Software - Sicherheit und Spam
Verfasst: Sa 23. Jan 2021, 00:43
Hallo Leute
Ich weiß, ich bin der Neue, nicht mal ne Woche hier und ich will auch nicht klugscheißen, aber mir sind trotzdem einige Ungereimtheiten in Sachen Forensoftware aufgefallen.
Ich muss dazu sagen das ich seit über 20 Jahren Foren erstellt und betreut habe und ein wenig Ahnung von der Technik und auch den rechtlichen Hintergründen habe. Auch wenn ich die meisten dieser Foren in andere Hände abgegeben habe betreue ich noch das Z-Forum als Co-Admin.
Zuerst mal zu der Frage die ein Kollege hier stellte, das sein Browser das Forum als "nicht sicher" tituliert. Das liegt daran das es sich um eine "http"-Seite handelt und nicht um eine "https". HTTPS-Seiten haben ein zusätzliches (kostenpflichtiges) Zertifikat mit dem die Authentizität der Seite bestätigt wird. Ist ganz wichtig bei Seiten die mit sensiblen Daten arbeiten, z.B. Webshops bei denen man Kontonummern oder Kreditkarten benutzt oder auch nur seine Adresse und Telefonnummer angeben muss. Da dieses Forum hier mit ausschließlich freiwilligen und unsensiblen Daten arbeitet ist so ein Zertifikat auch nicht zwingend notwendig, warum also Geld ausgeben. Der Browser stuft diese Seite zwar automatisch als "unsicher" ein, das kann man hier aber getrost ignorieren. Bei allen anderen Seiten sollte man mit seinen sensiblen Daten sehr vorsichtig sein wenn es keine HTTPS-Seite ist.
Vielen hier geht der Spam auf die N*sse, klar. Ich muss sagen ich habe selten eine so einfache Anmeldung gesehen - Username und Passwort, Captcha eintippen und Zack, voller Schreibzugriff. Da moderne Spamsoftware inzwischen auch die Standard-Captchas wie diesen hier knacken kann ist es für automatisierte Bots einfach hier herein zu kommen und Quatsch zu machen (Bei diesen Bildern wo man Ampeln oder Busse anklicken kann beißen sich die Automaten "noch" die Zähne aus) Bei allen anderen Foren muss ich beim Anmelden entweder meine Emailadresse durch einen Link per Mail verifizieren (ist inzwischen aber auch schon automatisch zu verarbeiten) ODER besser ein Admin bzw Moderator prüft die Anmeldung und schaltet den User erst dann frei, ggf. mit beschränkten Schreibvollmachten, z.B. nur im Vorstellungsbereich. Schaut mal wieviele Facebook-Gruppen heute ohne Überprüfung durch Admin nicht nutzbar sind. Auch wenn das Forum sich als "Internationaler KLX-Treffpunkt" darstellt, ein User aus Liberia wie der Letzte heute hier der den Admin sprechen will (ich vermute es geht um die 10 Millionen Dollar aus der Erbmasse des verstorbenen Prinzen
) würde da mit großer Wahrscheinlichkeit nicht durch rutschen. Und soviel Arbeit ist das Freischalten nicht - ist ja nicht das Lady Gaga-Fanforum oder Motortalk.de wo sich täglich zwischen 100 und 500 neue Mitglieder anmelden. Hier ist es wohl recht überschaubar.
Das wäre mal der allererste Schritt zum Thema Sicherheit und lässt sich normalerweise in den Grunddaten der Forensoftware einstellen. Ich habe zwar mit phpBB noch nicht gearbeitet aber die meiste Software die es heute noch gibt basiert aus ähnlichen Grundkonzepten.
Wenn ich so zwischen den Zeilen lese hat der Admin wenig/keine Zeit. Das ist soweit ja ok, schließlich ist es auch "nur" ein Hobby - aber dieses Hobby kann plötzlich ganz schnell ganz teuer werden wen z.B. so ein Eindringling Schaden verursacht, massenhaft Spammails verschickt oder einen anstößigen oder kriminellen Text postet. In diesem Fall ist der Forenbetreiber in der privaten Haftung und ganz schnell einige tausend Euro los wenn's hart auf hart kommt. Hier müsste dringend ein Stellvertreter als Moderator bzw. Co-Admin mit ins Boot der neue User überprüfen und freischalten und auch Beiträge löschen kann. Es gibt doch bestimmt in dieser Clique einen oder zwei vertrauenswürdige User die den Admin vielleicht auch persönlich kennen (die KLX-Szene scheint sehr überschaubar zu sein) die sich dieser Aufgabe stellen würden.
Ich bin gerne bereit bei der Technik zu helfen - wie gesagt ich hab bisher nur mit 2 Konkurrenzprodukten gearbeitet aber die Unterschiede sind nicht so riesengroß.
Achja, bei dieser Gelegenheit sollte auch dringend so ein nerviger "Ich bin mit der Verarbeitung von Cookies und der Speicherung meiner Daten einverstanden"-Schalter rein. Im Impressum reicht das heute nicht mehr und auch das kostet viel Geld wenn ein Abmahnanwalt sich damit befasst.
Wie gesagt, kein Klugscheißen beabsichtigt, aber ich kenne ein, zwei Ex-Adminkollegen die sich wegen Strafzahlungen keine Hobbies mehr leisten können..
Schönes Wochenende euch allen
Ich weiß, ich bin der Neue, nicht mal ne Woche hier und ich will auch nicht klugscheißen, aber mir sind trotzdem einige Ungereimtheiten in Sachen Forensoftware aufgefallen.
Ich muss dazu sagen das ich seit über 20 Jahren Foren erstellt und betreut habe und ein wenig Ahnung von der Technik und auch den rechtlichen Hintergründen habe. Auch wenn ich die meisten dieser Foren in andere Hände abgegeben habe betreue ich noch das Z-Forum als Co-Admin.
Zuerst mal zu der Frage die ein Kollege hier stellte, das sein Browser das Forum als "nicht sicher" tituliert. Das liegt daran das es sich um eine "http"-Seite handelt und nicht um eine "https". HTTPS-Seiten haben ein zusätzliches (kostenpflichtiges) Zertifikat mit dem die Authentizität der Seite bestätigt wird. Ist ganz wichtig bei Seiten die mit sensiblen Daten arbeiten, z.B. Webshops bei denen man Kontonummern oder Kreditkarten benutzt oder auch nur seine Adresse und Telefonnummer angeben muss. Da dieses Forum hier mit ausschließlich freiwilligen und unsensiblen Daten arbeitet ist so ein Zertifikat auch nicht zwingend notwendig, warum also Geld ausgeben. Der Browser stuft diese Seite zwar automatisch als "unsicher" ein, das kann man hier aber getrost ignorieren. Bei allen anderen Seiten sollte man mit seinen sensiblen Daten sehr vorsichtig sein wenn es keine HTTPS-Seite ist.
Vielen hier geht der Spam auf die N*sse, klar. Ich muss sagen ich habe selten eine so einfache Anmeldung gesehen - Username und Passwort, Captcha eintippen und Zack, voller Schreibzugriff. Da moderne Spamsoftware inzwischen auch die Standard-Captchas wie diesen hier knacken kann ist es für automatisierte Bots einfach hier herein zu kommen und Quatsch zu machen (Bei diesen Bildern wo man Ampeln oder Busse anklicken kann beißen sich die Automaten "noch" die Zähne aus) Bei allen anderen Foren muss ich beim Anmelden entweder meine Emailadresse durch einen Link per Mail verifizieren (ist inzwischen aber auch schon automatisch zu verarbeiten) ODER besser ein Admin bzw Moderator prüft die Anmeldung und schaltet den User erst dann frei, ggf. mit beschränkten Schreibvollmachten, z.B. nur im Vorstellungsbereich. Schaut mal wieviele Facebook-Gruppen heute ohne Überprüfung durch Admin nicht nutzbar sind. Auch wenn das Forum sich als "Internationaler KLX-Treffpunkt" darstellt, ein User aus Liberia wie der Letzte heute hier der den Admin sprechen will (ich vermute es geht um die 10 Millionen Dollar aus der Erbmasse des verstorbenen Prinzen
) würde da mit großer Wahrscheinlichkeit nicht durch rutschen. Und soviel Arbeit ist das Freischalten nicht - ist ja nicht das Lady Gaga-Fanforum oder Motortalk.de wo sich täglich zwischen 100 und 500 neue Mitglieder anmelden. Hier ist es wohl recht überschaubar.Das wäre mal der allererste Schritt zum Thema Sicherheit und lässt sich normalerweise in den Grunddaten der Forensoftware einstellen. Ich habe zwar mit phpBB noch nicht gearbeitet aber die meiste Software die es heute noch gibt basiert aus ähnlichen Grundkonzepten.
Wenn ich so zwischen den Zeilen lese hat der Admin wenig/keine Zeit. Das ist soweit ja ok, schließlich ist es auch "nur" ein Hobby - aber dieses Hobby kann plötzlich ganz schnell ganz teuer werden wen z.B. so ein Eindringling Schaden verursacht, massenhaft Spammails verschickt oder einen anstößigen oder kriminellen Text postet. In diesem Fall ist der Forenbetreiber in der privaten Haftung und ganz schnell einige tausend Euro los wenn's hart auf hart kommt. Hier müsste dringend ein Stellvertreter als Moderator bzw. Co-Admin mit ins Boot der neue User überprüfen und freischalten und auch Beiträge löschen kann. Es gibt doch bestimmt in dieser Clique einen oder zwei vertrauenswürdige User die den Admin vielleicht auch persönlich kennen (die KLX-Szene scheint sehr überschaubar zu sein) die sich dieser Aufgabe stellen würden.
Ich bin gerne bereit bei der Technik zu helfen - wie gesagt ich hab bisher nur mit 2 Konkurrenzprodukten gearbeitet aber die Unterschiede sind nicht so riesengroß.
Achja, bei dieser Gelegenheit sollte auch dringend so ein nerviger "Ich bin mit der Verarbeitung von Cookies und der Speicherung meiner Daten einverstanden"-Schalter rein. Im Impressum reicht das heute nicht mehr und auch das kostet viel Geld wenn ein Abmahnanwalt sich damit befasst.
Wie gesagt, kein Klugscheißen beabsichtigt, aber ich kenne ein, zwei Ex-Adminkollegen die sich wegen Strafzahlungen keine Hobbies mehr leisten können..
Schönes Wochenende euch allen
Ich dachte immer die reden Italienisch oder Latein dort 
... gerne lerne ich.