こんにちは。14日間の無料トライアルを開始したばかりで、素晴らしいと思います。セキュリティについて質問があります。
以前は「Simple Machines」フォーラムをウェブサイトにリンクして使用していましたが、スパマーがフォーラムをサイトへのバックドアとして使用し、サイトをクラッシュさせるため、これは深刻なセキュリティリスクであることが判明しました。
DiscourseによってホストされるStandard Discourseアカウントを使用する予定です(その理解で合っていますか?)
Discourseフォーラムとリンクされたウェブサイトの間には、どのような種類のファイアウォールがありますか?
私のサイトはSquarespaceでホストされています。
ご協力とアドバイスをよろしくお願いいたします。
Discourseは多くの大手テクノロジー企業で使用されています
堅牢なシステムです。SquarespaceでDiscourseサイトをホストすることはできません。Discourseがサーバーでホストするため、それが支払い対象であり、別個のエンティティになります。
また、活発なHackerOneバウンティプログラムもあります。
全体として、Discourseはセキュリティを軽視しておらず、極めて重要視し、当然のこととして扱っています。
数年前、私たちの物理サーバーがハッキングされました(原因の99%は古いConfluenceサイトでした)。Discourse以外はほとんどすべて破壊されました。過去10年間でスパマーは4人ほどでした。しかし、私たちは有名ではありません。過去3ヶ月間、Discourse Meta自体で、フォーラムに何かを投稿するまで進んだスパマーを約2人見ました。私はそれが最初からスパム対策として構築されていると考えています。それが彼らが始めた基本的なアイデアでさえあると思います。
SquarespaceのサイトはWordPressサイトですか?ドキュメントカテゴリにはサイトを埋め込むための統合方法があります。
Discourse AIは、Gemini flashのような無料AIを使用でき、ホストされている場合は他のAIも利用できる場合があります。
AIプラグインスイートには、関心/使用する可能性のあるAIスパム検出があります。
もし、フォーラムを他のサイト(WordPressなど)にコメントシステムとして埋め込む際の統合から悪夢が生じるとしたら[1]、技術的な説明はできませんが、私はDiscourseをそのように使用しており、他の多くの人も問題なく使用しています。
もし(そしていつ?)Discourseをスタンドアロンで使用する場合、大多数がそうするように、あなたのメインサイトはDiscourse内の別のリンクにすぎません。その場合、そのサイト/サーバーのセキュリティは、もちろんそこで起こることによって得られます。そして、ホストされたDiscourseのセキュリティは、あなたの頭痛の種ではなく、CDCKの頭痛の種です。
しかし、CDCKよりもセルフホストされたインスタンスの方が多いと確信しており、繰り返しますが、他の人がより堅牢な情報を提供できますが、私はクラックされたりハッキングされたりしたDiscourseインスタンスを聞いたことがありません。
ホストされたフォーラムにそのような能力があるかどうかはわかりません ↩︎
Squarespaceはホストされたサイトビルダーであり、WordPressサイトをホストする場所ではありませんが、コードブロックや埋め込みブロックを介して外部ソースを埋め込むための規定も備えています。
SamMが具体的に「スパマーはフォーラムを私のサイトにアクセスするための裏口として利用し、私のサイトをクラッシュさせるだろう」という意味で何を言っているのかは不明です。スパマーはサイトをクラッシュさせたいのではなく、単にゴミのような広告やクリックベイトでサイトを氾濫させたいだけです。もしそれが起こったのであれば、Simple MachinesはDiscourseのスパム対策ツールが不足していたのかもしれません。
しかし、「Discourseフォーラムと私のリンクされたウェブサイトの間にはどのような種類のファイアウォールが存在しますか?」という質問は、Squarespaceに尋ねるべきことのように思われます。コードを挿入すると、彼らの制御を超えた表示の問題が発生する可能性があると警告していますが、埋め込まれたフォーラムの投稿がそれ以上の損害を引き起こすとは想像できません。
これは少しトピックから外れますが、数年前のWordPressでは実際にそのような問題がありました。最初のスパム攻撃は成功しましたが、よく知られた脆弱性のため、他の何百もの攻撃が続き、サーバーはクラッシュしました。あるいは、システム全体を乗っ取ろうとするスクリプトキディによって同じ脆弱性が悪用され、彼らのほとんどがコピー&ペーストしかできないため、彼らの貧弱なコードとスキルの欠如がすべてを壊しました。
現実として、スパマーの少数派だけが寄生虫のように機能し、大多数は細菌やウイルスのように機能します。
これはDiscourseの状況ではありません。しかし、そのような状況がその懸念の背景にあると推測します。
確かに、不明な点が多いですね。例えば、彼らが使用していたフォーラムソフトウェアには、実際のスパム検出/封じ込め機能がなかったのでしょうか?そしてもちろん、サイトビルダーを使用している場合、Squarespaceはどのような機能を提供しているのでしょうか?
投稿者からのより明確な説明が必要です。
当社はデータセキュリティを非常に重視しています。認証とテスト結果は CDCK Inc. Forms | Discourse - Civilized Discussion でご覧いただけます。
この質問に対する完全な回答は、文字通りセキュリティに関する本一冊分になります。
しかし、何が起こったのかを明確にした上で、ここではほぼ完全な回答を提供します。
これは、スパマー(単にスパムを投稿するだけの人)ではなく、攻撃者がSimple Machinesフォーラムを悪用し、それがホストされていたサーバーへのリモートアクセスを取得できたことを示唆しています。サイトをクラッシュさせることは、アクセスを許可するのではなく、サイトへのアクセスを妨げるだけです。
おそらく、このサーバーは他のものもホストしていたか、他のデータも含まれていましたか?
これを考える最良の方法は、「爆発半径」という観点からです。誰かがフォーラムへの不正な管理者アクセスを取得した場合、フォーラム内のすべてのデータにアクセスできるようになります。
特に個人情報(PII)だけでなく、設定やその他のAPIシークレットも含まれます。たとえば、ドメイン上の別のサービスが認証のためにこのサイトに依存していた場合、攻撃者はその別のサービスに移行できる可能性があります。
最悪のシナリオでは、攻撃者がバックエンドサーバー(一般にリモートコード実行として知られています)にアクセスできた場合、爆発半径には、実際のサービスを実行しているユーザーアカウントがアクセスできるものもすべて含まれます。コンテナ化や非管理者資格情報でサーバーを実行するなど、その爆発半径を制限するためのさまざまな保護措置も、その露出を制限するのに役立ちます。
要約すると、マネージドサービスでホストすることは、システムセキュリティの責任を負うため、お客様のサイトにとって最も安全です。
This topic was automatically closed 30 days after the last reply. New replies are no longer allowed.