Alvorlige sikkerhetsproblemer på terrengsykkel.no?

Da jeg klikket meg inn på forumet så sto det plutselig "Velkommen Reitstoen". Da jeg prøvde å klikke meg inn på et underforum så sto det isteden at jeg ikke var innlogget. Jeg logget inn på nytt og fikk "Velkommen Reitstoen" igjen. Dette var fra pc. Så testet jeg fra telefonen og fikk "Velkommen Jonteboy".

Så jeg lurer jo veldig på hvem som har fått "Velkommen Dan" og eventuelt tilgang til mine PM-er (fryktelig spennende greier) og muligheten til å skrive innlegg i mitt navn.

Ikke at jeg tror noe farlig har skjedd, siden jeg ikke klarte å klikke meg videre inn på disse to brukernes informasjon, men det viser i hvert fall at ikke alt er som det skal, og det er på sin plass å minne alle på to ting:

1. Ikke bruk samme passord flere steder.
2. Hvis det ser ut som at jeg har skrevet noe teit så er det sikkert bare kontoen min som er misbrukt.

Hei, det er ikke noe sikkerhetsproblem (heldigvis), Det er "caching". Vi har oppdatert forumet de siste 10 minuttene, og en kort periode ble profilnavnet lagret feil slik at man fikk andres visningene. Det ble fikset i løpet av et par minutter så det skal ikke være slik nå.

Gi gjerne beskjed om du/dere finner noen andre rariteter. det ser ut til å fungere bra, men vi driver fortløpende testing her.

Beroligende, takker.

Jeg får også "Velkommen Reitstoen", men det er vel like greit


Indeed. Men uansett, *sjekke "Mine Innlegg"* </paranoia>

Det stemmer at om man vil være streng kan man kalle caching-problem for sikkerhetsproblem, men det kommer litt an på hvordan man ser på det. I noen systemer kan rettigheter o.l. være en del av denne cachingen, men det har vi ikke her. Det eneste problemet her var at trådstarter fikk teksten "Velkommen xxx" med et navn som ikke var hans. Han hadde ikke tilgang til noen andres innlegg, meldinger e.l. Dette ser man også enkelt ved at hans post er koblet til hans bruker, og ikke til brukeren som han så øverst i høyre hjørne. Problemet vedvarte ca 10 minutter. Vi har satt opp nye caching-servere for alle løsningen til Fri Flyt og mange av løsningene har blitt drastisk mye raskere.

Vi håper dere setter pris på forbedringen, selv om det skapte litt forvirring i noen minutter for de mest aktive morgenfuglene våre.

Hilsen "han som prøver å få dette til å virke"

Stakkars Kenneth fikk erfare hvor galt sånne ting kan skje under Altinn-problemene. Det som må ha skjedd der var at brukerinformasjon ble cachet på en server, og så ble denne informasjonen brukt til å koble seg videre til en ny server og hente ut informasjon basert på angitt bruker. I slike tilfeller er såklart caching en stort potensielt sikkerhetshull. Så store er ikke Fri Flyt, og vi har ikke flere lag med servere på denne måten og problemstillingen er ikke aktuell for oss. Selv om terrengsykling er populært i Norge trenger man verken Big Data eller BigIP for å håndtere brukermassene




De største forbedringene kommer på noen av de sitene som har vært tregere (f.eks. friflyt.no), men noe forbedring bør vi ha også her.

Kommer det noe info om hva som er nytt?

Skal bare for ordens skyld nevne at jeg ikke skrev innlegget før jeg var tilbake på min egen bruker og så at det sto "Velkommen Dan".

Veldig lite spennende fra et ikke-teknisk perspektiv. Vi har installert Varnish, noe som gjør at sidene blir raskere. De tekniske kan se litt mer på https://www.varnish-cache.org/

Varnish er et godt produkt ledet av folk som er oppegående, bra valg
Per Buer har rimelig grei fokus på sikkerhet så vi brukere behøver ikke være så voldsomt engstelige.