Säkerheten på forumet, för din OPSEC (LÄS!)

Anslag från Admin och Mod som regler och påbud. Läs här innan du registrerar konto. Läs allt nytt här.
Användarens profilbild
jr_36
Inlägg: 1409
Blev medlem: 23 apr 2019 20:29

Säkerheten på forumet, för din OPSEC (LÄS!)

Inlägg av jr_36 »

Läs det viktigaste för DIN säkerhet, markerat i gult.
Vi preppers ser viktigt på säkerhet i många avseende, det gör även vi som skriver, och administrerar på detta forum. Därför vill vi berätta om vilka säkerhetsåtgärder vi har tagit här, och vad ni som besökare också bör tänka på.

Besökare bör tänka på
Använd ett nytt användarnamn! Något som du inte använt på internet tidigare. Annars är det bara googla på ditt användarnamn här, och hitta annat forum där du kanske inte är lika hemlig...

Vi administratörer kan se vilken e-postadress ni registrerat er med, använd inte en epost som innehåller ditt riktiga för- och efternamn. Använd gärna en temporary email, men (!) tänk på att i så fall kan andra få tillgång till den tillfälliga adressen och ta över ditt konto! Annars registrera en ny gratis epost på tex protonmail eller gmail. Men vill man trots allt ha en tillfällig så kan mailinator.com vara bra, skapa en slumpmässigt påhittad publik adress gratis och töm sedan inkorgen.

Logga ut när ni är klar! Detta gör din kaka obrukbar, och även om någon annan kommit över den genom t.ex. fysiska access till din dator.

Vi administratörer kan er senaste inloggade ip-adress, samt ip-adresser ni har postat med. Om dessa är känsliga bör ni använda en VPN-tjänst.

Se till att GPS-tagg inte finns i bilder ni laddar upp här/länkar till. De skulle kunna avslöja till alla som kan se bilden vart den är tagen! Använd vår bildkomprimerare, se länk nedan! Det är vanligt att bilder tagna med telefoner/drönare lägger in koordinater dolt i bilden. (detta kallas metadata). Enklast sätt att se till att GPS-tagg inte finns är att ta bilden i en enhet som helt saknar GPS/liknande (eller använd vårat verktyg).
Se info här: viewtopic.php?f=8&t=267

Se till att dokument från t.ex. Microsoft Word (och liknande) inte innehåller ditt namn dolt i filen (brukar kunna hittas i dokumentinformation). Detta namn kan tas från det namn du loggar in med på datorn. (detta är också metadata)

Hittar du känslig metadata i en fil så anmäl det till den som skrivit inlägget eller en administratör. Påpeka det inte i inlägget!

Vi har regler emot att försöka lista ut vem någon är och att outa/namnge en medlem. Om någon skulle ställa dig dig konstiga/känsliga frågor så anmäl detta till en admin omgående!

Använd ett unikt lösenord här! Hur starkt lösenordet är är inte lika viktigt som att du inte använder det på flera ställen. En databas med okrypterade/knäckbara lösenord skulle kunna läckas från något annat du använt, och den skulle kunna innehålla din e-postadress och användarnamn. De ska i så fall inte vara samma som används här!

Använd en modern webbläsare (inte Internet Explorer, Edge kanske acceptabelt). En färsk version av Firefox, Chrome och andra webbläsare har bättre/fler säkerhetsmekanismer än gamla webbläsare/Internet Explorer. (Många av våra säkerhet/integritetsskydd kräver en modern webbläsare för att få effekt)

Ställ inte samma fråga/skriv samma text här och andra webbplatser samtidigt för annars kan någon enkelt hitta/känna igen din text/fråga och då spåra dig på andra delar av internet. Anta tex att du är facebookvän/i samma facebookgrupp som flera personer här. Vill du ha mer svar så vänta en period samt ändra din fråga/skrivsätt för att försvåra igenkänning på andra delar av internet.

Våra säkerhetsåtgärder på forumet
All access till forumet sker över HTTPS, alltså en krypterad anslutning. Detta skyddar både ditt (och mitt) lösenord mot avlyssning vid inloggning, och även din kaka, samt de delar av forumet som du besöker. Tekniskt sett kan fortfarande en lokal nätverksadministratör (t.ex. på jobbet) bedöma att det är just preppad.se som det surfas på, däremot inte se vilka inlägg/PMs du skickar. Är man misstänksam bör man även kolla att det står just https:// i adressfältet (att ingen manipulerar trafiken mellan din dator och servern). Vi har även lagt in en inställning som gör att din webbläsare aldrig ska skicka/ta emot okrypterad data från preppad.se (Strict-Transport-Security).

Vi har inget innehåll i sidan som laddas från någon extern part. Alltså ingen externt laddad reklam eller "tracking cookies". Detta ger er mer personlig integritet då externt laddat innehåll normalt vet adressen till den sidan ni ser och er IP-adress (i samband med att innehållet laddas). Alltså, med ingen Google Analytics/Google reklam etc vet Google/annan inte vilka sidor du besöker (om du inte använder Chrome/annat special i din webbläsare). Vi har även stängt av funktionen att lägga in adressen till bilder i inlägg/PM/signaturer då bilder annars automatiskt kan laddas från extern sida, som då också skulle veta vilken sida du ser i samband med att de laddas (vi administratörer kan dock göra det (då ska de hämtas från preppad.se)). Vill man visa en extern bild får man istället länka till bilden. Nu får vi se om detta blir för "bökigt", antingen får man ladda upp bilden till oss (då håller vi i bilden, och visas automatiskt) eller så får de länkas, och klickas på. Jag vill i högsta möjliga mån behålla det så att inget externt innehåll laddas automatiskt/utan att ni vet om det. Vi har nu även lagt in en säkerhetspolicy som gör att webbläsaren inte får hämta saker från externa källor även ifall den av någon anledning blir instruerad att göra det (Content-Security-Policy).

Alla postade hyperlänkar som pekar mot externa sidor har argumentet noreferrer, detta ber er webbläsare att inte informera den besökta länken om att/var på preppad.se länken finns. Testa gärna detta med https://www.whatismyreferer.com/ det ska stå något i stil med "No referer / hidden". Denna inställning fungerar bara om man inte har en antik webbläsare. (Vi har även ett sekundärt skydd för detta, en Referrer-Policy header som också skyddar mot samma sak.)

Din kaka ska sluta gälla efter 14 dagar. Alltså även om du väljer att "alltid vara inloggad" så ska du automatiskt loggas ut efter 14 dagar. Detta skyddar t.ex. mot att någon skulle ha tillgång till den datorn du "alltid är inloggad på" och kopiera din kaka till deras dator, för att fortsätta vara inloggad och surfa runt, läsa PMs osv (då de också loggas ut 14 dagar efter när du först loggade in). Denna tid kan komma att justeras i framtiden.

Vi har lagt in en sekundär inloggning på administrationspanelen. Detta gör att det krävs två olika lösenord för oss administratörer att sköta forumet. Det skyddar även mot eventuella sårbarheter inom administrationspanelen som ej ännu upptäckts.

Vi har en global inställning på att era e-postadresser inte ska synas för andra användare, och även ändrat standarden för nya konton, att de också ska döljas enligt er konto-inställning. Detta skyddar mot att vi av misstag skulle "bocka ur" att dölja e-postadresser, eftersom de fortfarande kommer vara dolda (om ni inte också ändrat er inställning).

Vi har dolt flera forumskategorier för oinloggade/sökmotorer dit vi tycker sökmotorer inte behöver indexera innehåll.

Vi har en policy som ska försvåra utförandet av XSS attacker (X-Xss-Protection).

Vi har en policy som gör att webbläsaren aldrig ska skicka dina koordinater, be om tillträde till kamera/telefon eller använda betalningsmetoder mot preppad.se (detta har mest effekt på mobiltelefoner). (Feature-Policy)

Har ni förslag/upptäcker brister inom säkerheten skicka gärna omgående ett PM till mig eller någon annan admin här!

Slutligen...
Vi administratörer kan aldrig vara helt säkra på att denna forumsmjukvara (phpbb3) inte innehåller oupptäckta sårbarheter (utöver att alltid uppdatera till den senaste versionen, samt göra egna förbättringar). Skulle en sårbarhet som exponerar databasen finnas (en extremt allvarlig sårbarhet, och osannolik) så skulle en utnyttjare av den kunna se all okrypterad information i databasen, vilket innefattar e-postadressen ni registrerat er med, alla inlägg ni skrivit, er IP-adress(er) och även alla PMs ni hade vid det tillfället (erat lösenord är envägskrypterat). Man bör därför aldrig lagra känslig information på sitt konto (radera känsliga PMs! Eller använd t.ex. protonmail för sådant).

Jag vill med detta inte skrämma någon från att använda detta forum, utan bara informera er om vad ni bör tänka på så att alla kan använda detta forum på ett säkert sätt för maximal OPSEC. Detta är inget konstigt, och gäller på alla andra sidor/forum på Internet också...

För förslag kring säkerhet skicka PM till mig/annan admin, eller skriv ett inlägg i Felanmälan, förslag och feedback kategorin.
För diskutera allmänna sätt att skydda sig online skriv inlägg i Ljugarbänken eller Sekten.

För tillfället är denna tråd inte låst, men kan komma att bli låst i framtiden.
Din säkerhet & opsec är viktig, läs: viewtopic.php?t=202
Vi har en larmfunktion för allvarliga händelser, se: viewtopic.php?t=2283
Användarens profilbild
Graograman
Inlägg: 11
Blev medlem: 07 maj 2019 20:58

Re: Säkerheten på forumet, för din OPSEC (LÄS!)

Inlägg av Graograman »

Vid en snabb gubbgoogling så kunde jag inte hitta nån extension/plugin för phpbb som tar bort exif/koordinater automagiskt när man laddar upp bilder.
Men jag är säker på att admins kan hacka lite php och fixa det :)
Användarens profilbild
jr_36
Inlägg: 1409
Blev medlem: 23 apr 2019 20:29

Re: Säkerheten på forumet, för din OPSEC (LÄS!)

Inlägg av jr_36 »

Har uppdaterat inlägget ovan med information över de nya säkerhetsskydden vi lagt in. Kortfattat så är det HTTP headers som gör följande:
  • Säger till webbläsaren att alltid använda HTTPS här
  • Säger till webbläsaren att inte hämta material från andra sidor (även ifall själva sidan ber om det)
  • Säger till webbläsaren att inte visa din referer när du klickar på länkar som pekar mot externa sidor (detta hade vi på ett annat sätt innan, men nu är det påtvingat på två vis (:) )
  • Säger till webbläsaren att försöka skydda mot XSS attacker
  • Säger till webbläsaren (gäller främst mobiltelefoner) att aldrig skicka gps-position eller tillåta tillträde till mikrofon/kamera/betalning
Har även lagt till en gulmarkerad text om att inte använda gamla webbläsare, eller Internet Explorer (så klart, då det är en gammal webbläsare...)

En bildkomprimerare som också tar bort EXIF-data är under test och kommer vara synlig för alla medlemmar inom kort.
Din säkerhet & opsec är viktig, läs: viewtopic.php?t=202
Vi har en larmfunktion för allvarliga händelser, se: viewtopic.php?t=2283
Användarens profilbild
jr_36
Inlägg: 1409
Blev medlem: 23 apr 2019 20:29

Re: Säkerheten på forumet, för din OPSEC (LÄS!)

Inlägg av jr_36 »

Graograman skrev: 13 maj 2019 06:40 Men jag är säker på att admins kan hacka lite php och fixa det :)
Verktyget är färdigt, och tillgängligt för alla inloggade medlemmar, har nu uppdaterat texten ovan så att den föreslår användning av vår bildkomprimerare.
Din säkerhet & opsec är viktig, läs: viewtopic.php?t=202
Vi har en larmfunktion för allvarliga händelser, se: viewtopic.php?t=2283
Användarens profilbild
jr_36
Inlägg: 1409
Blev medlem: 23 apr 2019 20:29

Bump!

Inlägg av jr_36 »

Bump: En påminnelse till eventuella medlemmar som inte läst den gulmarkerade texten ovan att göra det :para:.
Din säkerhet & opsec är viktig, läs: viewtopic.php?t=202
Vi har en larmfunktion för allvarliga händelser, se: viewtopic.php?t=2283
Användarens profilbild
jr_36
Inlägg: 1409
Blev medlem: 23 apr 2019 20:29

Re: Säkerheten på forumet, för din OPSEC (LÄS!)

Inlägg av jr_36 »

Har strukturerat om bland texten ovan så att viktigast är överst. Vill åter påminna om att inte använda en e-postadress med ditt riktiga för/efternamn och att man gärna får använda en temporary email (anledningen till krav på verifierad epost är för att ha mindre med engångskonton/spamkonton).

Känner du dig träffad med att använda epost med riktigt för/efternamn så går det bra att ändra här: https://preppad.se/ucp.php?i=ucp_profil ... eg_details
Din säkerhet & opsec är viktig, läs: viewtopic.php?t=202
Vi har en larmfunktion för allvarliga händelser, se: viewtopic.php?t=2283
Användarens profilbild
jr_36
Inlägg: 1409
Blev medlem: 23 apr 2019 20:29

Re: Säkerheten på forumet, för din OPSEC (LÄS!)

Inlägg av jr_36 »

Och ett litet tillägg till ovan, om du ändrar e-postadress på ditt konto så behöver du fortfarande göra en kontobekräftelse via en länk som skickas till den nya e-postadressen. Så ändra bara till en adress du faktiskt har tillgång till. Vid problem så hör av er till admin för hjälp.

Och, en uppdatering, temporary email går bra att använda, men tänk på att på vissa av de så lever inkorgen under lång tid, jag har själv använt "nya" tillfälliga e-postkonton där många andra kontoregistreringar finns! Finns risk att någon kan ta över ert konto. Informationen ovan har uppdaterats med detta.
Din säkerhet & opsec är viktig, läs: viewtopic.php?t=202
Vi har en larmfunktion för allvarliga händelser, se: viewtopic.php?t=2283
Användarens profilbild
Charlie**
Inlägg: 1595
Blev medlem: 16 maj 2019 13:21
Ort: I skogen, vid bäcken från fjället

Re: Säkerheten på forumet, för din OPSEC (LÄS!)

Inlägg av Charlie** »

jr_36 skrev: 12 maj 2019 20:48 Läs det viktigaste för DIN säkerhet, markerat i gult.

Ställ inte samma fråga/skriv samma text här och andra webbplatser samtidigt för annars kan någon enkelt hitta/känna igen din text/fråga och då spåra dig på andra delar av internet. Anta tex att du är facebookvän/i samma facebookgrupp som flera personer här. Vill du ha mer svar så vänta en period samt ändra din fråga/skrivsätt för att försvåra igenkänning på andra delar av internet.
Varning, varning. Avbryt omgående!
Jag har den senaste tiden sett samma frågeställningar på andra forum, som här på preppad.se. Tänk på att det är lättare att identifiera er om ni är aktiva på flera forum och ställer samma frågeställningar under samma tidsperiod. Framför allt om ni uppträder med bild och namn på dessa forum. -Skärpning!
Tänk på er opsec, den är just nu viktigare än ni tror, då det råder orostider och allvarstider i vår omvärld!
“That rifle on the wall of the labourer's cottage or working class flat is the symbol of democracy. It is our job to see that it stays there.”
-George Orwell
Användarens profilbild
Marie
Inlägg: 2770
Blev medlem: 29 apr 2019 21:28
Ort: Linköping

Re: Säkerheten på forumet, för din OPSEC (LÄS!)

Inlägg av Marie »

Charlie** skrev: 16 feb 2024 23:30
jr_36 skrev: 12 maj 2019 20:48 Läs det viktigaste för DIN säkerhet, markerat i gult.

Ställ inte samma fråga/skriv samma text här och andra webbplatser samtidigt för annars kan någon enkelt hitta/känna igen din text/fråga och då spåra dig på andra delar av internet. Anta tex att du är facebookvän/i samma facebookgrupp som flera personer här. Vill du ha mer svar så vänta en period samt ändra din fråga/skrivsätt för att försvåra igenkänning på andra delar av internet.
Varning, varning. Avbryt omgående!
Jag har den senaste tiden sett samma frågeställningar på andra forum, som här på preppad.se. Tänk på att det är lättare att identifiera er om ni är aktiva på flera forum och ställer samma frågeställningar under samma tidsperiod. Framför allt om ni uppträder med bild och namn på dessa forum. -Skärpning!
Tänk på er opsec, den är just nu viktigare än ni tror, då det råder orostider och allvarstider i vår omvärld!
Vissa kanske inte ser det som opsec brytande att de finns på olika forum med samma frågor... OM... om de även är anonyma på de andra forumen. 8-)
Mig har du säkert sätt på olika forum. ;) :D
Marie: Ingenting är omöjligt, det omöjliga tar bara lite längre tid att genomföra.
Under belägring: "Assumption is the mother of all fuck ups" = kolla fakta/fråga
Road House: "Always be nice..... until it's time to not be nice"
Skriv svar

Återgå till "Anslagstavlan"