Hoffentlich die letzte Meldung in diesem Zusammenhang: Der native RSS-Feed läuft wieder unter der alten Adresse https://linuxnews.de/feed. Was jetzt noch aussteht, ist das Problem einiger Leser, die über den Tor Browser auf das Blog zugreifen wollen. Das Problem entsteht durch das Sicherheits-Plugin Wordfence, eine Anfrage an die Entwickler läuft. Ich befürchte aber, dass hier nur eine Lockerung der Regeln helfen wird. Inwieweit das die Sicherheit aufweichen würde, muss ich noch ergründen.
*KlatschKlatsch*
und
Daumendrück !
🙂
Da selbst der „Report Problem“-Button im Tor-Browser nicht funktioniert (vermutlich JS) und die dahinter versteckte Seite (Formular) selbst in Firefox nicht funktioniert (vermutlich wieder wegen JS), werden die wohl nicht so viele Meldungen von Betroffenen erhalten – könntest Du dort eventuell erwähnen (falls noch nicht geschehen), da Du ja schon in Kontakt bist … TIA
RSS-Feed funktioniert wieder wie vor dem Umzug. Danke!
Mit dem Unterschied, dass er nicht mehr über Feedburner läuft, sondern nativ über WordPress. den wollte ich schon lange loswerden.
Wieso die Seite nicht gleich ins Zwiebelnetz spiegeln?
Das sollte für Journalismus ohnehin Pflicht sein.
Ich hab da keinerlei Plan von.
Nur mal so eine Idee:
Anstatt wordpress aufzubohren damit die Seite auch für den Tor Browser erreichbar wird, wäre es auch möglich einen onion-service dafür zu betreiben und die nötigen Anpassungen nur hier zu tätigen.
https://2019.www.torproject.org/docs/tor-onion-service
Danke für Idee und Link. Leider fehlt derzeit einfach die Zeit, sich da mal ein paar stunden einzufuchsen. Ich schreib mir das auf alle Fälle mal auf den berühmten (digitalen) Zettel.
Ja, die Anmeldebestätigung ist wieder da.
Hurra hurra sie ist da.
Warum sollte die Seite ins TOR Netzwerk gespiegelt werden, welchen Mehrwert erhoffst du dir dadurch? Die Seite wird demnächst wieder aus dem TOR Netzwerk erreichbar sein, unter der URL linuxnews.de. Einen Hidden Service zu hosten ist mit mehr Aufwand als Nutzen verbunden, zumal sich keiner 3g2upl4pq6kufc4m.onion merken und direkt aufrufen kann.
Vielleicht ist das noch ein offenes ToDo, ich gestehe, nicht alle News in der Tiefe gelesen zu haben.
Was mir jedenfalls noch aufgefallen ist:
Im Desktop-Browser rechts, im mobilen Browser unterhalb der News-Übersicht, wird der „Mitglieder-Block“ so dargestellt:
MITGLIEDER
[ultimatemember form_id=“19624″]
Ich vermute mal, der Teil in eckigen Klammern sollte eigentlich durch das entsprechende Formular ersetzt werden…
Richtig, das ist eher ein Bug im Plugin Ultimate Members. Habe ich gestern bereits gemeldet. Danke fürs Bescheid geben.
Was mich noch interessieren würde wären die weiteren Absicherungen am Server.
Bei meinen Servern habe ich überall eine Reihe an Tools zur Absicherung.
Bei der Firewall aktualisiere ich mir stündlich die Firehol_Level3 Liste und trage den Diff in das IPset ein.
Suricata blockt über die DOS Protection direkt mit den Iptables. Habe dort die open Rules mit automatischen Updates.
Als Webserver nutze ich bevorzugt nginx mit der naxsi WAF im whitelisting Modus. Ansonsten die ModSecurity mit den Core Rules und ZAP Export für das Livepatching.
Dafür habe ich dann in den CMS Systemen kein Plugin mehr zum Schutz aktiv.
Momentan suche ich CMS Systeme die ein komplett statisches Frontend generieren. Das könnte dann auf einem Webserver laufen der gar kein PHP und ähnliches mehr interpretiert. Die Verwaltung soll über eine eigene Domain mit eigenem Webserver erfolgen. Hätte da jemand einen Tipp für mich?
Moin der Serveradmin hier,
Webserver sind in der IT Sicherheit ein Sonderthema eben dadurch bedingt das sie offen im Internet/DMZ stehen. Man bewegt sich auf einem schmalen Pfad zwischen sicher und unbenutzbar oder offener und funktioniert. Letztendlich macht es immer die Mischung der Maßnahmen. Der Grundstein bildet ein Monitoring das bei bestimmten Events alarmiert und auch in zuvor definiertem Umfang selbstständig eingreifen kann.
Je mehr man „raufklatscht“ desto größer wird dann auch die Latenz der eigentlichen Anwendung – absolut nicht zielführend für diese Seite. Der Server auf dem der Blog mitläuft wurde durch technische und organisatorische Maßnahmen gegen Angriffe abgesichert und es besteht kein Grund zur Sorge!
Und sollte doch mal etwas passieren: That’s why we have backups here.
Hi, danke für die Informationen. Da ich Hauptberuflich im IT Operating bin und einige Webserver betreibe freue ich mich immer über Infos und Tipps von anderen.
Könntest du eventuell einen groben überblick vom Monitoring schreiben?
Ist es ein Fail2Ban für die Logs, Traffic alerting und ähnliches oder eine Fullstack Prometheus Lösung?
Danke schon mal!
@Raider700
Lange her, dass ich selbst meine eignen web Seiten geschrieben habe. Ein eigenes CMS ist meist schneller geschrieben als andere CMSse zu durchforsten ob sie die nötigen Funktionen mitbringen die man braucht. Jedenfalls dann wenn man keine klassische Sache betreibt wie das WoldPress macht. Da sind es die Zusatzfunktionen die man selbst nicht so schnell generieren kann, die es schon lohnend machen auf etwas bestehendem aufzusetzen.
Deine Frage war ja wie man eine php Seite statisch ins Netz stellen kann.
Das hatte ich auch einmal angedacht. Im Grunde benötigt man nur so etwas wie einen bot. Der rennt jedem gesetzten Link nach und speichert den html Quellcode ab. Diesen stellt man dann auf den öffentliche erreichbaren Server.
Bestimmt gibt es so etwas schon in Hülle und Fülle. Aber wie gesagt. Damit hab ich mich schon seit einer ganzen Weile nicht mehr beschäftigt.
Aber im Grunde, wenn du deine php Seite auf dem Entwicklerserver laufen hast, nur ein script, dass die Links abläuft und zu jedem Link ein „Foto“ vom dort gefundenem html Code macht.
Hi, danke für die Infos. Sas Umwandeln mit Httrack und Co in reines HTML funktioniert gut. Auch das generieren mit Markup Sprachen und GIT Repository hat etwas.
Nur im Vergleich zu einem CMS braucht es eine gewisse Einarbeitung auch für Moderatoren. Ein System wo einfach Einträge hinzugefügt und bearbeitet werden können aber dann nur aus statischen HTML besteht wäre für viele Zwecke nützlich.
Vereine, kleinere Firmen und so könnten sich auf den Inhalt konzentrieren und brauchen sich um die Sicherheit von der Webseite nicht mehr kümmern.
Hab da an ein System von der Liste gedacht:
https://www.maketecheasier.com/best-static-website-cms/
Mich würden aber Empfehlungen interessieren 😉
Schreibe einen Kommentar