Säkerheten på forumet, för din OPSEC (LÄS!)

Anslag från Admin och Mod som regler och påbud. Läs här innan du registrerar konto. Läs allt nytt här.
Användarvisningsbild
jr_36
Inlägg: 415
Blev medlem: 23 apr 2019 20:29

Säkerheten på forumet, för din OPSEC (LÄS!)

Inlägg av jr_36 » 12 maj 2019 20:48

Om denna text är för lång, läs det viktigaste för DIN säkerhet, markerat i i gult.
Vi preppers ser viktigt på säkerhet i många avseende, det gör även vi som skriver, och administrerar på detta forum. Därför vill vi berätta om vilka säkerhetsåtgärder vi har tagit här, och vad ni som besökare också bör tänka på.

Våra säkerhetsåtgärder på forumet
All access till forumet sker över HTTPS, alltså en krypterad anslutning. Detta skyddar både ditt (och mitt) lösenord mot avlyssning vid inloggning, och även din kaka, samt de delar av forumet som du besöker. Tekniskt sett kan fortfarande en lokal nätverksadministratör (t.ex. på jobbet) bedöma att det är just preppad.se som det surfas på, däremot inte se vilka inlägg/PMs du skickar. Är man misstänksam bör man även kolla att det står just https:// i adressfältet (att ingen manipulerar trafiken mellan din dator och servern). Vi har även lagt in en inställning som gör att din webbläsare aldrig ska skicka/ta emot okrypterad data från preppad.se (Strict-Transport-Security).

Vi har inget innehåll i sidan som laddas från någon extern part. Alltså ingen externt laddad reklam eller "tracking cookies". Detta ger er mer personlig integritet då externt laddat innehåll normalt vet adressen till den sidan ni ser och er IP-adress (i samband med att innehållet laddas). Alltså, med ingen Google Analytics/Google reklam etc vet Google/annan inte vilka sidor du besöker (om du inte använder Chrome/annat special i din webbläsare). Vi har även stängt av funktionen att lägga in adressen till bilder i inlägg/PM/signaturer då bilder annars automatiskt kan laddas från extern sida, som då också skulle veta vilken sida du ser i samband med att de laddas (vi administratörer kan dock göra det (då ska de hämtas från preppad.se)). Vill man visa en extern bild får man istället länka till bilden. Nu får vi se om detta blir för "bökigt", antingen får man ladda upp bilden till oss (då håller vi i bilden, och visas automatiskt) eller så får de länkas, och klickas på. Jag vill i högsta möjliga mån behålla det så att inget externt innehåll laddas automatiskt/utan att ni vet om det. Vi har nu även lagt in en säkerhetspolicy som gör att webbläsaren inte får hämta saker från externa källor även ifall den av någon anledning blir instruerad att göra det (Content-Security-Policy).

Alla postade hyperlänkar som pekar mot externa sidor har argumentet noreferrer, detta ber er webbläsare att inte informera den besökta länken om att/var på preppad.se länken finns. Testa gärna detta med https://www.whatismyreferer.com/ det ska stå något i stil med "No referer / hidden". Denna inställning fungerar bara om man inte har en antik webbläsare. (Vi har även ett sekundärt skydd för detta, en Referrer-Policy header som också skyddar mot samma sak.)

Din kaka ska sluta gälla efter 14 dagar. Alltså även om du väljer att "alltid vara inloggad" så ska du automatiskt loggas ut efter 14 dagar. Detta skyddar t.ex. mot att någon skulle ha tillgång till den datorn du "alltid är inloggad på" och kopiera din kaka till deras dator, för att fortsätta vara inloggad och surfa runt, läsa PMs osv (då de också loggas ut 14 dagar efter när du först loggade in). Denna tid kan komma att justeras i framtiden.

Vi har lagt in en sekundär inloggning på administrationspanelen. Detta gör att det krävs två olika lösenord för oss administratörer att sköta forumet. Det skyddar även mot eventuella sårbarheter inom administrationspanelen som ej ännu upptäckts.

Vi har en global inställning på att era e-postadresser inte ska synas för andra användare, och även ändrat standarden för nya konton, att de också ska döljas enligt er konto-inställning. Detta skyddar mot att vi av misstag skulle "bocka ur" att dölja e-postadresser, eftersom de fortfarande kommer vara dolda (om ni inte också ändrat er inställning).

Vi har dolt flera forumskategorier för oinloggade/sökmotorer dit vi tycker sökmoter inte behöver indexera innehåll.

Vi har en policy som ska försvåra utförandet av XSS attacker (X-Xss-Protection).

Vi har en policy som gör att webbläsaren aldrig ska skicka dina kordinater, be om tillträde till kamera/telefon eller använda betalningsmetoder mot preppad.se (detta har mest effekt på mobiltelefoner). (Feature-Policy)

Har ni förslag/upptäcker brister inom säkerheten skicka gärna omgående ett PM till mig eller någon annan admin här!

Besökare bör tänka på
Använd ett nytt användarnamn! Något som du inte använt på internet tidigare. Annars är det bara googla på ditt användarnamn här, och hitta annat forum där du kanske inte är lika hemlig...

Logga ut när ni är klar! Detta gör din kaka obrukbar, och även om någon annan kommit över den genom t.ex. fysiska access till din dator.

Se till att GPS-tagg inte finns i bilder ni laddar upp här/länkar till. De skulle kunna avslöja till alla som kan se bilden vart den är tagen! Använd vår bildkomprimerare, se länk nedan! Det är vanligt att bilder tagna med telefoner/drönare lägger in koordinater dolt i bilden. (detta kallas metadata). Enklast sätt att se till att GPS-tagg inte finns är att ta bilden i en enhet som helt saknar GPS/liknande (eller använd vårat verktyg).
Se info här: viewtopic.php?f=8&t=267

Se till att dokument från t.ex. Microsoft Word (och liknande) inte innehåller ditt namn dolt i filen (brukar kunna hittas i dokumentinformation). Detta namn kan tas från det namn du loggar in med på datorn. (detta är också metadata)

Hittar du känslig metadata i en fil så anmäl det till den som skrivit inlägget eller en administratör. Påpeka det inte i inlägget!

Vi administratörer kan se vilken e-postadress ni registrerat er med, använd inte en epost som innehåller ditt riktiga för- och efternamn.

Vi administratörer kan er senaste inloggade ip-adress, samt ip-adresser ni har postat med. Om dessa är känsliga bör ni använda en VPN-tjänst.

Använd ett unikt lösenord här! Hur starkt lösenordet är är inte lika viktigt som att du inte använder det på flera ställen. En databas med okrypterade/knäckbara lösenord skulle kunna läckas från något annat du använt, och den skulle kunna innehålla din e-postadress och användarnamn. De ska i så fall inte vara samma som används här!

Använd en modern webbläsare (inte Internet Explorer, Edge kanske acceptabelt). En färsk version av Firefox, Chrome och andra webbläsare har bättre/fler säkerhetsmekanismer än gamla webbläsare/Internet Explorer. (Många av våra säkerhet/integritetsskydd kräver en modern webbläsare för att få effekt)

Vi har regler emot att försöka lista ut vem någon är och att outa/namnge en medlem. Om någon skulle ställa dig dig konstiga/känsliga frågor så anmäl detta till en admin omgående!

Slutligen...
Vi administratörer kan aldrig vara helt säkra på att denna forumsmjukvara (phpbb3) inte innehåller oupptäckta sårbarheter (utöver att alltid uppdatera till den senaste versionen, samt göra egna förbättringar). Skulle en sårbarhet som exponerar databasen finnas (en extremt allvarlig sårbarhet, och osannolik) så skulle en utnyttjare av den kunna se all okrypterad information i databasen, vilket innefattar e-postadressen ni registrerat er med, alla inlägg ni skrivit, er IP-adress(er) och även alla PMs ni hade vid det tillfället (erat lösenord är envägskrypterat). Man bör därför aldrig lagra känslig information på sitt konto (radera känsliga PMs! Eller använd t.ex. protonmail för sådant).

Jag vill med detta inte skrämma någon från att använda detta forum, utan bara informera er om vad ni bör tänka på så att alla kan använda detta forum på ett säkert sätt för maximal OPSEC. Detta är inget konstigt, och gäller på alla andra sidor/forum på Internet också...

För förslag kring säkerhet skicka PM till mig/annan admin, eller skriv ett inlägg i Felanmälan, förslag och feedback kategorin.
För diskutera allmänna sätt att skydda sig online skriv inlägg i Ljugarbänken eller Sekten.

För tillfället är denna tråd inte låst, men kan komma att bli låst i framtiden.
Din säkerhet & opsec är viktig, läs: viewtopic.php?f=8&t=202

Användarvisningsbild
Graograman
Inlägg: 11
Blev medlem: 07 maj 2019 20:58

Re: Säkerheten på forumet, för din OPSEC (LÄS!)

Inlägg av Graograman » 13 maj 2019 06:40

Vid en snabb gubbgoogling så kunde jag inte hitta nån extension/plugin för phpbb som tar bort exif/koordinater automagiskt när man laddar upp bilder.
Men jag är säker på att admins kan hacka lite php och fixa det :)

Användarvisningsbild
jr_36
Inlägg: 415
Blev medlem: 23 apr 2019 20:29

Re: Säkerheten på forumet, för din OPSEC (LÄS!)

Inlägg av jr_36 » 19 maj 2019 16:06

Har uppdaterat inlägget ovan med information över de nya säkerhetsskydden vi lagt in. Kortfattat så är det HTTP headers som gör följande:
  • Säger till webbläsaren att alltid använda HTTPS här
  • Säger till webbläsaren att inte hämta material från andra sidor (även ifall själva sidan ber om det)
  • Säger till webbläsaren att inte visa din referer när du klickar på länkar som pekar mot externa sidor (detta hade vi på ett annat sätt innan, men nu är det påtvingat på två vis (:) )
  • Säger till webbläsaren att försöka skydda mot XSS attacker
  • Säger till webbläsaren (gäller främst mobiltelefoner) att aldrig skicka gps-position eller tillåta tillträde till mikrofon/kamera/betalning
Har även lagt till en gulmarkerad text om att inte använda gamla webbläsare, eller Internet Explorer (så klart, då det är en gammal webbläsare...)

En bildkomprimerare som också tar bort EXIF-data är under test och kommer vara synlig för alla medlemmar inom kort.
Din säkerhet & opsec är viktig, läs: viewtopic.php?f=8&t=202

Användarvisningsbild
jr_36
Inlägg: 415
Blev medlem: 23 apr 2019 20:29

Re: Säkerheten på forumet, för din OPSEC (LÄS!)

Inlägg av jr_36 » 20 maj 2019 20:36

Graograman skrev:
13 maj 2019 06:40
Men jag är säker på att admins kan hacka lite php och fixa det :)
Verktyget är färdigt, och tillgängligt för alla inloggade medlemmar, har nu uppdaterat texten ovan så att den föreslår användning av vår bildkomprimerare.
Din säkerhet & opsec är viktig, läs: viewtopic.php?f=8&t=202

Användarvisningsbild
jr_36
Inlägg: 415
Blev medlem: 23 apr 2019 20:29

Bump!

Inlägg av jr_36 » 12 aug 2019 19:57

Bump: En påminnelse till eventuella medlemmar som inte läst den gulmarkerade texten ovan att göra det :para:.
Din säkerhet & opsec är viktig, läs: viewtopic.php?f=8&t=202

Skriv svar