Μεγάλο θέμα...
Th P έγραψε:2. Ποια μέλη έχουν πρόσβαση και σε ποιά ακριβώς προσωπικά δεδομένα των μελών της κοινότητας;
Εξαρτάται πού έχουν πρόσβαση και τι είδους.
Εδώ μιλάω υποθετικά πάντα και γενικά, όχι για το φόρουμ μας. Οι διαχειριστές μας λαμβάνουν αρκετά (και σημαντικά) μέτρα ασφαλείας.
1. Φυσική πρόσβαση: Π.χ. Αν δεν έχουν ληφθεί τα αναγκαία μέτρα προστασίας υπάρχει πιθανότητα να κάνω boot σε server με live cd. Αν δεν είναι κρυπτογραφημένα, θα έχω τον απόλυτο έλεγχο στα αρχεία και προγράμματα.
Φυσικά, και κρυπτογραφημένα να είναι, υπάρχει και μια άλλη ευκολότερη πιθανότητα... «αλλοίωσης» και απώλεσης δεδομένων:
2. Πρόσβαση διαχειριστή (root/sudo) στο λειτουργικό σύστημα: Πιστεύω πως τα λόγια είναι περιττά - root & sudo rules!
3. Ειδική πρόσβαση σε αρχεία/προγράμματα του λειτουργικού σύστηματος: Θα πρόσεξες ότι η πρόσβαση σε αρχεία και εντολές στο linux είναι παραμετροποιήσιμη (έχουμε ιδιοκτήτες αρχείων, ομάδων και άλλων χρηστών). Μαζί με αυτό υπονοείται και η παραμετροποίηση για εκτέλεση προγραμμάτων και daemons (προγράμματα που λειτουργούν στο υπόβαθρο). Ο διαχειριστής μπορεί να δώσει "πάσο" σε κάποιο άτομο για να εκτελέσει ή να δει μερικά αρχεία.
Μπορεί π.χ. να έχει πρόσβαση στο daemon/service και στα αρχεία του πρόγραμματος apache, να παραμετροποιήσει το apache server και να κάνει πανδαιμόνιο.
4. Πρόσβαση που ορίζεται από το πρόγραμμα: Διαχειριστής ενός προγράμματος (ή φόρουμ) μπορεί να οριστεί και μέσα στο πρόγραμμα.
5. Remote administration: Εδώ βάζω και τα keyloggers, trojans, virus κτλ. Οτιδήποτε εγκαταστήσεις από τρίτους ή από ανέμπιστη πηγή μπορεί
να αποτελέσει βάση για πρόσβαση σε αρχεία/εντολές.
Τώρα πάμε στα μέτρα ασφαλείας:
* Κρυπτογράφηση κωδικών: Ο κωδικός στο φόρουμ είναι κρυπτογραφημένος με md5. Είναι ένας αλγόριθμος αυτού του τύπου κρυπτογράφησης:
http://en.wikipedia.org/wiki/Cryptograp ... h_functionΑυτό σημαίνει ότι βλέπεις μια γραμμή με αλφαριθμικούς χαρακτήρες (hash), από την οποία δεν μπορείς να βρεις τον κωδικό. Δημιουργείται και αποθηκεύεται στη βάση δεδομένων (π.χ. mysql, sqlite ή άλλη).
έγραψε:
$ echo -n "test" | md5sum
098f6bcd4621d373cade4e832627b4f6 -
Όταν εσύ δώσεις κατά το login το username και τον κωδικό σου (test), το πρόγραμμα θα φτιάξει το md5 hash (098f6bcd4621d373cade4e832627b4f6) και θα συγκρίνει τον κωδικό
Εκτός από το md5 υπάρχουν και άλλοι αλγοριθμοι:
http://en.wikipedia.org/wiki/List_of_hash_functions* Εμπιστοσύνη: Το άτομο που έβαλες ως διαχειριστή έχει αποδειχθεί ως το κατάλληλο άτομο; Είναι άτομο άξιο εμπιστοσύνης; Είναι άτομο που κατάλαβε ότι ανέλαβε σημαντικό έργο και ότι γνωρίζει πως είναι υπεύθυνος (εν μέρει) για την ασφάλεια των δικών του προσωπικών δεδομένων, αλλά και των άλλων χρηστών.
Παρόμοια ερώτηση: Θα έδινες σε αυτό το άτομο να κρατήσει 20,000 ευρώ χωρίς να τα πειράξει;
Για το φόρουμ μας:
- Δεν ξέρω πόσα άτομα διαχειρίζονται το server μας με φυσική πρόσβαση αλλά μέχρι τώρα έχουν κάνει πολύ καλή δουλειά.
- 3 άτομα έχουν αναδειχθεί άξια εμπιστοσύνης για διαχείριση του «προγράμματος» (φόρουμ):
https://forum.ubuntu-gr.org/memberlist. ... group_id=5* Αναβαθμίσεις: Ας είναι καλά τα ακούραστα παιδιά που αναλαμβάνουν να φτιάχνουν και να αναβαθμίζουν τα πακέτα, διορθωμένα σύμφωνα με τα τελευταία νέα για την ασφάλεια των προγραμμάτων που χρησιμοποιούμε. Ένα sudo apt-get update / upgrade κάθε τόσο λύνει τα χέρια και... πολλές στεναχώριες.
Κι αυτοί που εγκαθιστούν «δια χειρώς» προγράμματα για ιστοσελίδες/φορουμ (joomla, wordpress, phpbb3 κτλ) πρέπει να κάνουν τις αναγκαίες αναβαθμίσεις πάλι «δια χειρώς». Αλλιώς αν πουν «μπα, ποιος θα με χακάρει εμένα», θα δουν ότι οι κακοί παραμονεύουν σε κάθε γωνιά.
Μπορούμε να γράψουμε βιβλίο για αυτό το θέμα.
Θα συνεχίσει κάποιος άλλος ελπίζω. Αν έκανα λάθος οπουδήποτε διορθώστε με. Καληνύχτα!
