Newsfeed Authenthifizierung

Geschenke auf Origo können nun wieder vom Absender abgeholt werden, wenn diese noch nicht geöffnet worden sind.
Der Server wurde erfolgreich auf die Version 1.20.4 aktualisiert und nun wieder erreichbar.
1. offizieller Beitrag

    Dein Verhältnis zu IT Security und Datenschutz ist immer wieder erstaunlich.


    Bevor wir weiterreden würde ich dir erst einmal empfehlen, die Verbindung zu deiner Cloud über HTTPS zu erzwingen. Weil wenn du unverschlüsselt mit deiner Cloud kommunizierst, kannst du auch gleich Google Drive und Co. nutzen - weil dann scheint dir Datenschutz ja nichts zu bedeuten.


    Bzgl. der eigentlichen Geschichte - was sagen die Logs vom RSS Feed Crawler, der im Hintergrund läuft?

    Zitat von AnderCrafterYT

    Die hat ssl, das sieht man dort nur nicht


    Richtig und falsch.
    Ich weiß, dass deine Seite HTTPS hat. Das habe ich selbst gesehen. Aber deine Verbindung auf dem Screenshot oben ist unverschlüsselt, sprich, läuft ohne SSL via HTTP auf Port 80.
    Mir geht es darum, dass deine Website kein HTTPS erzwingt bzw. eine Verbindung auf HTTP (Port 80) direkt auf HTTPS umleitet (Port 443).


    Das ist eine Sache der Konfiguration deines vHost im Apache (sofern du Apache nutzt, bei nginx kann ich nicht sagen wie das geht). Das ist nur eine Empfehlung und ich würde dir ja auch erklären wie das geht, aber dafür müsstest du halt einfach mal nett fragen.



    Zurück zum Thema - was sagen die Logs vom RSS Crawler? Bekommst du einen Error 403 zurück, oder wie äußert sich das spezifisch?
    Ich könnte mir auch vorstellen, dass die RSS App in Nextcloud die Stadtforen hier nicht unterstützt und die Anmeldedaten für Anmeldungen via z.B. .htaccess oder halt auf Webserver Ebene gedacht sind. So eine Anmeldung bekommt man hier ja sicher nicht, sondern eine Anmeldemaske fürs Burning Board bzw. für das Forum (Content, also PHP o.Ä. Ebene)...


    Könnte man maximal via Zwischenscript oder so machen. Also praktisch ein Script, dass die Anforderung korrekt ans Forum stellt, sich dort authentifiziert und dir den RSS Feed holt (der Feed ist ja so gesehen auch nur eine Datei). Du machst dir den vom Script geholten Feed dann z.B. auf localhost verfügbar, und trägst den dann im RSS Crawler ein. Nur so eine Idee...



    //Achja, edit: Das man dein phpMyAdmin einfach so erreichen kann ist aber auch nicht so das wahre... da solltest du dir mal was anderes überlegen.

    Ich bin mir der Risiken bewusst, normalerweise Greif ich sowieso über VPN zu, ich bin selber mit Webservern aktiv und wüsste wie es geht, nur ist es so das bei Arbeiten mit SSL zwischen Client und CDN (nicht Server) aus einem mir unbekannten Grund manchmal der Login nicht funktioniert (Seite lädt neu, keine Meldungen) oder der Login Button nicht existiert (whyever). Ich verstehe bei Phpmyadmin nicht das Risiko, ist das ein Problem wegen bruteforcing?


    Wenn es sich um wirklich schlimme Risiken handelt könnten wir gerne ein TS Gespäch machen, wenn du willst, da ich mir alles learning by doing beigebracht habe und mir evtl. Deshalb so was nich bewusst ist/sein könnte

    Zitat von AnderCrafterYT

    Ich bin mir der Risiken bewusst


    Zitat von Linus Neupro

    Um mal ehrlich zu sein habe ich 0. Sicherheitsvorkehrungen getroffen, ich habe dasselbe passwort für root und hauptnutzer und sudo geht ohne passwort, mir ist trotzdem nie was passiert


    Da bin ich mir seit dieser und einiger anderer Aussagen nicht mehr so sicher.


    Zitat von AnderCrafterYT

    normalerweise Greif ich sowieso über VPN zu


    Das geht so lange gut, wie deine Website auf dem selben Server wie der VPN-Server ist. VPN verändert so gesehen nur deinen Gateway, über den du ins Internet gehst und verschlüsselt nur bis dahin.


    Vereinfachtes Beispiel:
    Du (1.2.3.4)
    VVVVVVVVVV --> per VPN verschlüsselt
    ISP Gateway (8.7.6.5)
    VVVVVVVVVV --> per VPN verschlüsselt
    VPN Server bzw. Gateway (4.3.2.1)
    VVVVVVVVVV --> nicht mehr per VPN verschlüsselt
    Ziel im Internet (5.6.7.8)


    Wenn jetzt VPN Server und das Ziel im Internet gleich sind, dann sollte das ganze eigentlich unproblematisch sein. Aber ansonsten geht dein Plan nicht so ganz auf...


    Zitat von AnderCrafterYT

    Ich verstehe bei Phpmyadmin nicht das Risiko, ist das ein Problem wegen bruteforcing?


    Bin gerade auf Arbeit und mein Kollege der hinter mir stand, als ich das gesehen habe, hat mich gefragt, ob ich Lust auf nen Brute Force Angriff habe. Noch Fragen? :)
    Ganz nebenher hast du hier mit bzw. eher ohne SSL das selbe Problem wie bei deiner Nextcloud.



    Ich habe mir auch alles learning by doing beigebracht, und ich habe auch manchmal unbequem gelernt. Aber ein gewisses grundlegendes Sicherheitsbewusstsein ist absolute Voraussetzung, und bei dir habe ich das Gefühl, dass das teilweise mal so überhaupt garnicht vorhanden ist bzw. du schlichtweg zu faul/bequem bist, dir darum einen Kopf zu machen.


    Ich zitiere da nochmal etwas:

    Zitat von kerberos

    Und auf die Idee, dass Dein Server gekapert und für andere Dinge missbraucht werden kann kommst du nicht, oder?
    Ich habe hier regelmäßig Zugriffe auf nicht existierende Verzeichnisse, die mal eben "testen" ob mein Webauftritt verwundbar ist.
    Komischerweise kommen viele Zugriffe von IP-Adressen, auf denen normale Webseiten laufen wie z.b. die einer freiwilligen Feuerwehr oder eines Herstellers von Dichtungsringen.
    Nur weil Du Dich sicher fühlst, muss es nicht der Fall sein.

    Liegt auf demselben Server, ssl ist klar.


    Nebenbei hätte ich mit meinem Glauben ans gute vor einiger Zeit Probleme, da bruteforcee mein SSH lahmlegten, seit dem versuche ich meinen Server sicher zu konfigurieren, ssl ist ein Problem, da bei mir die Konfiguration immer Probleme hervorruft und manches selbstgeschriebenes wie im cache aussieht (untereinander, nicht funktional).


    fail2ban hätte ich eingesetzt, mein Wechsel auf einen neuen Server ist noch nicht vollständig