مرحباً، لقد بدأت للتو فترة التجربة المجانية لمدة 14 يوماً وأعجبني ما رأيته. لدي سؤال حول الأمان:
كنت أستخدم منتدى “Simple Machines”، مرتبطاً بموقعي، ولكنه أثبت أنه يمثل مخاطرة أمنية هائلة، حيث كان المخترقون يستخدمون المنتدى كباب خلفي للوصول إلى موقعي ثم تعطيله.
هل أخطط لاستخدام حساب Discourse قياسي، مستضاف بواسطة Discourse (هل فهمت ذلك بشكل صحيح؟)
ما نوع جدار الحماية الموجود بين منتدى Discourse وموقعي المرتبط؟
يتم استضافة موقعي بواسطة Squarespace.
شكراً مقدماً على مساعدتكم ونصائحكم.
يُستخدم Discourse من قبل العديد من شركات التكنولوجيا الكبرى
إنه نظام قوي. لا يمكنك استضافة موقع Discourse على Squarespace، بل سيتم استضافته بواسطة Discourse على خوادمهم، وهذا ما تدفع مقابله وسيكون كيانًا منفصلاً.
لديهم أيضًا برنامج مكافآت نشط على HackerOne:
بشكل عام، لا يتم إغفال الأمان بواسطة Discourse، بل هو أمر بالغ الأهمية ويتم التعامل معه كما ينبغي.
تم اختراق خادمنا الفعلي قبل بضع سنوات (99٪ بسبب موقع Confluence قديم). تم تدمير كل شيء تقريبًا باستثناء Discourse. كان لدينا حوالي 4 مرسلين للبريد العشوائي في السنوات العشر الماضية. لكننا لسنا مشهورين. لقد رأيت حوالي 2 مرسلين للبريد العشوائي في Discourse Meta نفسها خلال الأشهر الثلاثة الماضية وصلوا إلى حد نشر شيء ما في المنتدى. أعتبره مبنيًا لمقاومة البريد العشوائي من الألف إلى الياء. أعتقد أنها حتى الفكرة الأساسية التي بدأوا بها.
هل موقعك على Squarespace هو موقع WordPress؟ توجد طرق تكامل في فئة المستندات لتضمين المواقع.
يمكن لـ Discourse AI استخدام الذكاء الاصطناعي المجاني مثل Gemini flash وقد تتوفر خيارات أخرى إذا كان مستضافًا.
في مجموعة إضافات الذكاء الاصطناعي، يوجد اكتشاف البريد العشوائي بالذكاء الاصطناعي والذي قد يكون ذا أهمية/فائدة.
إذا كانت الكوابيس تأتي من التكامل عند تضمين منتدى كنظام تعليقات في موقع آخر، مثل ووردبريس [1]، فلا يمكنني تقديم أي تفسيرات فنية لك - ولكني أستخدم Discourse بهذه الطريقة، والكثيرون يفعلون ذلك أيضًا، دون مشاكل.
إذا كنت تستخدم Discourse بطريقة مستقلة (ومتى؟)، كما يفعل الأغلبية، فإن موقعك الرئيسي هو مجرد رابط آخر داخل Discourse. عندها، يأتي أمان هذا الموقع/الخادم مما يحدث هناك، بالطبع. وأمان Discourse المستضاف هو صداع CDCK، وليس صداعك.
لكنني أراهن أن هناك المزيد من المثيلات المستضافة ذاتيًا مقارنة بمثيلات CDCK، ومرة أخرى، يمكن للآخرين أن يقدموا لك معلومات أكثر قوة، ولكني لم أسمع قط عن مثيلات Discourse تم اختراقها أو قرصنتها.
لا أعرف ما إذا كانت المنتديات المستضافة تمتلك هذه القدرة ↩︎
Squarespace هو أداة بناء مواقع مستضافة، وليس مكانًا يمكنه استضافة موقع ووردبريس، ولكنه يوفر إمكانيات لتضمين مصادر خارجية من خلال كتل التعليمات البرمجية وكتل التضمين.
ليس من الواضح ما يعنيه SamM تحديدًا بـ “سيستخدم المتسللون المنتدى كباب خلفي للوصول إلى موقعي ثم تعطيله.” لا يرغب المتسللون في تعطيل الموقع، بل يريدون فقط إغراقه بالإعلانات التافهة والنقرات. إذا كان هذا ما حدث، فربما افتقر Simple Machines إلى أدوات Discourse للتحكم في البريد العشوائي.
لكن السؤال “ما نوع جدار الحماية الموجود بين منتدى Discourse وموقعي المرتبط؟” يبدو وكأنه شيء يجب طرحه على Squarespace. يحذرون من أن حقن التعليمات البرمجية يمكن أن يسبب مشاكل في العرض خارجة عن سيطرتهم، لكنني لا أتخيل أن يؤدي منشور منتدى مضمن إلى ضرر أكبر من ذلك.
هذا خارج الموضوع قليلاً، ولكن كانت هذه مشكلة حقيقية مع ووردبريس قبل بضع سنوات. نجحت هجمات البريد العشوائي الأولى، ولكن بسبب ضعف معروف، تبعتها مئات الهجمات الأخرى، وتعطل هذا الخادم. أو تم استغلال نفس الضعف من قبل أطفال البرمجة الذين يحاولون اختطاف النظام بأكمله، وبسبب كونهم مجرد نسخ ولصق في الغالب، فإن رمزهم الضعيف ونقص مهاراتهم كسر كل شيء.
أحد الحقائق هو أن أقلية فقط من المتسللين يعملون مثل الطفيليات، بينما يعمل الغالبية مثل البكتيريا أو الفيروسات.
هذا ليس الوضع مع Discourse. لكنني أقدر أن مثل هذه المواقف تقف وراء هذا القلق.
بالتأكيد الكثير من المجهول. مثل هل كان لبرنامج المنتدى الذي استخدموه لا توجد به ميزات حقيقية للكشف عن البريد العشوائي / احتوائه؟ وبالطبع إذا كنت تستخدم أداة إنشاء مواقع، فما هي الميزات التي توفرها Squarespace.
نحتاج إلى مزيد من الوضوح من صاحب الموضوع.
نحن نأخذ أمن البيانات على محمل الجد. يمكنك الاطلاع على شهاداتنا ونتائج اختباراتنا على CDCK Inc. Forms | Discourse - Civilized Discussion.
الإجابة الكاملة على هذا السؤال ستملأ حرفياً كتاباً عن الأمن.
لكنني سأقدم لك إجابة شبه كاملة هنا بعد توضيح بعض النقاط حول ما حدث لك:
يبدو هذا وكأن المهاجمين (وليس “المخربين” - فالمخربون سينشرون البريد العشوائي فقط) تمكنوا من استغلال منتدى Simple Machines والوصول عن بعد إلى خادمك الذي كان يستضيفه. تعطيل موقعك سيمنع الوصول إليه فقط، بدلاً من منحه الوصول إليهم.
يفترض أن هذا الخادم كان يستضيف أشياء أخرى أو يحتوي على بيانات أخرى؟
أفضل طريقة للتفكير في هذا هي من حيث “نصف قطر الانفجار”. في حالة حصول شخص ما على وصول إداري غير لائق إلى منتدىك، فسيكون لديه وصول إلى جميع البيانات الموجودة في المنتدى.
خاصةً معلومات التعريف الشخصية، ولكن أيضاً التكوين أو أسرار واجهة برمجة التطبيقات الأخرى. على سبيل المثال، إذا كانت خدمة أخرى على نطاقك تعتمد على هذا الموقع للمصادقة، فقد يسمح ذلك للمهاجمين بالانتقال إلى تلك الخدمة الأخرى.
في أسوأ سيناريو حصل فيه مهاجم على وصول إلى خوادم الواجهة الخلفية (المعروفة بشكل عام باسم تنفيذ التعليمات البرمجية عن بعد)، فإن نصف قطر الانفجار سيشمل أيضاً أي شيء يمكن الوصول إليه بواسطة حساب المستخدم الذي يتم تشغيل الخدمة الفعلية تحته. تساعد الحمايات المختلفة للحد من نصف قطر الانفجار هذا مثل الحاويات وتشغيل الخوادم ببيانات اعتماد غير إدارية أيضاً في الحد من هذا التعرض.
خلاصة القول، الاستضافة على خدمة مُدارة هي الأكثر أماناً لموقعك حيث نكون مسؤولين عن أمن النظام.
This topic was automatically closed 30 days after the last reply. New replies are no longer allowed.