TL; DR:
Falls die Administratorin dieses Forums nicht innerhalb von 48 Stunden eine Timeline mitteilt wann das Sicherheitsproblem behoben ist (aka das Upgrade durchgeführt) oder falls dieser Post wieder zensiert wird werde ich das an das Landesamt für Datenschutz und Informationsfreiheit Nordrhein-Westfalen weitergeben (siehe Spoiler).
Vor etwas mehr als einer Woche habe ich hier einen Post geschrieben in dem ich mehrere Sicherheitsprobleme das Forum betreffend angesprochen habe.
Dieser Post wurde innerhalb kürzester Zeit versteckt und ich wurde von @MonsterAsyl angeschrieben, dass man den Post versteckt hätte "um andere Nutzer nicht zu beunruhigen".
Das sicherheitstechnisch mit Abstand größte Problem ist, dass die genutzte Forumsversion 4.1.x bereits seit mehr als 1,5 Jahren end-of-life (EOL) ist.
Das bedeutet der Support ist eingestellt, es werden keine Sicherheitsupdates mehr angeboten und "Hacker" haben leichtes Spiel.
Es ist absolut unverantwortlich ein öffentliches Forum mit EOL Software zu betreiben und das setzt eure Nutzer einer unkalkulierbaren und völlig unnötigen Gefahr aus!
Auf meine erneute Nachfrage über email für wann das Upgrade geplant ist wurde mir kein Zeitraum genannt und es wurde klar gemacht, dass man mit mir darüber nicht mehr reden möchte und dass ich das Forum doch verlassen soll wenn mir das nicht passt.
Ein Sicherheitsproblem welches seit 1,5 Jahren besteht und sogar 1 Jahr vorher bereits angekündigt wurde sollte man Ernst nehmen und nicht zensieren um es unter den Tisch zu kehren.
@MonsterAsyl
Da du mit mir ja privat nicht mehr "diskutieren" willst muss ich dir wohl öffentlich antworten:
Es gibt im Internet ein allgemein anerkanntes Verfahren wie man ein sicherheitskritisches Problem meldet und auch wie man als Administrator damit umgeht und ihr habt auf ganzer Linie versagt.
Inzwischen wäre ich nicht einmal mehr überrascht wenn ihr in der Vergangenheit sogar schon gehackt wurdet und das damals auch nur vertuscht hättet.
Die einzig ansatzweise positive Tatsache war, dass ihr schnell ein Lebenszeichen auf meinen Post gegeben habt.
Nein, nicht ich setze euch unter Druck.
Es war seit dem 13.01.2019 klar wann BurningBoard 4.1.x EOL erreicht und das wurde den betroffenen Administratoren vom Hersteller wahrscheinlich sogar über einen langen Zeitraum immer wieder direkt mitgeteilt.
Ihr hattet 2,5 Jahren Zeit für das Upgrade also geht es offenbar nur mit Druck.
Sobald Software EOL ist, ist sie nicht mehr sicher und ihr als Administratoren habt eine Verantwortung euren Nutzern gegenüber.
Diese Verantwortung ist sogar gesetzlich festgeschrieben.
Da das Upgrade ja angeblich schon geplant ist sollte es ja kein Problem sein hier euren Nutzern jetzt den Zeitrahmen zu nennen?
(Die Aussage "Das Upgrade kommt, wir sagen euch aber nicht wann ..." ist unzureichend.)
Konversation mit dem Landesamt für Datenschutz und Informationsfreiheit Nordrhein-Westfalen:
Spoiler anzeigen
Frage:
[snip]
ist es möglich eine Beschwerde einzureichen wenn ein Forum eine Softwareversion nutzt, die seit mehreren Jahren vom Hersteller nicht mehr unterstützt wird oder muss zuerst eine Datenschutzpanne auftreten?
[snip]
Antwort:
[snip]
Gerne können Sie bei uns Beschwerde einreichen, falls der Betreiber des Forums in NRW ansässig ist.
Für die Bearbeitung Ihrer Beschwerde benötigen wir eine kurze Schilderung des Sachverhalts, sowie die Angabe des Beschwerdegegners gerne per E-Mail, Fax oder auf dem Postweg.
Sie können aber auch gerne unser Beschwerdeformular verwenden, welches Sie auf unserer Website unter ldi.nrw.de/mainmenu_Aktuelles/…e/Beschwerdeformular.html finden.
[snip]
Falls die Administratorin dieses Forums nicht innerhalb von 48 Stunden eine Timeline mitteilt wann das Sicherheitsproblem behoben ist (aka das Upgrade durchgeführt) oder falls dieser Post wieder zensiert wird werde ich das an das Landesamt für Datenschutz und Informationsfreiheit Nordrhein-Westfalen weitergeben (siehe Spoiler).
Vor etwas mehr als einer Woche habe ich hier einen Post geschrieben in dem ich mehrere Sicherheitsprobleme das Forum betreffend angesprochen habe.
Dieser Post wurde innerhalb kürzester Zeit versteckt und ich wurde von @MonsterAsyl angeschrieben, dass man den Post versteckt hätte "um andere Nutzer nicht zu beunruhigen".
Das sicherheitstechnisch mit Abstand größte Problem ist, dass die genutzte Forumsversion 4.1.x bereits seit mehr als 1,5 Jahren end-of-life (EOL) ist.
Das bedeutet der Support ist eingestellt, es werden keine Sicherheitsupdates mehr angeboten und "Hacker" haben leichtes Spiel.
Es ist absolut unverantwortlich ein öffentliches Forum mit EOL Software zu betreiben und das setzt eure Nutzer einer unkalkulierbaren und völlig unnötigen Gefahr aus!
Auf meine erneute Nachfrage über email für wann das Upgrade geplant ist wurde mir kein Zeitraum genannt und es wurde klar gemacht, dass man mit mir darüber nicht mehr reden möchte und dass ich das Forum doch verlassen soll wenn mir das nicht passt.
Ein Sicherheitsproblem welches seit 1,5 Jahren besteht und sogar 1 Jahr vorher bereits angekündigt wurde sollte man Ernst nehmen und nicht zensieren um es unter den Tisch zu kehren.
@MonsterAsyl
Da du mit mir ja privat nicht mehr "diskutieren" willst muss ich dir wohl öffentlich antworten:
Es gibt im Internet ein allgemein anerkanntes Verfahren wie man ein sicherheitskritisches Problem meldet und auch wie man als Administrator damit umgeht und ihr habt auf ganzer Linie versagt.
Inzwischen wäre ich nicht einmal mehr überrascht wenn ihr in der Vergangenheit sogar schon gehackt wurdet und das damals auch nur vertuscht hättet.
Die einzig ansatzweise positive Tatsache war, dass ihr schnell ein Lebenszeichen auf meinen Post gegeben habt.
Nein, nicht ich setze euch unter Druck.
Es war seit dem 13.01.2019 klar wann BurningBoard 4.1.x EOL erreicht und das wurde den betroffenen Administratoren vom Hersteller wahrscheinlich sogar über einen langen Zeitraum immer wieder direkt mitgeteilt.
Ihr hattet 2,5 Jahren Zeit für das Upgrade also geht es offenbar nur mit Druck.
Sobald Software EOL ist, ist sie nicht mehr sicher und ihr als Administratoren habt eine Verantwortung euren Nutzern gegenüber.
Diese Verantwortung ist sogar gesetzlich festgeschrieben.
Da das Upgrade ja angeblich schon geplant ist sollte es ja kein Problem sein hier euren Nutzern jetzt den Zeitrahmen zu nennen?
(Die Aussage "Das Upgrade kommt, wir sagen euch aber nicht wann ..." ist unzureichend.)
Konversation mit dem Landesamt für Datenschutz und Informationsfreiheit Nordrhein-Westfalen:
Frage:
[snip]
ist es möglich eine Beschwerde einzureichen wenn ein Forum eine Softwareversion nutzt, die seit mehreren Jahren vom Hersteller nicht mehr unterstützt wird oder muss zuerst eine Datenschutzpanne auftreten?
[snip]
Antwort:
[snip]
Gerne können Sie bei uns Beschwerde einreichen, falls der Betreiber des Forums in NRW ansässig ist.
Für die Bearbeitung Ihrer Beschwerde benötigen wir eine kurze Schilderung des Sachverhalts, sowie die Angabe des Beschwerdegegners gerne per E-Mail, Fax oder auf dem Postweg.
Sie können aber auch gerne unser Beschwerdeformular verwenden, welches Sie auf unserer Website unter ldi.nrw.de/mainmenu_Aktuelles/…e/Beschwerdeformular.html finden.
[snip]