Trať ČD 180 Plzeň - Furth im Wald

Josef Vogeltanz

Vlakvedoucí
Asi tak, stojí to jen pár minut a potom si to někam zapsat pro případ návratu. Ostatně to požaduje kdejaký web, kam člověk lze pro informace nebo na nákup. Překážka to není.
 

Martens

Strojvedoucí
Chlapi, ta registrace u Josky má své opodstatnění. Už několikrát mu navourali web.
Dane, to, že mu nabourají web, tak registrace nezachrání a Damoklův meč opětovného hacknutí webu nad Joskou visí stále - registrace neregistrace.

Proč?

1) Web není šifrovaný SSL (https) - veškerá uživatelská jména a hesla se při přihlášení posílají otevřeně a nešifrovaně - docela průšvih a lze to snadno odposlouchávat.

2) Má to na Joomle => předpokládám, že defaultního superusera má stále pojmenovaného jako admin - pak má hacker 50% rovnou hotovo a stačí na to třeba provést útok hrubou silou a heslo zkusit prolomit - u webů svých klientů to na firewallech vidím stále ve větší či menší míře.

3) Má Joomlu aktualizovanou? - Joomla je opensource, takže hackeři mají pro analýzu redakčního systému k dispozici kompletní zdroják a ty bezpečnostní díry tam byly.

4) Má na webu nainstalován alespoň nějaký SW firewall, který by odchytil další, sofistikovanější, pokusy o hacknutí, případně po určitém počtu chybných pokusů o přihlášení danou IP adresu dočasně odstavil z provozu - roboti nemají problém při pokusu o prolomení hesla k superuseru i stovky a tisíce pokusů o zadání hesla.

5) Další otázka je, zda má nastaveno používání FTP a jestli používá SFTP - používá nešifrovaný FTP, tak je tady opět problém s odposlechem komunikace na portu 21 a má na průšvih zaděláno, protože se hacker dostane přímo do souborových systémů, kde je uloženo v konfiguráku otevřeně heslo a uživatelské jméno do databáze a to je jako když doma zloději předem odemknete, rozsvítíte a všechny cennosti mu nachystáte v předsíni zabalené tak, aby se nemusel zouvat a mohl si je rovnou odnést. Joomla ke svému životu, kromě prvotní instalace a nahrávání velkých souborů, které nepustí PHP, FTP vůbec nepotřebuje.

A v neposlední řadě - co si pamatuji, tak registrace na webu byla u Josky snad už od prapočátku.

Ale to nechci Josku nijak hanit, jen jsem vypíchnul pár základních pravidel při stavbě webu, kterých by se měl každý, kdo si staví web, držet.

Hezký den.
 

Martens

Strojvedoucí
Asi tak, stojí to jen pár minut a potom si to někam zapsat pro případ návratu. Ostatně to požaduje kdejaký web, kam člověk lze pro informace nebo na nákup. Překážka to není.
To spíš než registrace mi jako uživateli trošku vadí abecední řazení aktivit u jednotlivých tratí nebo nemožnost setřídit je třeba podle data přidání. Ne, že bych si tu aktivitu nenašel, akorát to trvá trochu déle. Ale i tak jsem tam docela častým návštěvníkem.
 

alcapone

Pomocník strojvedoucího
Tak jsem se kouknul a má pravdu Mikulda, je třeba registrace, bylo to opraveno, ale 1058 lidem to nevadilo.
Jedu na Joomlu, ale po posledním útoku na jinou verzi, která by měla být nenapadnutelná, ale co dnes není nenapadnutelné.
 

Martens

Strojvedoucí
Jedu na Joomlu, ale po posledním útoku na jinou verzi, která by měla být nenapadnutelná, ale co dnes není nenapadnutelné.
Josko, celý systém je tak odolný, jako je odolný jeho nejslabší článek - pokud tomu pomůžeš tím, že tam necháš back-doors (i z nevědomosti), tak je napadnutelné i to, co je nenapadnutelné.
 

Zbyněk Šemora

Strojvedoucí
Nechápu, jak kohokoli mohlo napadnout do složky Global cpát modely budov, které tam vůbec nemají co dělat. A ke všemu nejhoršímu to vydá, jako nějaký uniglobal. Namísto toho, aby se v trati opravily sd soubory, kde se paramatr přepíše na nulu, když neexistují noční a zimní objekty. Anebo jedna, když jsou jen zimní. Přitom na tohle bylo upozorňováno už v počátcích MSTS.
 

Francek

Posunovač
Hezký podvečer!
Na stránkách http://www.mojevlacky.cz/ si můžete, kdo bude mít zájem, stáhnout upravenou verzi tratě Plzeňsko (Trať_183).
Je tam opravený automobilový provoz od m61, a Lubo M ještě překonvertoval nějaké modely staveb, za což jim moc děkuji. Na několika místech jsem ještě srovnal "zuby" v terénu, a v Klatovech posouval databázové značky seřaďovacích návěstidel. To je v kostce všechno.
RunActivity 2020-05-08 15-04-19-135.jpgRunActivity 2020-05-08 15-06-02-139.jpgRunActivity 2020-05-11 19-56-15-952.jpgRunActivity 2020-05-08 14-50-52-645.jpgRunActivity 2020-05-08 14-49-42-189.jpgRunActivity 2020-05-08 14-50-58-044.jpg
 
Nahoře