Flyttet: Niveau for password + admin-link ved 403-fejl

Fora ASTRO-FORUM FORUMNYT, IDEER OG FORSLAG Flyttet: Niveau for password + admin-link ved 403-fejl

  • Dette emne har 1 svar og 3 stemmer, og blev senest opdateret for 4 år, 8 måneder siden af biberadm. This post has been viewed 611 times
Viser 5 indlæg - 1 til 5 (af 5 i alt)
  • Forfatter
    Indlæg
  • #315417

    henrik.schneider
    Deltager
    • Nova

    Hej Torben

    Lidt til din liste:

    – Jeg får fortsat fejl 403 når jeg forsøger at logge på via min firma pc, måske fordi min IP adresse da er finsk, det ville være trist om man ikke kunne bruge forum fordi man ikke er i norge/sverige/danmark. (jeg ved ikke om det er årsagen)

    – Krav til password er ikke bare overkill, men vildt overkill.

     

    #315433

    Torben Taustrup
    Admin
    • Neutron star

    Hej Henrik

    Det er da træls, at du ikke kan logge ind fra en finsk lokation. Jeg vil sende problemet videre til vores specialist.

    Kan du uddybe, hvad du mener med krav til password?

    mvh
    Torben

    TOC Observatory - "http://tocobs.org -14.5″ – f:4,2 Newt - Atik383 - ZWO2600-mono – SXV H9 - QHY8L-color - SkyWatcher 80 mm ED refraktor - 60 mm F:6 apocromat - TAL Apolar 125 f : 7,5.

    #315435

    henrik.schneider
    Deltager
    • Nova

    Så er jeg igennem via firma pc også, så den forbandelse er nu ophævet – takker. Det er så det fejl 403 betyder 🙂

    Password kravet har jo været kommenteret tidligere på dette forum, men det jeg mener er at det virker vildt overkill at havde et password krav som overskrider selv kravet til selv min “tast-selv” service hos skattevæsenet.

    Man bør gøre sig klart hvilket sikkerheds nivue man ønsker på et site / forum vore dette, tag evt. at læse dette dokument: https://fe-ddis.dk/cfcs/CFCSDocuments/Passwordvejledning_22092016.pdf som er et dokument skrevet af “Center for cybersikkerhed” og har titlen: “Passwordvejledning”

    Deri beskriver de bla. hvorlang tid det vil tage at “knække” et password i forskellige situationer:

    Og skal man nu begynde at vurderer hvem eller hvad der kunne tænke sig at “stjæle sig adgang” til vores forum, samtidig med den før omtalte “blacklist” ifbm. 10 mistænkelige hændelser, som jo kunne være 10 fejlslående login. Så ville jeg mene at 7tegn er mere end rigeligt for at beskytte os mod ubudne gæster.

    10tegn som krav, og så en stor desktop pc, 52000år om at hacke passwordet, forudsat pc’en ikke bliver blacklistet først.

    Så ville det vist være nemmere at bryde ind hos mig en mørk nat og tvinge mit password ud af mig (hvis jeg da ellers ville kunne huske det )

    Lad os nu ikke gøre os selv mere interessante end vi er, vores lille hobby kan nok ikke trække interesse fra alle verdens hacker er.

    Fint med en blacklist, MEN på den blackliste side der kommer så vil jeg foreslå der henvises til en admin email, så man faktisk har mulighed for at få kontakt igen.

    ps. der står meget andet spændende i dokumentet.

     

     

     

     

     

    #315439

    biberadm
    Admin
    • Main Sequence

    Hej Henrik:

    Tusind tak for dit konkrete og konstruktive forslag om password-niveauet.

    Når man som astro-forum tidligere har været ramt på sikkerheden, ønsker man jo som admin alt andet end en gentagelse, og derfor har vi nok også pr. refleks penduleret lidt i den modsatte retning. Men det er gjort lidt bevidst, dels for at signalere, at vi tager det alvorligt, dels fordi det er lettere at løsne op, end at hæve niveauet bagefter, fx ved at gennemtvinge at alle skal lægge deres password om endnu engang.

    Jeg gætter på, at det matrix du bringer bygger på et scenarie med mere end de alfanumeriske tegn? Så man kan måske finde et niveau, hvor vi ikke gennemtvinger brug af sære tegn, men til gengæld holder længden lidt længere. Vi må kigge nærmere på det ved næste gennemgang.

    Ofte giver man ikke særlig høflige svar til spambots, og det rammer så også dig, når du får en uhøflig og lidt bred 403-fejl. Det kunne godt være en god idé at give et link til webmaster, når man ender på sådan side. Super idé.

    (Tak for forslagene, som jeg tillader mig at flytte ind i sin eget emne, da det ikke rigtig hører hjemme her. Og da vi så lettere kan finde og viderediskutere det.)

    Dette er min nye signatur. xx

    #315434

    biberadm
    Admin
    • Main Sequence

    Hej Henrik:

    Der er intet, der blacklister en finsk IP-adresse per se. Men du er – lige som det er sket for mig selv for nylig – blevet blacklistet, tror jeg. Der har i hvert fald ligget en enkelt finsk IP-adresse (startende med 193.110.*.*) i vores ban-liste i et stykke tid.

    Det sker meget sjældent, hvis en klient har haft 10 sammenhængende ‘mistænkelige’ forespørgsler. Hvis man oplever at blive blokeret skal man bare sende en mail til Torben, som der står på “Tilmelding”-siden. (Det kan være svært at finde frem til, når man først er banned, men de fleste vil kunne finde frem til siden, via en alternativ adresse, som du også har gjort. Så skal vi bare have opdateret hjælpeteksterne, så de ikke længere fokuserer så meget på flytningen.)

    Vi kan altid diskutere password-niveau. Men da en af hovedankerne på det gamle site var sikkerheden, så er det ikke nærliggende at  slække på sikkerheden fra første færd. Hvad ville du mene var et ønskeligt niveau?

    Giv venligst et praj, om forbandelsen er blevet løftet nu.

    Dette er min nye signatur. xx

Viser 5 indlæg - 1 til 5 (af 5 i alt)
  • Emnet 'Flyttet: Niveau for password + admin-link ved 403-fejl' er lukket for nye svar.