Hallo, ich habe gerade meine 14-tägige kostenlose Testversion begonnen und mir gefällt, was ich sehe. Ich habe eine Frage zur Sicherheit:
Ich habe früher ein “Simple Machines”-Forum benutzt, das mit meiner Website verknüpft war, aber es erwies sich als enormes Sicherheitsrisiko, da Spammer das Forum als Hintertür benutzten, um auf meine Website zuzugreifen und sie dann zum Absturz zu bringen.
Ich plane, ein Standard-Discourse-Konto zu verwenden, das von Discourse gehostet wird (verstehe ich das richtig?)
Welche Art von Firewall gibt es zwischen dem Discourse-Forum und meiner verknüpften Website?
Meine Website wird von Squarespace gehostet.
Vielen Dank im Voraus für Ihre Hilfe und Ihren Rat.
Discourse wird von vielen großen Technologieunternehmen genutzt
Es ist ein robustes System. Sie können keine Discourse-Site auf Squarespace hosten, sie wird von Discourse auf deren Servern gehostet, dafür bezahlen Sie, und sie wird eine separate Einheit sein.
Unser physischer Server wurde vor ein paar Jahren gehackt (99 % wegen einer alten Confluence-Seite). Fast alles wurde zerstört, außer Discourse. Wir hatten in den letzten 10 Jahren etwa 4 Spammer. Aber wir sind nicht berühmt. Ich habe in den letzten 3 Monaten etwa 2 Spammer auf Discourse Meta selbst gesehen, die alles durchgegangen sind, bis sie etwas im Forum gepostet haben. Ich halte es für von Grund auf spammersicher. Ich denke, das ist sogar die Grundidee, mit der sie angefangen haben.
Wenn die Albträume von der Integration herrühren, wenn ein Forum als Kommentarsystem in eine andere Website, wie z. B. WordPress, eingebettet wird [1], kann ich Ihnen keine technischen Erklärungen geben – aber ich verwende Discourse auf diese Weise, und viele andere tun das auch, ohne Probleme.
Wenn (und wann?) Sie Discourse eigenständig nutzen, wie die Mehrheit, ist Ihre Hauptseite nur ein weiterer Link innerhalb von Discourse. Dann kommt die Sicherheit dieser Seite/dieses Servers natürlich von dem, was dort passiert. Und die Sicherheit von gehostetem Discourse ist das Problem von CDCK, nicht Ihres.
Aber ich wette, es gibt mehr selbst gehostete Instanzen als die von CDCK, und auch hier können andere Ihnen robustere Informationen geben, aber ich habe noch nie von geknackten oder gehackten Discourse-Instanzen gehört.
Ich weiß nicht, ob gehostete Foren diese Fähigkeit überhaupt haben ↩︎
Squarespace ist ein gehosteter Sitebuilder, kein Ort, der eine WordPress-Website hosten würde, aber es gibt Vorkehrungen für die Einbettung externer Quellen durch Codeblöcke und Einbettungsblöcke.
Es ist nicht klar, was SamM speziell mit “Spammer würden das Forum als Hintertür nutzen, um auf meine Website zuzugreifen und dann meine Website zum Absturz zu bringen” meint. Spammer wollen die Website nicht zum Absturz bringen, sie wollen sie nur mit billigen Anzeigen und Clickbait überschwemmen. Wenn das passiert ist, dann fehlten Simple Machines vielleicht die Werkzeuge von Discourse zur Spam-Kontrolle.
Aber die Frage “Welche Art von Firewall gibt es zwischen dem Discourse-Forum und meiner verlinkten Website?” scheint etwas zu sein, das man Squarespace fragen sollte. Sie warnen zwar, dass das Einfügen von Code Anzeigeprobleme verursachen kann, die außerhalb ihrer Kontrolle liegen, aber ich stelle mir nicht vor, dass ein eingebetteter Forenbeitrag mehr Schaden anrichtet als das.
Das ist zwar etwas am Thema vorbei, aber das war vor einigen Jahren ein echtes Problem bei WordPress. Die ersten Spam-Angriffe funktionierten, aber aufgrund einer bekannten Schwachstelle folgten Hunderte andere, und dieser Server stürzte ab. Oder dieselbe Schwachstelle wurde von Script Kiddies ausgenutzt, die versuchten, das gesamte System zu kapern, und weil sie meist nur Copy-and-Paster waren, brachen ihr schlechter Code und ihre mangelnden Fähigkeiten alles kaputt.
Eine Realität ist, dass nur eine Minderheit von Spammern wie Parasiten arbeitet, während die Mehrheit eher wie Bakterien oder Viren agiert.
Das ist nicht die Situation bei Discourse. Aber ich vermute, solche Situationen stecken hinter dieser Sorge.
[quote=„ToddZ, Beitrag:7, Thema:352497″]
Aber die Frage „Welche Art von Firewall gibt es zwischen dem Discourse-Forum scheint etwas zu sein, das man Squarespace fragen sollte.
[/quote]
In der Tat viele Unbekannte. Zum Beispiel: Hatte die verwendete Forensoftware keine echten Spam-Erkennungs-/Eindämmungsfunktionen? Und natürlich, wenn ein Website-Builder verwendet wird, welche Funktionen bietet Squarespace an.
Eine vollständige Antwort auf diese Frage würde buchstäblich ein Buch über Sicherheit füllen.
Aber ich werde Ihnen hier eine größtenteils vollständige Antwort geben, nachdem ich einige Punkte geklärt habe, was Ihnen passiert ist:
Das klingt, als ob Angreifer (nicht “Spammer” - Spammer würden nur Spam posten) in der Lage waren, das Simple Machines Forum auszunutzen und Fernzugriff auf Ihren Server zu erhalten, auf dem es gehostet wurde. Das Abstürzen Ihrer Website würde nur den Zugriff darauf verhindern, anstatt ihnen Zugriff zu gewähren.
Vermutlich hostete dieser Server auch andere Dinge oder enthielt andere Daten?
Am besten denken Sie darüber in Bezug auf den “Schadensradius”. Falls jemand unbefugten Admin-Zugriff auf Ihr Forum erlangt, hätte er Zugriff auf alle Daten im Forum.
Insbesondere PII, aber auch Konfigurations- oder andere API-Geheimnisse. Wenn beispielsweise ein anderer Dienst auf Ihrer Domain auf dieser Website zur Authentifizierung angewiesen wäre, könnten Angreifer zu diesem anderen Dienst wechseln.
Im schlimmsten Fall, dass ein Angreifer Zugriff auf die Backend-Server erhält (allgemein als Remote Code Execution bekannt), würde der Schadensradius auch alles umfassen, was für das Benutzerkonto zugänglich ist, unter dem der eigentliche Dienst läuft. Verschiedene Schutzmaßnahmen zur Begrenzung dieses Schadensradius, wie Containerisierung und das Ausführen von Servern mit Nicht-Admin-Anmeldeinformationen, helfen ebenfalls, diese Exposition zu begrenzen.
Zusammenfassend lässt sich sagen, dass das Hosting auf einem Managed Service am sichersten für Ihre Website ist, da wir für die Systemsicherheit verantwortlich sind.