Slektsforskerbasen, viktig om merkelige "slektsforskere

[dn18596]

Hei,
Tittet inn på slektsforskerbasens siste 50 oppdateringer og oppdaget flere merkelige nye "slektsforskere" fra Thailand, USA etc. Alle med anonyme navn og lenker til hjemmeside. Ett råd, klikk ikke inn på disse sidene, det er å utfordre skjebnen med hensyn til virus og spam.

Fortsatt hyggelig 17 mai!
Niels

[dn04977]

Heisann

Eg er ikkje så redde for å trykke på sånne, har oppdaterte pc'er og er ikkje noko plaga med noko som helst

Sjekka littegrande på ein trege linje frå Thailand, ser ut for meg at alle desse "nye" slekts Ufrender" linker opp mot den samme russiske siden.

Kanskje ein eller annan søkeroboten som har fått tilgang til eit passord

Med 17 mai helsing frå Thailand

Ingmar

[Per-Olav Broback Rasch]

Det er uheldig at slike useriøse og "umenneskelige" brukerne har mulighet til å være aktiv på slektsforskerbasen. Ikke sikkert alle er like oppdatert som deg heller Ingmar Best å holde seg unna, så er man iallefall helt trygg.

[dn18596]

Det er to problem med dette, det første er faren for å få virus om man går inn på en side uten att brannvegg og virusprogram er oppdatert. Virusprogram har sikkert de fleste og det oppdateres regelmessig. Derimot tror jeg de fleste ikke vet hvordan en brannvegg skall settes opp for å unnvike att noen utenfra kan få informasjon eller ta kontroll over din maskin.

Det største problemet med disse "brukerne" er att de får tilgang til alle e-post adresser i slektforskerbasen. Om skade er skjedd så kan vi er med der regne med mer spam som følge av den dårlige sikkerhet som DIS har på denne tjenesten.

Jeg ser att nå er de useriøse slettet, men igår var det flere som var ett par tre uker gamle. Er sikkerheten også oppdatert slik att man ikke kan få brukernavn og løsenord automatisk? Eller kommer man å la de komme inn for så å slette når man oppdager dem?

Mvh

Niels

[dn04942]

Her er noen tilbakemeldinger knyttet til forrige innlegg:

1) Det eneste en slik spam-registrering gir adgang til (som man ikke har uten registreringen altså) utover å bli listet på "50 siste brukeroppdateringer" er å registrere hvilke kommuner/gårder man er interessert i som Slektsforsker.

2) Det er ingen hemmelighet at epostadresse er fritt tilgjengelig i Slektsforskerbasen, det kan enhver tilfeldig besøkende se. Det krever ikke registrering. Adressene er kodet for å redusere risikoen for at de plukkes opp av spam-roboter. Hvis man ønsker 100% sikkerhet må man slette sin oppføring i Slektsforskerbasen (her er det potensiale for forbedring, men det ligger fram i tid)

3) Adressen som bør brukes for å varsle eller ta opp andre spørsmål vedrørende Slektsforskerbasen er [email protected] , oppgitt på http://www.disnorge.no/sfbasen/hjelp.php (brukes hyppig, men ikke akkurat i denne saken)

[dn04977]

Vi hadde well nokre lignende innlegg for eit par tre år siden, det foregjekk over ein korte tid og så forsvant det igjen.

Vi får håpe at også dette er eit " engangs problem".

Mvh
Ingmar

[dn04977]

Best å holde seg unna, så er man iallefall helt trygg.

Joda Per-Olav, er enig med deg der, ikkje sikkert at alle er like godt beskytta så då er det like godt å holde seg unna

Mvh
Ingmar

[dn18596]

Torill, Jeg brukte den åpne kanalen for å varsle brukere. Som alle vet, så kan besøk på "farlige" sider skape problem. Når disse lenkene lå der og tydelig hadde ligget en tid, så var det jeg følte var det beste. Att det viser att DIS ikke har fullgod sikkerhet, får vi som medlemmer ta oss ad notam og velge hvor vi vill medvirke.

[6820]

Bra at Niels varslet - og på sin plass at vi som medlemmer får vite om det. Dette kan (i værste fall) være mer en noe bagatellmessig. Kan ikke sette oss tilbake å mene jaja - det er den enkeltes plikt å sikre maskinen.

Som DIS-medlemssider er dette sider der man har noe mer tillit til linker man klikker på.

[dn04942]

Oppdager man slike innlegg her eller der er det viktig at man sender en melding til noen som kan gjøre noe med saken. Vi rekker dessverre ikke følge opp over alt som man kunne ønske..

Skulle lignende ting skj, send en epost til ansvarlig. Det er også et viktig varsel.

[dn18596]

Torill,

din beskjed om att man ikke rekker å følge opp alt som man kan ønske er ett viktig argument for å opplyse medlemmene om sikkerhetsbrister når slike oppdages. Ikke bare sende det til noen som kan ta det så fort som mulig. Hadde det vært en organisasjon med betalte ansvarlige hadde det vært en annen sak, nå er dette en medlemsorganisasjon der en kan ønske seg åpenhet og selvfølgelig, akseptens att de som arbeider ideelt ikke rekker alt.

De som legger ned energi for å komme inn på hjemmesider med medlemsregister og annet gjør ikke det for annet ennå tjene penger, på vår bekostning. La oss forsøke å hindre dem i dette.

[dn04942]

Dette er ihvertfall oppgaver som vil bli prioritert dersom de blir varslet. Derfor gjentar jeg at det er adskillig viktigere å varsle så fort man ser slikt til dem som kan gjøre noe med det, og oppfordrer sterkt til at det gjøres i framtiden.

Jeg vil også reservere meg mot å kalle dette et sikkerhetsproblem - man kan jo gå inn på hvilkensomhelst webtjeneste på nettet og foreta falske registreringer som dette. Men vi vil vurdere om det skal foretas justeringer som begrenser slik aktivitet.

[dn18596]

Jeg regner med att informasjon om sikkerhets problem som meldes her under "Generelt" leses av flere personer som kan ha nytte av det, både brukere og de som er valgt av medlemmene til å se til att slike problem ikke oppstår. Jeg får en ubehagelig følelse av att problem ikke skall vises for alle? Jeg håper jeg har feil.

Att det er ett sikkerhetsproblem kan vi ha forskjellig mening om. Men alle nyere websider krever att man må skrive inn bokstaver som vises på bilde for å registrere seg, en del har fortsatt det gamle systemet med verifisering via e-post, men det regnes ikke som fullgodt lengre. Andre har ikke fullgod sikring og blir utsatt for denne type angrep vi ser her.

[dn18596]

Jeg har ikke brukt denne tjenesten så mye, men den er sikkert ett bra komplement til DISTreff for å finne andre som forsker på samme steder som en selv. Men da må sikkerheten oppgraderes!

Jeg trodde man måtte være innlogget i det minste som gjest for å få informasjon om e-post adresse, men det viser seg være feil. Hvilken web-robot som helst kan gå inn å lese av adressene som er i format "mailto:[email protected]". Drygt 14 000 adresser kostet for noen år siden ca 15$. Ikke så mye, men om de selges 1 000 ganger så blir det økonomi i å ta med disse også.

Jeg skriver dette her på Slektsforum under Generelt slik att alle medlemmer som har interesse blir informert og kan ta stilling til om de vil bruke tjenesten slik den fungerer idag. Jeg er ikke ute etter å skade DIS på noen måte, men vil gjerne vite om ledelsen har diskutert datasikkerhet med eksperter som vet hvordan det fungerer idag.

Mvh

niels

[Knut Bryn]

Niels!

Epost-adressene som du kan finne i Slektsforskerbasen - og andre steder på nettsidene til DIS, er kryptert slik at de vanlige robotene ikke skal finne dem. Du ser riktignok epost-adressen på skjermen, men hvis du ser på kildekoden til en side med en epost-adresse, vil du se at den ikke står i klartekst.

[dn18596]

Knut,

Det du sier er kanskje riktig, att adressene er krypterte i databasen. Men det hjelper ikke mye når du i applikasjonen får fram e-postadressen i klartekst, uten kryptering, uten innlogging. Jeg kan med noen mus-klikk på noen minutter hente 20-30 adresser. Hvor lang tid tror du en robot som gjør det samme tar for å få samtlige? Dagens spam samlere har verktøy som er konstruert for dette. DIS har en åpen side der alle ca 14 000 e-postadressene kan vises i klartekst.

For å illustrere dette tar jeg med ett lite utklipp fra min web-leser så som det vises når musen peker på Knut Bryn. det er en skjermdump med dårlig oppløsning men du kjenner sikkert igjen din gmail adresse.

Mvh

Niels

[Knut Bryn]

Det Niels sier, er sikkert tenkelig, men så vidt jeg har forstått, er det ikke slik robotprogrammene fungerer pr i dag. Hvis det dukker opp en ny robot som leser skjermbilder, så ringer det vel noen alarmklokker et sted der ute i verden.

[dn18596]

Nå er det ikke skjermbildet som roboten leser, du misforstod meg. Det jeg viser er att din e-post adresse er åpen for web-leseren. om jeg klikker på lenken med ditt navn, åpnes mitt e-post program med din adresse i til-feltet. Det er enkelt for en robot å gjøre det samme. Ett av de kriteriene de søker etter er "mailto:" og skjermbildet viser att den ligger i applikasjonen og kan enkelt leses av!

[dn06606]

Det er flott med tilbakemeldinger rundt tjenestene våre, så som Slektsforskerbasen!

Denne tjenesten overtok foreningen i sin tid fra en privatperson (Torleif Haugødegård). DIS-Norge moderniserte dengang tjenesten og gjorde den om til en interaktiv, selvbetjent tjeneste. Fordi tjenesten opprinnelig lå utenfor foreningen har den alltid hatt en litt spesiell plassering blant tjenestene våre, blant annet har den et helt eget påloggingssystem. Nå som gjesteregisteringsmulighet er etablert og nytt medlemssystem er under etablering vil det på sikt også bli aktuelt å innlemme Slektsforskerbasen i samme system som DIS-Norges øvrige tjenester, slik at behovet for flere brukernavn/passord elimineres.

Slektsforskerbasen var fra start ment å være en kontaktskapende tjeneste, og kontaktinformasjon (inklusiv e-postadresser) ble gjort enkelt tilgjengelig. Pålogging kreves bare for å endre sin egen oppføring.

Da problemet med spam via e-post etterhvert dukket opp valgte vi (som mange andre) å vanskeliggjøre robot-innsanking av adressene med kryptering. Adressene dekrypteres enkelt av en nettleser, og "vanlige" brukere vil ikke engang merke at adressene er kryptert. Dette er en kjent teknikk som stopper mange av spamrobotene, men den er på ingen måte helt sikker. Pr i dag er den eneste måten å være helt sikker på å slette sin oppføring.

I forbindelse med omleggingen nevnt over (påloggingssystem) vil vi på ny se på denne utfordringen, men det er for tidlig å si nøyaktig hva slags justeringer som vil bli gjort.

Det samme gjelder spam-registreringene i tjenesten. Vi innfører muligens en form for kontroll som reduserer sjansen for at roboter kan registrere seg (slik vi allerede har flere andre steder), men dette har uansett vært et lite problem så langt, og har liten praktisk konsekvens utover at vi selvsagt må bruke tid på å fjerne de uønskede registreringene.

Eventuelle hendelser kan gjerne rapporteres til [email protected] , det gir oss best mulighet til å respondere raskt - og er ikke til hinder for at samme sak også kan diskuteres i Slektsforum

[dn18596]

Jan,

Takk for forklaringen, jeg forstår det fortsatt er mange løse tråder i det nye systemet og ønsker lykke til med det videre arbeidet.

Jeg har selv slettet mine poster, en del med en gammel uaktuell e-post adresse som ingen ville ha nytte av, men også min egen som jeg burde ha vært mer forsiktig med. Det er litt som å stenge stalldøra etter att hesten har rømt, men vad gjør man.

Till man har fått en ny sikker løsning kanskje informasjon om att man bør bruke en e-postadresse som kan tas bort om det blir for mye spam skulle være på sin plass?

Mvh

Niels

[6820]

Det gjøres en god jobb i DIS og Jan Eri er veldig rask til å ordne og hjelpe når han får beskjed, veldig rask, kompliment til deg Jan, og også Torill er veldig rask til å svare og hjelpe : ) Det viser jo diskusjonen her også.

Når man sier at det er rette vedkommende som må få beskjed, så kan det nesten oppfattes som en avvisning i forhold til å ta det opp her. Det er viktig at vi får delt slik informasjon, at den ikke føyses bort - og man føler seg som plagsom som tar opp.

Slektsforskerdatabasen er en ressurs for DIS, den er i skikkelig DIS-ånd - at vi hjelper hverandre. Mange er vi som har fått hjelp en sen kveldstime ved å ta kontakt med noen i S.basen. Og denne har slått opp i en bok eller delt info når vi har stått helt fast. Jeg håper at vi ikke skal være så defensive at rådet er å slette seg fra Slektsforskerdatabasen. Tvert i mot, vi må løse utfordringen med den som er oppdaget og minne medlemmer på å oppdatere sine registreringer. Her i DIS må vi samle på, pleie og ta vare på ressursen : )

Niels, du sier dette med "å plage tillitsvalgte", de er frivillige. Vi som har tatt på oss verv er på samme måte som 'betalte' forpliktet til å skjøtte oppgaven vi har fått. Og det tror jeg vi gjør.

[dn18596]

Marianne,

Jeg har ikke skrevet noe med å "plage noen" Men om vi hadde fått beskjed fra Jan om hvor dårlig sikret denne tjenesten er med en gang, hadde ikke Torill behøvd forsvare /anvise noe.

Det er selvfølgelig mulig å bruke Slektsforskerbasen, men da bør man ha en e-postadresse som man uten problem kan slette. For eksempel en gmail eller lignende. Når det kommer for mye spam på den, er det bare å bytte. Jeg skulle ønske det var en verden uten spam, men dessverre dit kommer vi nok ikke, så det gjeller å anpasse seg etter dagens situasjon.

Som sluttklem på denne diskusjonen fra min side er ett ønske om att DIS informerer om de forskjellige tjenester som finnes og som jeg gjerne vill benytte på en bra måte. Gi råd til brukere om hva som kan skje om man registrerer seg med en e-post-adresse på en "åpen" side, att kilder i DISTreff ikke angir annet en kilde, ikke noe kvalifisering om det er første-andre eller bare plukket fra en bygdebok. Det er flere saker som kan forbedres, jeg kommer tilbake med det senere.

Mvh

Niels

[Anne Lise Hovdal]

Har vært borte fra pc en stund, og ligger mye etter i lesingen. Syns det er fint at du Nils sier ifra om slike sider hvor det er fare for spam og virus. De fleste har jo oppdaterte antivirusprogram, men man kan aldri bli sikker nok. Når det gjelder spam vil jeg anbefale spamfilter. Selv har jeg spamfilter fra Telenor for 29 kroner pr. måned, og har hatt det i noen år nå. Telenor tar altså unna spammen før den når min pc, og det er minimalt av spam som slipper igjennom. Jeg hadde ca 150 spammail pr. dag, og det ble redusert til kun noen få spammail enkelte dager. Der har det holdt seg siden jeg begynte med spamfilter fra Telenor for et par år siden. Så hvis det er noen som er plaget med spam kan jeg anbefale Telenors spamfilter. Syns det er verdt å betale 29 kroner pr. måned. Ja man kan sette opp spamfilter selv, men da får man jo også all spam inn på pc-en først med de farer for virus som dette medfører.

[dn16031]

Ang mailadresser som ligger "åpent" på DIS-Norges websider:

Jeg har ligget inne med info på Slektsforskerbasen i mange år, jeg har også mailadresse liggende andre steder på DIS-Norges nettsider. Tilsammen får jeg 5-10 spam-mail pr uke på mine 4 mailadresser og det uten spamfilter. Det tror jeg er et bevis på at DIS-Norge har god nok sikkerhet på sine sider....

[dn01013]

Ang mailadresser som ligger "åpent" på DIS-Norges websider:

Jeg har ligget inne med info på Slektsforskerbasen i mange år, jeg har også mailadresse liggende andre steder på DIS-Norges nettsider. Tilsammen får jeg 5-10 spam-mail pr uke på mine 4 mailadresser og det uten spamfilter. Det tror jeg er et bevis på at DIS-Norge har god nok sikkerhet på sine sider....

Jeg har et par mailadresser som kun brukes til noe begrenset mailutveksling. De finnes ikke på web.

De flestse av disse blir spammet og det oppstår i etterkant av å sende epost direkte til DIS-Norge medlemmer. Så enten er det snakk om at mottakers maskin er overtatt av zoombies eller så er det snakk om bevisst handling fra en eller annen.

Konklusjon er at om man skal unngå å få spam må man avvikle sitt internettabonnement helt og holdent og kommunisere med andre via brev (som også kan tenkes å resultere i reklamebrosjyrer i postkassa, altså bør man også droppe det for å være bombesikker)

Eller leve med spammen

[dn18596]

Att vi må leve med spam er vi dessverre alle klar over. Men alle kan forsøke å gjøre det vanskelig for de som samler adresser. Jeg har en adresse som de fortsatt ikke har fått tak i, men den benyttes bare mellom en liten gruppe personer med informasjon som ikke går videre. Den adressen jeg registrerte på DIS og noen få andre organisasjoners sider trodde jeg i det lengste skulle være sikret. Men så er det ikke bitt. Spam filter tar en del, men jeg har satt det så lavt att jeg får en handfull i uka.

Jag vet ikke om det er på DIS sider man har fått min adresse, men det er de sidene jeg har sett som har dårligst sikkerhet. Med tanke på organisasjonens navn og målsetting noe underlig.

Men det kan selvfølgelig også være så som for Alf att det er noen som har plukket opp e-post. I så fall er det trolig en maskin som er tømt på adresselister etter att den er blitt kapret. Men ingen maskin blir kapret om man har god sikkerhet. Dårlig sikkerhet og ett klikk på en lenk som de som lå på Slektforskerbasen 17 mai er det som skall til for alt skall rase sammen.

Men er man klar over problemet så kan man ta stilling til det

[dn01013]

Jag vet ikke om det er på DIS sider man har fått min adresse, men det er de sidene jeg har sett som har dårligst sikkerhet. Med tanke på organisasjonens navn og målsetting noe underlig.

hvis det er på DIS sine sider det skulle ha skjedd, må det nesten være en som sitter og klikker på en og en adresse og sender så til vedkommende.

Adressen pakkes kun ut ved klikk på lenken.

Så sannsynligheten er nok størst for at du har sendt brev til noen venner med infisert maskin, f.eks. fordi de har et for enkelt passord på maskinen eller ikke separat administratorkonto i det hele tatt så operativsystemet lett blir hakket.

(Bruker man egen administrasjonskonto som kun brukes til å installere program og annet admin-arbeide, er sannsynligheten lav for infeksjon og overtakelse av bot'er)

[dn18596]

Alf,
Jeg trodde du visste att alt som du kan gjøre ved å sitte å klikke for en hjemmeside, kan også en robot gjøre. Forskjellen er att en robot rekker mer enn du og jeg kan gjøre så lenge vi lever For å gjøre det vanskeligere å registrere seg som medlem på debattsider har de fleste moderne hjemmesider tatt i bruk bilde på bokstaver som man må skrive inn eller verifikasjon med e-post.

Roboter er programmert for å få fram e-postadresser som kan selges som "garantert ekte". For meldinger til andre advares det derfor i all moderne litteratur mot bruk av lenken "mailto". Alle moderne hjemmesideprogram løser dette, men som Jan har forklart er slektforskerbasen en gammel tjeneste som DIS har fått. Jeg tror ikke det er så mye mer å si om dette, de brukere som er interessert kan lese Jans forklaring og ta stilling til om man vil ha sin e-post adresse tilgjengelig for alle.

Når det gjeller spørsmålet om hvordan man får en bra sikkerhet på sin maskin ligger det utenfor det som kan diskuteres her på Slektsforum, men grunnen er en bra brannvegg som er profesjonelt installert og satt opp.

[dn01013]

Roboter er programmert for å få fram e-postadresser som kan selges som "garantert ekte". For meldinger til andre advares det derfor i all moderne litteratur mot bruk av lenken "mailto". Alle moderne hjemmesideprogram løser dette, men som Jan har forklart er slektforskerbasen en gammel tjeneste som DIS har fått. Jeg tror ikke det er så mye mer å si om dette, de brukere som er interessert kan lese Jans forklaring og ta stilling til om man vil ha sin e-post adresse tilgjengelig for alle.

En forutsetning er at mailto finnes i lenken som roboten kan lete opp. Nå kjenner jeg ikke detaljene på Slektsforum, men teknikken brukt ellers består i et javascript som konstruerer adressen først når lenken er klikket på (og viser ledeteksten blabla at you name it where på siden. I webteksten ligger tekst før og etter @ fordelt på to steder.
(En annen ting er at du de fleste steder må være innlogget for å se adresser i det hele tatt, så hvis disse er misbrukt er det i såfall av et medlem)

Dvs. enda et argument for at også Slektsforskerbasen bør være en påloggingstjeneste.
F.eks. med gj-brukernavn eller et nordisk dis-brukernavn (dn, dd eller dis hvor dn er et DIS-Norge brukernavn, dd er et DIS-Danmark brukernavn og dis er et Föreningen DIS-brukernavn og gj-brukernavn er en gjestekonti)