Wersja 5.14 - proszę przeczytaj...

16.07.2024

Wyjaśniałem już dlaczego MegaBIP trudniej zabezpieczyć niż rozwiązania, które są oferowane dla konkretnego serwera usługodawcy. Oczywiście nie jest to wymówka, a jedynie wyjaśnienie dlaczego teraz będzie… mniej wygodnie.

Od wersji 5.14 zostały wprowadzone nowe cechy systemu bezpieczeństwa MegaBIP. W skrócie teraz automatyczne wylogowanie z panelu zostanie spowodowane między innymi przez zamknięcie przeglądarki.

Od początku BIP Ustawodawca wymagał, żeby panel był dostępny przez SSL. Oczywiście MegaBIP od samego początku istnienia oferował taką opcję. Można było korzystać z MegaBIP po SSL albo bez SSL. Od teraz warstwa bezpieczna jest obligatoryjna. Program wymusi ustawienie SSL. Przypominam, że zgodnie z prawem unijnym usługodawca (hostingu) ma obowiązek bezpłatnie udostępnić certyfikat SSL w najprostszej wersji (let’s encrypt).

CERT znów zawiadomił nas (anonimowo, jak zwykle), że dostał kolejny donos na temat "podatności". Słowo "podatność" ujmuję w duży cudzysłów…

Otóż... jeżeli administrator zaloguje się do panelu i jednocześnie (sic!) wejdzie na inną stronę, którą ktoś złośliwie przygotuje specjalnie po to, żeby zaatakować stronę BIP i jeżeli BIP nie zostanie zabezpieczony przez zmianę nazwy katalogu z edytorem, a w tym samym czasie ktoś wyśle formularz z tej spreparowanej strony łącząc się z tą niezabezpieczoną stroną BIP to ten ktoś będzie mógł założyć konto redaktora (nie administratora jak informuje nas CERT).

Zatem (oczywiście) wystarczy zastosować się do zaleceń i zmienić nazwę katalogu i/lub wylogować się po zakończonej pracy i/lub omijać podejrzane strony... Czyli zachować podstawy zdrowego rozsądku. Ale ponieważ podatność taka jest, to już jej nie ma. Od wersji 5.14 taka ekwilibrystyka nie jest już możliwa.

Doszło też kilka innych drobiazgów i usprawnień.

Dodam też, że program jest podatny na sytuację, w której ktoś gdzieś poda publicznie swój login i hasło, wtedy także można będzie dostać się do panelu… Oczywiście jeśli ktoś będzie znał jego adres...