אבל מה שעושה לך טוב כפרה..

תגיד, פניתי אליך בצורה לא מכבדת? או שזה רפלקס אצלך לענות ככה?
07-08-2018, 17:52
EGEG

בוצע. תודה
08-08-2018, 10:23
dudybou

בוצע.
תודה !
08-08-2018, 22:11
חתול תעלול

הוחלף, שאפו על ההתנהלות !
08-08-2018, 22:53
asaf16

נכון או לא נכון:
אם לא הופעתי ברשימת היוזרים שנשלף המידע שלהם, אין צורך בהיערכות מחודשת מצידי.
08-08-2018, 23:07
mudale222

לא נכון.
זה שהשם שלך לא פורסם לא אומר כלום ועדיף לא לקחת סיכון.
09-08-2018, 12:18
2 Strokes

ציטוט:

נכתב במקור על ידי קיפיבןקיפוד

להגיד שאין פה סודות הגרעין זה כמו להגיד ״למה שיפרצו לי אין לי שום דבר מעניין במייל״ ואיכשהו גניבת זהות היא אחד מהפשעים הכי נפוצים בשנים האחרונות.

הסיבה שפעם לא שמו ssl על אתרים משום שמחשבים לא היו מספיק חזקים לטפל בתעבורת הרשת וגם בפיענוח ההצפנה ואילו היום- כשכל טלפון יכול לעשות את זה ויותר - אין סיבה לא לעשות את זה. גם העלות כבר זניחה ואין צורך להוציא מאות דולרים על תעודה. לזלזל במשהו כלכך טריוואלי רק מראה את חוסר ההבנה בתחום.
גוגל גאונים בקטע הזה שהם דוחפים לזה (וכבר מדברים על זה יותר מ4 שנים)

פריצות שכאלו כמעט אף פעם לא מסתיימות בגניבה פשוטה של מידע, וכמעט תמיד החבר׳ה הנחמדים משאירים מתנות מאחור - עד כדי כך שכמעט תמיד מומלץ להתקין את השרת מאפס. זה עלול להמשיך לפגוע בפול גז גם בעתיד וחבל שכך.

לכל המשתמשים אני מציע לראות את הסרטון הבא (בעברית) על כמה פשוט לאבד גישה לחיים הדיגיטלים, וממליץ בחום להפעיל אימות דו שלבי (2FA) על החשבונות שלכם באשר הם. אם אתם חושבים שזה קורה רק לאנשים מיוחדים, תחשבו שוב.

https://youtu.be/zxJ7j-Xwc_4?t=6s

MAT לא היה חכם במיוחד
כשתמשים בשירותים מקבילים של אפל וגוגל רצוי להשתמש בכרטיס אשראי אנונימי/נטען ובכך למנוע את כל הסגה המיותרת הזו...

בשביל זה יש תקנונים לכל חברה לפני שאתה משתמש במוצר שלה, תקראו והיו מוגנים (הכי פשוט). לכל דבר ניתן לפרוץ, פריצות כבר הוכחו לא ככתיבה גאונית אלא כנוכלות כלשהי מול אדם או חברה (קים דוט-קום). אל תהיו פטי...

Sent from my MI 5X using Tapatalk

הצג 40 הודעות מהאשכול בעמוד אחד

** הודעה חשובה לגולשי פורום פול גז - החלפת סיסמה **

הודעה חשובה לגולשי פורום פול גז - החלפת סיסמה