Ciao, ho appena iniziato la mia prova gratuita di 14 giorni e mi piace quello che vedo. Ho una domanda sulla sicurezza:
Usavo un forum “Simple Machines”, collegato al mio sito web, ma si è rivelato un enorme rischio per la sicurezza, poiché gli spammer lo usavano come porta di accesso per accedere al mio sito e poi mandarlo in crash.
Ho intenzione di utilizzare un account Standard Discourse, ospitato da Discourse (ho capito bene?)
Che tipo di firewall esiste tra il forum Discourse e il mio sito web collegato?
Discourse è utilizzato da molte grandi aziende tecnologiche
È un sistema robusto. Non puoi ospitare un sito Discourse su Squarespace, sarà ospitato da Discourse sui loro server, è per questo che stai pagando e sarà un’entità separata.
Il nostro server fisico è stato violato qualche anno fa (al 99% a causa di un vecchio sito Confluence). Quasi tutto è stato distrutto tranne Discourse. Abbiamo avuto circa 4 spammer negli ultimi 10 anni. Ma non siamo famosi. Ho visto circa 2 spammer su Discourse Meta negli ultimi 3 mesi che sono arrivati fino a pubblicare qualcosa sul forum. Lo considero a prova di spam fin dalle fondamenta. Penso che sia persino l’idea di base con cui hanno iniziato.
Se gli incubi derivano dall’integrazione quando si incorpora un forum come sistema di commenti in un altro sito, come WordPress [1], non posso darti spiegazioni tecniche — ma sto usando Discourse in questo modo, e molti altri lo fanno, senza problemi.
Se (e quando?) stai usando Discourse in modo autonomo, come fa la maggior parte, il tuo sito principale è solo un altro link all’interno di Discourse. Allora, la sicurezza di quel sito/server deriva da ciò che accade lì, ovviamente. E la sicurezza di Discourse ospitato è un grattacapo per CDCK, non tuo.
Ma scommetto che ci sono più istanze self-hosted che quelle di CDCK, e di nuovo, altri possono darti informazioni più robuste, ma non ho mai sentito parlare di istanze Discourse crackate o hackerate.
Non so se i forum ospitati abbiano questa capacità ↩︎
Squarespace è un costruttore di siti ospitato, non un luogo che ospiterebbe un sito WordPress, ma ha disposizioni per incorporare fonti esterne tramite blocchi di codice e blocchi di incorporamento.
Non è chiaro cosa intenda specificamente SamM con “gli spammer userebbero il forum come porta secondaria per accedere al mio sito e poi mandarlo in crash.” Gli spammer non vogliono mandare in crash il sito, vogliono solo inondarlo di pubblicità spazzatura e clickbait. Se è quello che è successo, allora forse Simple Machines mancava degli strumenti di Discourse per controllare lo spam.
Ma la domanda “Che tipo di firewall esiste tra il forum Discourse e il mio sito web collegato?” sembra qualcosa da chiedere a Squarespace. Avvertono che l’iniezione di codice può causare problemi di visualizzazione al di fuori del loro controllo, ma non mi aspetto che un post di forum incorporato causi più danni di così.
Questo è un po’ fuori tema, ma è stato un problema reale con WordPress qualche anno fa. I primi attacchi spam hanno funzionato, ma a causa di una debolezza ben nota, ne sono seguiti centinaia di altri, e quel server è andato in crash. Oppure la stessa debolezza è stata sfruttata da script kiddie che cercavano di dirottare l’intero sistema, e poiché erano per lo più semplici copia-incolla, il loro codice scadente e la mancanza di abilità hanno rotto tutto.
Una realtà è che solo una minoranza di spammer agisce come parassiti, mentre la maggioranza agisce più come batteri o virus.
Questa non è la situazione con Discourse. Ma ritengo che tali situazioni siano alla base di tale preoccupazione.
In effetti, molte incognite. Ad esempio, il software del forum che utilizzavano non aveva vere funzionalità di rilevamento/contenimento dello spam? E ovviamente, se si utilizza un site builder, quali funzionalità offre Squarespace.
Una risposta completa a questa domanda riempirebbe letteralmente un libro sulla sicurezza.
Ma ti darò una risposta per lo più completa qui dopo aver chiarito alcuni punti su ciò che ti è successo:
Questo suona come se gli aggressori (non “spammer” - gli spammer pubblicherebbero solo spam) fossero stati in grado di sfruttare il forum Simple Machines e ottenere l’accesso remoto al tuo server su cui era ospitato. Bloccare il tuo sito impedirebbe solo l’accesso ad esso, piuttosto che concedere loro l’accesso.
Presumibilmente questo server ospitava anche altre cose o conteneva altri dati?
Il modo migliore per pensarci è in termini di “raggio d’esplosione”. Nel caso in cui qualcuno ottenesse un accesso amministrativo improprio al tuo forum, avrebbe accesso a tutti i dati del forum.
In particolare PII, ma anche configurazioni o altri segreti API. Ad esempio, se un altro servizio sul tuo dominio si basasse su questo sito per l’autenticazione, ciò potrebbe consentire agli aggressori di passare a quell’altro servizio.
Nello scenario peggiore, in cui un aggressore ottiene l’accesso ai server di backend (generalmente noti come esecuzione di codice remoto), il raggio d’esplosione includerebbe anche tutto ciò che è accessibile dall’account utente sotto cui è in esecuzione il servizio effettivo. Varie protezioni per limitare quel raggio d’esplosione, come la containerizzazione e l’esecuzione di server con credenziali non amministrative, aiutano anche a limitare tale esposizione.
In sintesi, ospitare su un servizio gestito è più sicuro per il tuo sito poiché siamo responsabili della sicurezza del sistema.