האם אתם בודקים את אבטחת המידע

[ע ל ו מ ה]

האם אתם בודקים את אבטחת המידע

של הבלוג שלכם? נשאלה כאן שאלה, לגבי מעבר למערכת אחרת לו מערכת הבלוגים שלכם נפרצה. היו שענו שזה תלוי במהירות הטיפול בפריצה, היו שענו שזה תלוי בהתייחסות המערכות לפורץ. ואני שואלת: למה לחכות לפורץ? האם אתם בודקים את אבטחת המידע באתר הבלוגים שלכם? האם אתם מודעים אליה? האם זה שיקול, כשאתם בוחרים אתר בלוגים? ואם כן - האם אתם בודקים סטטיסטיקות פריצה (לכאן כבר פרצו לכאן לא)? או מחפשים מה כותב האתר על מדיניות האבטחה שלו?

 

[Tali1912]

השאלה הנשאלת

איזה כלים יש לבלוגים לבדוק את אבטחת המידע שלהם, בואי נגיד לעומת אתרים שיש להם מין סימן זיהוי כזה שמופיע "האתר מאובטח" וגם אלה לפעמים נפרצים. אני חושבת שיש לזה משקל לכאן כבר פרצו ולכאן לא! לגבי מדיניות האבטחה ושמירה על זכויות יוצרים נראה לי שהנהלת הבלוגים, הוכיחה את עצמה הרבה פעמים בשמירה על התכנים. לגבי אתרים אחרים, אני גולשת בפורטל רוטר ששם מאוד מאוד מאוד מקפידים שיהיה שם משתמש אחד וזהו ולא ריבוי שמות לבן אדם אחד, ויצא שפרצו לי בו זמנית שאני גם הייתי מחוברת, וגם אותו דרקקק התחבר עם כתובת IP אחת משלי, הגלובל של האתר ואני עלינו על זה ביחד וטלפונית בצענו פעולת מניעה.מה גם שיש לי ותק שם כחברה בתשלום וברור לו שאני לא אתן את שם המשתמש שלי למישהו כדי להכנס לאקסלוסיבי, בכלל אני מתייחסת לשם משתמש כמו כרטיס אשראי או תעודת זהות.שאותן מוסרים כמובן רק על פי שיקול הדעת של האדם <בפרט לא מספרים אישיים לכניסה לאתרים או בנקים).

 

[ע ל ו מ ה]

יש כל מיני סוגים של פריצות ופרצות

מי שנכנס בשם המשתמש שלך ועוד מכתובת IP שלך - אילולא נכנס באותו רגע בו גם את נכנסת, לא היה מתגלה, נכון? זה לא בדיוק אבטחה מספקת. אם למישהו יש את שם המשתמש שלך והסיסמא, באמת אי אפשר לצפות מאתר לוודא שהוא באמת את. רק לפני שבועות ספורים מישהו פרץ לחשבון של "ף" - הודה בפורום שגילה את הסיסמא. אני המלצתי לסגור את החשבון כדי להגן על "ף", את דווקא התנגדת. הגנה כזו על חשבון שנפרץ היתה יכולה להיות הצהרה חיובית דווקא של תפוז. פרצות יותר פשוטות הן פרצות שאולי לא מאפשרות לשנות ולקלקל תוכן אבל מאפשרות קריאה של חומרים שחשבנו שהם חסויים. למשל, בשנים הראשונות, אפשר היה בתפוז לקרוא רשומות לא מפורסמות של אחרים - יכולת פשוט לשנות את הלינק לרשומה ולכתוב preview במקום view ולטייל בכל נבכי הבלוג, גם אם הרשומה לא פורסמה. השתמשנו בזה כדי לחלוק רשומות שלא רצינו לפרסם, אבל גם קראנו ככה רשומות של אחרים. פירצה אחרת, שקיימת גם היום בתפוז, היא שאפשר לראות את כל התמונות שמתפרסמות בקומונות - גם תמונות מקומונות סגורות. אז כשאני שמה תמונות בקומונה הסגורה שלי, אני יודעת שאחרים עלולים לראות אותה. וכן, אני מציצה לתמונות של קומונות אחרות. תפוז בכלל לא חוסמים את האפשרות. ואילו הפריצה (לעומת פירצה) שקרתה לאחרונה בישראבלוג, היא בכלל פריצה ברמת השרת. זה משהו אחר לגמרי, ולא עלה אף פעם בדעתי לשאול את תפוז איך הם מאבטחים. אני יכולה רק להניח שאתר שנפרץ לאחרונה יקדיש כעת הרבה יותר משאבים להגנה - לא בטוח שזה שהוא נפרץ אומר שהוא הכי פרוץ. אז בהחלט אין טעם לעבור לאתר אחר. בסופו של דבר, אפשר לפרוץ בהרבה מקומות על המסלול שבין הדפדפן שלנו לשרת (החל מפריצה למחשב שלנו, דרך מעקב אחרי המידע שזורם מאיתנו לספק האינטרנט, פריצה לספק האינטרנט, וכלה בשרתי אתר הבלוגים). אל לנו להשלות את עצמנו אף פעם שאנחנו בטוחים או מאובטחים. חייבים לגבות. ואף פעם לא כדאי לשים את האינטרנט דברים שאנחנו רוצים לשמור רק לעצמנו...

 

[Tali1912]

רק לתקן אותך

זה לא היה מה I.P שלי אלא בו זמנית היתה רשומה כתובת i.p של המשתמש שנכנס בו זמנית איתי. היו רשומות הכתובת שלי במקביל לכתובת שלו לכן היה קל לאתר מי ביצע את זה. ולגבי מה שכתבת על ההוא שפרץ לשם משתמש בפורום בלוגים, אני התייחסתי לשאלה שלו לגבי המנהל שפרש, גם ציינתי את זה בתגובה ההיא.

 

[השרוט ממליץ]

השאלה היא

איך אני אדע אם פרצו בעבר? איפה, אם בכלל, מופיעות סטטיסטיקות של זה?

 

[ע ל ו מ ה]

השאלה שלי היתה

אם בכלל טרחתם לבדוק איכשהו. ולא, לא לבדוק "אם פרצו בעבר" - מה זה משנה? אם פרצו בעבר זה אומר שהאבטחה כיום לא טובה? ואם לא פרצו בעבר זה אומר שכבר לא ייפרצו? מה שצריך לבדוק זה מה מדיניות האבטחה של האתר. ואת זה ראוי שיציינו בדפי המידע על האתר. ואנחנו יכולים לשאול בפורום. אבל לא שאלנו. אני בכל אופן לא שאלתי. כנראה מהשיקול שהאינטרנט אף פעם אינו מקום בטוח, וכנראה שנושא האבטחה היה נמוך אצלי בעדיפות משיקולי עיצוב, וכו'. האם טעיתי בסדרי העדיפויות שלי? האם תשאלו עכשיו? או שבאמת "סטטיסטיקות הפריצות בעבר" הן אלה שגורמות לכם להרגיש בטוחים?

 

[ny22]

שאלה קשורה, בבקשה תענו

היו פריצות פה לבלוגים או שהשאלה הזאת היא תאורטית?

 

[ע ל ו מ ה]

בישראבלוג היתה פריצה

 

[ע ל ו מ ה]

הנה קישור

http://www.nrg.co.il/online/10/ART1/070/252.html

 

[ny22]

../images/Emo51.gifקרה גם משהו דומה בתפוז?

 

[ע ל ו מ ה]

לא שידוע לי ../images/Emo13.gif

הפורום הזה מיועד לדיון בבלוגים בכלל, לא רק בבלוגים של תפוז

 

[ny22]

אוקיי ../images/Emo51.gif../images/Emo140.gif

 

[השרוט ממליץ]

לא עד כמה שידוע לי.

 

[הנץ הכחול]

לא בודק שום דבר כזה

אני יודע ששום מערכת לא מאובטחת. ירצו? יפרצו. זו לא הנקודה כאן.. לדעתי לפחות. אז נכון, יכול להיות שפרצו X פעמים למערכת 1 ולמערכת 2 פרצו Y פעמים (Y גדול מ-X). אז מה, זה אומר שאני ארחיק את עצמי מ-Y? בכלל לא. הדברים שצריך לבדוק בנושא הזה, לדעתי, הם רמת הטיפול של אותה מערכת, מהירות המענה, השרות שמספקים לבלוגרים וכל הדברים שהופכים את הפרצה לכמה שפחות קריטית ומזיקה. הרי זה ידוע ששום מערכת אינה מאובטחת עד כדי כך שאי אפשר לפרוץ אותה - השאלה היא מה קורה ביום שאחרי. אם אני אבחר בנושא הזה כנושא חשוב לבחירת מערכת בלוגים, אני אבדוק את הדברים האלו, ולא את רמת הסיכון והאבטחה של אותה מערכת.