Avatar

Sicherheitsproblem (General)

by hintersatz @, Cologne, Saturday, March 30, 2019, 20:21 (88 days ago)

Hi liebe Fans des MLF,
ein Mitglied meiner Community wirft uns vor, dass wir einige kritische Beiträge quasi heimlich gelöscht hätten. Meine Frage wäre: Kann man das rausbekommen, ob die Behauptung stimmt und wenn ja, wer die Beiträge gelöscht hat ?;-) :lookaround:
LG
Jürgen

--
www.pfeifenorgelforum.net

Avatar

Sherlock Holmes

by Alfie ⌂ @, Vienna, Austria, Sunday, March 31, 2019, 00:29 (88 days ago) @ hintersatz
edited by Alfie, Tuesday, April 02, 2019, 08:16

Hallo Jürgen,

ein Mitglied meiner Community wirft uns vor, dass wir einige kritische Beiträge quasi heimlich gelöscht hätten.

Verschwörungstheoretiker?

Meine Frage wäre: Kann man das rausbekommen, ob die Behauptung stimmt und wenn ja, wer die Beiträge gelöscht hat ?;-) :lookaround:

Einfache Antwort: Mit Forum- und Datenbank-Werzeugen – Nein. Sobald ein Beitrag gelöscht wurde, ist er rückstandslos aus der Datenbank entsorgt. Wenn du dir in phpMyAdmin die Einträge nach dem id sortieren lässt, sieht du nur ein „Loch”, dh du hast nur die Gewissheit, dass dort einmal ein Eintrag existiert hat.

Komplizierte Antwort (mit vielem Wenn & Aber):

  • Wenn dein Mitglied den Thread benennen könnte, wär’s hilfreich.
  • Noch hilfreicher wär’s, wenn du (als admin, nehme ich mal an) oder eventuelle mods im Profil die Option
    E-mail notification: ☑ once a new message has been posted
    (zu Faul nachzusehen wie das exakt auf Deutsch heisst) aktiviert hättet. Falls ja & du/ihr diese Mehls nicht wegschmeisst, dort nachgucken ob es nämlichen Eintrag überhaupt gegeben hat. Falls ja, und dich der dortige Link nur auf die Hauptseite führt, hast du die „smoking gun”.
  • Wenn du keinen Zugriff auf die Server-logs hast, war das das Ende vom Lied.
  • Falls doch, wird’s mühsam.¹ Bei mir sind die Logs des aktuellen Tages einfache Text-Dateien und ältere gz-Archive. Runterladen, auspacken und mit geeignetem Werkzeug² untersuchen. Ich weiss jetzt nicht, wie die Löschaktion in der 2er-Version genau aussieht, aber bei mir (1.8beta) sieht das zB beim Löschen des Posts mit der id xxxxx so aus (relevanter Teil):
    [31/Mar/2019:00:44:23 +0100] "POST /posting.php HTTP/1.1" 302 501 "https://forum.bebac.at/posting.php?action=delete&id=xxxxx&back=xxxxx
    Danach kommt noch der „User-Agent String”. Wenn das deiner ist, warst du selbst der Bösewicht. :-D
    Achtung: Der User-Agent kann gefälscht werden und manche Paranoiker senden gar einen leeren.
  • Wenn du bei der Suche erfolgreich warst, kannst du höflich bei deinen mods nachfragen, welche Brause sie in der Regel verwenden…

--
¹ Per Handarbeit praktisch unmöglich.
² Weichware deines Vertrauens, die in einem Rutsch in vielen Dateien mittels regex den Suchstring identifizieren kann und die gesammelten Ergebnisse netterweise in eine Ergebnis-Datei schreibt. Ich verwende R (overkill), aber etwa Delphi, Java, C (und zur Not Javascript) tun’s auch.

--
Best regards,
Alfie (Helmut Schütz)
BEBA-Forum (v1.8β)

Avatar

mögliches Vertrauensproblem

by Auge ⌂ @, Sunday, March 31, 2019, 11:35 (88 days ago) @ hintersatz

Hallo

Dem von Alfie gesagten kann nur wenig hinzugefügt werden. Die technische Seite und was man im Nachhinein noch tun kann, hat er meiner Meinungnach vollständig beschrieben. Darum nur soviel.

1. Ein Forum ist ein in der Regel privater Raum. Der Forumsbetreiber bzw. seine Vertrauenspersonen, das Forumteam, haben Hausrecht und entscheiden (in der Regel) nicht öffentlich, ob und wenn ja was korrekt und was zu löschen ist. Den Vorwurf "heimlich" Beiträge gelöscht zu haben, würde ich grundsätzlich erst einmal an mir abperlen lassen.
2. Den Mitgliedern des Teams, das man sich als Forumsbetreiber als Unterstützung ausgesucht hat, möchte man vertrauen können. Da die Forensoftware, wie Alfie bereits ausführte, kein Log über Veränderungen des Datenbestands führt, bleibt in diesem Fall die Frage, ob man seinem Team vertrauen kann oder ob hier jemand eine falsche Behauptung in den Raum stellt.
3. Folge Alfies Ratschlägen.
- Prüfe auf Lücken in den IDs der Beiträge, gerade für den fraglichen Zeitraum.
- Schaue in die Logdateien des Webservers.

Löschen des Beitrags in der Beitragsansicht über den Link unterhalb des Beitrags:
https://mylittleforum.net/forum/index.php?mode=posting&delete_posting=xxxx&back=entry

Löschen des Beitrags in der Threadübersicht über die Markierungsfunktion:
https://mylittleforum.net/forum/index.php?mode=posting&mark=xxxx (Markierung)
https://mylittleforum.net/forum/index.php?mode=posting&delete_marked=true (Aufruf des Links "Delete marked postings")
https://mylittleforum.net/forum/index.php (Bestätigungsseite, Formular mit POST-Request (Parameter: mode=posting, delete_marked_submit=OK - Delete (sprachabhängig)))

Löschen des Beitrags in der Threadübersicht über den Löschlink:
https://mylittleforum.net/forum/index.php?mode=posting&delete_posting=xxxx&back=index

xxxx ist die ID des Beitrags.

Du kannst allerdings nur herausfinden, dass und wann ein oder mehrere Beiträge gelöscht wurden und, über den User-Agent-String, bestenfalls, aber nicht sicher, wer sie gelöscht hat. Ob es sich bei diesen Beiträgen um die monierten Beiträge oder um selbstverständlich zu löschenden Spam gehandelt hat, kannst du nicht unterscheiden.

Tschö, Auge

--
Trenne niemals Müll, denn er hat nur eine Silbe!

Avatar

mögliches Vertrauensproblem

by Alfie ⌂ @, Vienna, Austria, Sunday, March 31, 2019, 13:57 (88 days ago) @ Auge

Hallo,

@Auge: Danke für die Lösch-Strings der v2.x.

@Jürgen: Hilft dir zwar in diesem Fall nicht mehr, aber vielleicht in der Zukunft. Ich habe bei mir eine Kategorie „Spam”, die nur den admins/mods zugänglich ist. Dorthin verschiebe ich nämlichen Unrat zur weiteren Verwendung (Daten zum Training eines Bayesianischen Filters und „Beweismittel” falls ich einen Spammer mittels Forum Spam List Checker an einschlägige Blacklists sende). Wenn du in v2.x die entsprechenden Filter aktiviert hast, ist das natürlich nicht notwendig.

Analog dazu könntest du eine Kategorie „Hausregel verletzt” – oder so ähnlich – einrichten und dorthin verschieben. Damit wäre der Post für registrierte Benutzer nicht mehr sichtbar. Nachteile:

  • Falls es schon Antworten auf diesen Post gibt, verschwinden sie ebenfalls (obwohl das bei konventioneller Löschung auch so ist).
  • Wenn du dein Forum so eingerichtet hast, dass admins (und eventuell auch mods) Beiträge ohne Eintrag (wer, wann) bearbeiten können, hast du hinterher keinen „Beleg”.

Du müsstest das deinem Team klar kommunizeren. Wenn sich jemand nicht daran hält, hast du wieder Pech gehabt. Aber wie Auge schon schrieb:

Den Mitgliedern des Teams, das man sich als Forumsbetreiber als Unterstützung ausgesucht hat, möchte man vertrauen können.

--
Best regards,
Alfie (Helmut Schütz)
BEBA-Forum (v1.8β)

RSS Feed of thread
powered by my little forum