Kunnen mods pm's lezen tussen 2 gebruikers op dit forum?

Onderwerpen die nergens anders thuis horen en toch eerder technisch van aard zijn? Post ze hier!
Plaats reactie
Robert Ford
Elite Poster
Elite Poster
Berichten: 1515
Lid geworden op: 12 nov 2005, 18:54
Uitgedeelde bedankjes: 102 keer
Bedankt: 101 keer

Topic zegt meer dan genoeg...

1) Indien ja, is er een manier om dit uit te schakelen zodat het niet meer kan?
2) Worden de berichten versleuteld opgeslagen op de server? In de backups?
Gebruikersavatar
heist_175
Moderator
Moderator
Berichten: 14885
Lid geworden op: 07 okt 2010, 09:35
Locatie: Kempen
Uitgedeelde bedankjes: 484 keer
Bedankt: 1054 keer
Recent bedankt: 15 keer

Denk je eraan om dr*gs te verkopen via PM misschien :)?
Gebruikersavatar
Goztow
Administrator
Administrator
Berichten: 14441
Lid geworden op: 14 nov 2006, 16:21
Locatie: Brussel
Uitgedeelde bedankjes: 1600 keer
Bedankt: 1194 keer
Recent bedankt: 3 keer

Standaard phpbb functionaliteit.
boran_blok
Elite Poster
Elite Poster
Berichten: 1021
Lid geworden op: 09 maa 2011, 16:04
Uitgedeelde bedankjes: 16 keer
Bedankt: 81 keer

https://www.openpgp.org/

gewoon elkanders public key uitwisselen en dan one way encryptie toepassen hé.
axs
Moderator
Moderator
Berichten: 2630
Lid geworden op: 18 dec 2010, 11:56
Uitgedeelde bedankjes: 445 keer
Bedankt: 221 keer

Mods hier op het forum hebben in ieder geval die mogelijkheid niet.
Gebruikersavatar
Dafke
Elite Poster
Elite Poster
Berichten: 2840
Lid geworden op: 04 mei 2006, 21:31
Uitgedeelde bedankjes: 187 keer
Bedankt: 157 keer

axs schreef:Mods hier op het forum hebben in ieder geval die mogelijkheid niet.
Zou ik ook zeggen, als mod :)
payphoneuser
Pro Member
Pro Member
Berichten: 260
Lid geworden op: 26 jun 2015, 19:39
Uitgedeelde bedankjes: 47 keer
Bedankt: 30 keer
Recent bedankt: 3 keer

Wie aan de database kan kan het ongetwijfeld wel lezen. Paswoorden zullen allicht wel encrypted zijn, maar berichten?
Gebruikersavatar
Sasuke
userbase crew
userbase crew
Berichten: 5526
Lid geworden op: 13 aug 2003, 20:25
Locatie: Vlaanderen
Uitgedeelde bedankjes: 238 keer
Bedankt: 467 keer
Recent bedankt: 6 keer

Naargelang hoe het ingesteld staat, zijn zelfs de wachtwoorden uit te lezen (door de DB Admin) in een standaard PHPBB setup met bvb MySQL. Een van de redenen dat ik altijd unieke wachtwoorden gebruik, hier is het zelfs een van de oudste wachtwoorden die ik nog heb,

Denk eerder dat je de vraag anders moet stellen:

Kunnen ze het - ongetwijfeld, misschien niet allemaal, maar ga ervanuit dat ze het kunnen.
Doen ze het ... das iets anders, ik denk dat de mods hier redelijk braaf/ethisch zijn en het niet doen
Heb je er geen vertrouwen in ? Dan gebruik je het PM systeem niet.

Gerelateerd - Hoe ziet de VWZ tegen de GDPR aan ?
Who the fxxk is General Failure and why is he reading my hard disk ?
Afbeelding
Robert Ford
Elite Poster
Elite Poster
Berichten: 1515
Lid geworden op: 12 nov 2005, 18:54
Uitgedeelde bedankjes: 102 keer
Bedankt: 101 keer

Ik heb niks te verbergen hoor. Maar soms geef ik mijn privé adres aan iemand hier op het forum als ik iets verkocht heb.

Zou gewoon niet graag hebben dat deze gegevens ooit ten prooi vallen aan een persoon met malafide bedoelingen.
axs
Moderator
Moderator
Berichten: 2630
Lid geworden op: 18 dec 2010, 11:56
Uitgedeelde bedankjes: 445 keer
Bedankt: 221 keer

Dafke schreef:
axs schreef:Mods hier op het forum hebben in ieder geval die mogelijkheid niet.
Zou ik ook zeggen, als mod :)
Laat mij het even herformuleren:
Ik als mod heb die mogelijkheid niet. Geen idee of collega mods andere privileges hebben - maar vermoed van niet.
Heb er trouwens ook absoluut geen behoefte of interesse in, laat staan dat ik het zou appreciëren moest dat standaard functionaliteit zijn voor een moderator.
CCatalyst
Elite Poster
Elite Poster
Berichten: 8269
Lid geworden op: 20 jun 2016, 18:36
Uitgedeelde bedankjes: 19 keer
Bedankt: 526 keer
Recent bedankt: 12 keer

Robert Ford schreef:Ik heb niks te verbergen hoor. Maar soms geef ik mijn privé adres aan iemand hier op het forum als ik iets verkocht heb.

Zou gewoon niet graag hebben dat deze gegevens ooit ten prooi vallen aan een persoon met malafide bedoelingen.
Ik zou niet meteen vrezen voor mods, wel voor het feit dat phpBB niet meteen de software is met de beste veiligheidsreputatie. Ik zou in jouw geval dus geen zaken in PM posten waarvan je niet wilt dat ze uitlekken. Maar dat geldt eigenlijk voor alle fora.
philippe_d
Moderator
Moderator
Berichten: 17490
Lid geworden op: 28 apr 2008, 11:22
Locatie: Waregem
Uitgedeelde bedankjes: 923 keer
Bedankt: 3349 keer
Recent bedankt: 4 keer

Ik, als simpele Mod, kan géén PM's van anderen lezen, en kan ook niet zien wie PM's stuurt of ontvangt.
Wellicht kan iemand met de nodige admin rechten dat wel.
VoIP: WeePee (vaste nummers geporteerd), Sipgate.de, Sipgate.co.uk, MegaVoip (uitgaand België).
Provider: Proximus Fiber Essential (50/8 mbps down/up).
Modem/Router: Fritz!Box 7590 int, OS 07.50, aangesloten op Proximus ONT (VLAN20).
Telefoon centrale: Euracom 181 achter FritzBox So.
TV: Telenet CI+, Fritz!DVB-C.
kamiel
Elite Poster
Elite Poster
Berichten: 891
Lid geworden op: 18 jun 2012, 19:58
Uitgedeelde bedankjes: 167 keer
Bedankt: 42 keer

Ik snap niet waarom de mod's pb's niet zouden mogen lezen. Soms zou ik het een geruststelling vinden als het kunnen lezen.
Anders moet je maar mailen naar elkaar hé.
Internet: EDPnet VDSL XS met Fritzbox 7360 als modem en router
VOIP: EDPnet (inkomend), Freevoipdeal (uitgaand) via C510IP
GSM: EDPnet (met Xiaomi Redmi)
Gebruikersavatar
meon
Administrator
Administrator
Berichten: 16729
Lid geworden op: 18 feb 2003, 22:02
Twitter: meon
Locatie: Bree
Uitgedeelde bedankjes: 574 keer
Bedankt: 770 keer

CCatalyst schreef:Ik zou niet meteen vrezen voor mods, wel voor het feit dat phpBB niet meteen de software is met de beste veiligheidsreputatie.
PhpBB is net wél een gangbaar forumsysteem met goeie veiligheidsreputatie. Dat andere grote commerciële forumsysteem vBulletin heeft meer lekjes in recente versies.

Wachtwoorden worden gehashed (niet encrypted) via PHPass.

Content (publieke en niet-publieke) is niet geëncrypteerd en dus technisch gezien inderdaad uit te lezen voor systeembeheerders, iets dat onder GDPR een normale use-case is. De mensen met dat niveau van toegang is op 3 vingers te tellen ;).
Backupdata wordt ook in eigen beheer gehouden en is dus niet toegankelijk voor anderen.
Aan de data subjects (jullie dus) wordt geen enkele personaliseerbare info gevraagd behalve het mailadres, al de rest wordt ongeverifieerd geaccepteerd en kan je achteraf wijzigen of verwijderen.
Gebruikersnamen vallen daar half buiten: die kan je via een verzoek aan de admins laten wijzigen naar keuze.

IP-adressen worden automatisch 'permanent' verzameld bij het registratieproces en bij het plaatsen van een bericht, dit om misbruik te kunnen (h)erkennen en op in te kunnen grijpen.
In de standaard Apache access-logs worden ook IP-adressen verzameld, maar deze roteren om de 31 dagen en worden enkel gebruikt om bots te kunnen blokkeren.
We gebruiken Google Analytics voor bezoekersanalyse.
We gebruiken Cookie Consent voor de melding van cookie-policy.
De enige cookies die door Userbase gebruikt worden zijn die van de 2 systemen hierboven en van phpBB zélf, waarbij de combinatie van de 3 cookies (naam beginnende met ub_prod_*) dienen voor sessie-informatie en automatisch inloggen.

We gaan in principe ook altijd in op het schrappen van personaliseerbare informatie (ook al heb je die niet zelf gepubliceerd) of het schrappen van user-accounts. Dat kan gaan om namen, adressen, telefoonnummers, ...

De grootste datalekken van gebruikers hier ontstaan (grappig genoeg) door foutieve/vervallen mailadressen.
phpBB stuurt namelijk een e-mail uit als notificatie dat er een privébericht verstuurd werd. Als het ontvangende mailadres niet meer bestaat krijgen we een NDR terug in onze forum-mailbox waarbij naam, onderwerp en e-mailadres leesbaar is (niet content PM).
De tip is daar dus om wel degelijk je mailadres correct/actief te houden in jouw profiel. Tip 2: mocht je dat nu in allerijl aanpassen: mailadres wijzigen = account opnieuw activeren via de link in de mail.
Nog een tip: wist je dat je een verzonden PM nog kan wissen/wijzigen zolang deze niet door de ontvanger gelezen werd? Doe dat maar eens met een e-mail :).
CCatalyst
Elite Poster
Elite Poster
Berichten: 8269
Lid geworden op: 20 jun 2016, 18:36
Uitgedeelde bedankjes: 19 keer
Bedankt: 526 keer
Recent bedankt: 12 keer

meon schreef:PhpBB is net wél een gangbaar forumsysteem met goeie veiligheidsreputatie. Dat andere grote commerciële forumsysteem vBulletin heeft meer lekjes in recente versies.
Opletten met zo'n vergelijkingen. Is dat omdat de code van phpBB beter is, of is dat omdat vBulletin meer op high-profile fora zichtbaar is en meer gebruikt wordt? Zelfde reden waarom er in Windows meer vulnerabilites gevonden worden.
meon schreef: Nog een tip: wist je dat je een verzonden PM nog kan wissen/wijzigen zolang deze niet door de ontvanger gelezen werd? Doe dat maar eens met een e-mail :).
Is het wissen effectief een DELETE, of is het niet meer dan "SET visible=0" oid?
Gebruikersavatar
Goztow
Administrator
Administrator
Berichten: 14441
Lid geworden op: 14 nov 2006, 16:21
Locatie: Brussel
Uitgedeelde bedankjes: 1600 keer
Bedankt: 1194 keer
Recent bedankt: 3 keer

Als een user een PB report dan kan ik de inhoud ervan lezen in het report. Dat is op al die jaren misschien 2 keer gebeurd. Maar het kan dus wel.
Gebruikersavatar
serialchiller
Premium Member
Premium Member
Berichten: 609
Lid geworden op: 03 feb 2012, 14:10
Uitgedeelde bedankjes: 48 keer
Bedankt: 73 keer
Recent bedankt: 3 keer

Wat gebeurt er wanneer ik in mijn control panel een PB wis?
-is dan enkel de relatie tussen de gebruiker en het bericht gewist?
-wanneer de andere partij in het pb dezelfde "conversatie" wist, worden de berichten dan wél écht gewist?

Puur uit interesse omtrent de originele topicvraag...
Haemers
Starter
Starter
Berichten: 17
Lid geworden op: 02 sep 2012, 14:59
Uitgedeelde bedankjes: 2 keer

Berichten zitten ongeëncrypteerd in de database dus iemand met toegang tot deze database kan gewoon alle berichten plaintext lezen. In phpBB zelf zit zo'n mogelijkheid niet, maar dus enkel op databaseniveau.
Plaats reactie

Terug naar “Allerlei”