KarelP

[tompi23]

Pane Myslivče, děkuji za vysvětlení. Rozumím tomu, že fórum není bazarová platforma a nemůže mít ochranné mechanismy jako Aukro. Chápu také, že jde o zneužitý účet.

Jen mě trochu mrzí, že se to z pohledu poškozeného může jevit, jako by šlo jen o „uživatelský problém“. Ve skutečnosti už jsme minimálně dva poškození – já přišel o 26 000 Kč a druhý uživatel o 46 000 Kč. Celková škoda tedy přesahuje 70 000 Kč a věc už je nahlášena a v šetření Policie ČR.

Píšu to hlavně proto, aby si ostatní uživatelé dali pozor. I starší účty s historií mohou být zneužity a v rámci šetření se budou brát v potaz i samotné účty zde na fóru.

[Psion]

Těch neaktivních uživatelů je tady tisíce, asi by opravdu stále za to všem resetovat hesla, ať si vytvoří nové. Každopádně u tak málo aktivních uživatelů nepošlu ani 1000 Kč natož vyšší částky. Navíc, ne všichni astronomové jsou poctiví, měli jsme zde takový případ. Díky AI budou tyto případy jen narůstat.

[MMys]

Já tak zhruba jednou za rok mažu uživatele, kteří za poslední dva roky měli do dvou příspěvků a rok se nepřihlásili. Takže jsem to udělal zase.
To trochu sníží riziko ukradení účtu.

[varan1975]

Možná by bylo fajn říct, že kupující a v tomto případě poškození, neměli sebemenší možnost a nebudou to v budoucnu ani další poškození, ověřit jak je na tom prodávající co se udržení bezpečnosti svých hesel týče. Jestliže prodávající nakládá se svými hesly nezodpovědně, kupující to nemůže nijak ovlivnit a v případě, že je díky tomu už v rukou podvodníka, tak je vymalováno.

Toto vlákno by mělo jednak poukázat na to, že mezi naší vzácně skvělou a poctivou komunitou může být i podvodník a vybídnout ostatní k opatrnosti, ale domnívám se, že byť jsou možnosti phpBB velmi omezené, nebylo by od věci, aby se minimalizovaly podobné případy do budoucna. Tedy zkusme hledat reálné cesty, jak i v tomto jednoduchém "nástěnkovém" bazaru přijít s radami, zkušenostmi apod., jak zvýšit bezpečnost transakcí.

Já již některé používám a to nejen zde:

1) chci s prodejcem mluvit po telefonu (cizinec používající translátor pro podvod odmítne)
2) u dražších položek bych trval na osobním předání a i když je to Slovensko, zkusil bych dohodu potkat se třeba na půl cesty, přijít o 500 v benzínu je lepší než o 1000 EUR a více

Pokud někdo znáte nějakou ověřenou platformu pro bezpečnou platbu na bazarech, já jsem našel, ale aniž by si o ní kdokoliv cokoliv zjistil, odsoudil jí jako nedůvěryhodnou podle toho jak vypadá web. Může a nemusí to tak být, pokud někdo máte zkušenost nebo znáte jiné řešení, sem s tím. Podvodníků v online bude přibývat a poškozených taky, tak proč bychom nemohli společně udělat něco pro svou vlastní bezpečnost na fóru, které všichni máme tak rádi

[MMys]

Po pravdě, telefonát nebo aspoň delší online pokec přes nějakou platformu (messenger, whatsapp) s prodávajícím považuju za úplnou samozřejmost, bez toho bych žádný větší obnos v řádu desítek tisíc nikomu neposlal. Pokud mi dotyčný odmítne tohle, tak je pro mne výsledek jasný.

V sekci viewtopic.php?t=14479 jsem nastínil možné řešení. Sice trochu náročnější na moderátory (ze začátku) ale asi by to dost pomohlo.

[Psion]

Pokud někdo znáte nějakou ověřenou platformu pro bezpečnou platbu na bazarech, já jsem našel, ale aniž by si o ní kdokoliv cokoliv zjistil, odsoudil jí jako nedůvěryhodnou podle toho jak vypadá web. Může a nemusí to tak být, pokud někdo máte zkušenost nebo znáte jiné řešení, sem s tím. Podvodníků v online bude přibývat a poškozených taky, tak proč bychom nemohli společně udělat něco pro svou vlastní bezpečnost na fóru, které všichni máme tak rádi

Vyjadřuj se prosím adresně. Já jsem podíval na safedeal.cz z hlediska kontaktů, kdo za tím projektem stojí, kdo platformu používá a zda je dobře hodnocená. Nenašel jsem prakticky nic a na webu kontakty žádné, adresa společnosti žádná, telefon žádný - to není pro mě důvěryhodné.
To už je lepší použít https://www.escrow.com.

[varan1975]

Požádal jsem schválně AI o audit našeho fóra a vysvětlil co se nyní děje a požádal jí o radu jak zvýšit bezpečnost. Nejsem programátor a tak neověřím validnost textu.

Checklist pro adminy – bezpečnost a bazar

1. Ochrana účtů
• Zapnout HTTPS (Let’s Encrypt certifikát, v ACP nastavit „cookie_secure=On“, „cookie_httponly=On“, „SameSite=Lax“).
• Dvoufaktorové ověření (2FA)
• Stáhnout a nainstalovat extension phpBB Two Factor Authentication.
• Povolit v ACP → Customise → Manage Extensions.
• Nastavit povinně pro skupinu „Bazar“.
• OAuth přihlášení (volitelné, pro pohodlí a silnější hesla)
• Nainstalovat extension Extend OAuth Login.
• Aktivovat poskytovatele (Google, GitHub, Discord).

2. Prevence falešných účtů
• StopForumSpam extension – blokace registrace z podezřelých IP/e-mailů.
• reCAPTCHA v3 – získat klíče na Google, vložit do ACP → Spambot countermeasures.
• V ACP → Security → zapnout kontrolu síly hesla (min. délka, složitost).

3. Ochrana bazaru
• Auto Groups extension
• Vytvořit skupinu Bazar.
• Nastavit: min. 30 dní od registrace + min. 10 příspěvků → auto-přidání.
• Oprávnění v bazarových fórech dát jen této skupině.
• Trader/Feedback extension
• Nainstalovat a zapnout.
• Zobrazit hodnocení pod avatarem uživatele.
• Posting/Topic Template extension
• Vytvořit šablonu (viz níže).
• Nastavit jako povinnou pro sekce bazaru.
• Moderace nových inzerátů – v ACP nastavit, že první X inzerátů uživatele jde do fronty ke schválení.
• Sticky vlákno „Jak bezpečně obchodovat“ s doporučením escrow (SafeDeal, PayPal Goods & Services, bankovní převod s ověřeným účtem).

4. Incident response
• V ACP → Security → možnost force password reset pro vybranou skupinu.
• Vytvořit interní postup: při podezření na kradený účet → ihned reset hesla, zablokovat session, oznámit členům.
• Zapnout notifikace e-mailem pro změnu hesla a e-mailu účtu.




Návrh pravidel bazaru (ke zveřejnění)

Bezpečnostní pravidla pro obchodování na fóru:
1. Přístup do bazaru mají jen členové skupiny Bazar (min. 30 dní na fóru a 10 příspěvků).
2. Každý inzerát musí obsahovat:
• datumované foto se štítkem/nápisem (uživatelské jméno + datum),
• přesný model a stav,
• cenu a měnu,
• lokalitu,
• způsob dopravy a platby.
3. Povolené platby: bankovní převod, PayPal Goods & Services, escrow služby (např. SafeDeal).
• Zakázané: PayPal Friends & Family, kryptoměny bez escrow, anonymní platby.
4. Po obchodu ohodnoťte protistranu v systému hodnocení (Trader).
5. Fórum ani administrátoři neručí za obsah inzerce – obchodujete na vlastní odpovědnost, ale dodržování výše uvedených pravidel vás chrání.

[varan1975]

Pokud někdo znáte nějakou ověřenou platformu pro bezpečnou platbu na bazarech, já jsem našel, ale aniž by si o ní kdokoliv cokoliv zjistil, odsoudil jí jako nedůvěryhodnou podle toho jak vypadá web. Může a nemusí to tak být, pokud někdo máte zkušenost nebo znáte jiné řešení, sem s tím. Podvodníků v online bude přibývat a poškozených taky, tak proč bychom nemohli společně udělat něco pro svou vlastní bezpečnost na fóru, které všichni máme tak rádi

Vyjadřuj se prosím adresně. Já jsem podíval na safedeal.cz z hlediska kontaktů, kdo za tím projektem stojí, kdo platformu používá a zda je dobře hodnocená. Nenašel jsem prakticky nic a na webu kontakty žádné, adresa společnosti žádná, telefon žádný - to není pro mě důvěryhodné.
To už je lepší použít https://www.escrow.com.

Přesně tohle mělo zaznít hned na první dobrou Pak je všem kteří jsou jen běžní uživatelé jasné, z čeho nedůvěra pramení A navíc tu zazněl tip na escrow.com. SUPER! Navíc cílem tohoto článku by měla být ochrana nás všech a proto bych se přimlouval, kdo prostě je v těchto věcech erudovaným odborníkem, ať nabídne buď své služby pro update fóra nebo implementaci bezpečnostních prvků, nebo ať poradí jak třeba řeší podobné věci on sám a nějakou službu třeba dlouho a ke vší spokojenosti používá.

[MMys]

https samozřejmě server používá
ReCAPTCHA v3 je nasazená, moc spamu v poslední době není, to prolomení je dost vyjímečné
Na ten plugin pro 2FA kouknu, jestli to půjde pro nás použít.

Omezení na sílu hesla jsou pouze na délku, ale po pravdě, většina útoků je ukradenými hesly, takže to moc neřeší

Extra skupinu pro bazar jsem navrhoval před hodinou v jiném tématu. Bude to sice ze začátku trochu nápor pro moderátory a opruz pro uživatele, ale určitě by to pomohlo.

Jakmile je skupina "bazarníků" vytvořená, tak už je v případě podezření samozřejmě vše trochu jednodušší.

Na druhou stranu, pokud někdo ukradne uložená hesla z PC členovi s přístupem do bazaru, tak to opět nic neřeší. Jen ta šance že se to stane, bude podstatně nižší, protože z celkového počtu uživatelů těch ve skupině bazar bude zlomek.

Mimochodem, každý rok mažu uživatele, co se rok nepřihlásili a za poslední dva roky mají do dvou příspěvků.

[tompi23]

Díky za reakci. Myslím, že je ale lepší hledat cesty, jak bezpečnost zlepšit, než říkat, že to nejde. Už jen 2FA, potvrzení změny e-mailu přes původní adresu nebo login notifikace by riziko s ukradenými účty hodně snížily. phpBB sice není bazar, ale základní ochrany proti podvodníkům se k němu určitě přidat dají

[Psion]

Ještě je služba v Německu https://paylax.com/en

[MMys]

No tak jsem na ten 2FA plugin koukal, a to pro nás nebude. K funkci to vyžaduje U2F zařízení, tedy hardwarový USB nebo NFC klíč (např. od Yubico), navíc s problematickou podporou v různých prohlížečích (s jistotou pouze Chrome, se Safari na Apple smůla, v ostatních prohlížečích s nutností pluginů). Takže přes tenhle 2FA plugin fakt cesta nevede

Myslím si že v neplacené nekomerční verzi fóra prostě žádné 2FA funkční na všech platformách (ne jen přes Google) není možné. Ale budu zkoumat dál.

• Dvoufaktorové ověření (2FA)
• Stáhnout a nainstalovat extension phpBB Two Factor Authentication.

[midars]

Martine při změně e-mailu se reaktivace provádí na novém účtu a na starý účet nepřijede informace o změně. Šlo by aspoň poslat informaci na starý účet, že došlo ke změně, případně totéž při změně hesla.

[nou]

No tak jsem na ten 2FA plugin koukal, a to pro nás nebude. K funkci to vyžaduje U2F zařízení, tedy hardwarový USB nebo NFC klíč (např. od Yubico), navíc s problematickou podporou v různých prohlížečích (s jistotou pouze Chrome, se Safari na Apple smůla, v ostatních prohlížečích s nutností pluginů).

Tento plugin? je tam aj podpora pre TOTP na čo existujú rôzne appky do mobilu a zadáva sa 6 miestny PIN kód.

Ten popis je tiež starý lebo na wiki

U2F security keys are supported by Google Chrome since version 38,[2] Firefox since version 57[16] and Opera since version 40.

A môžem potvrdiť že sám používam yubi key napríklad na firefoxe.

[MMys]

Martine při změně e-mailu se reaktivace provádí na novém účtu a na starý účet nepřijede informace o změně. Šlo by aspoň poslat informaci na starý účet, že došlo ke změně, případně totéž při změně hesla.

Ne, to evidentně nelze. Vše už letí na ten nový e-mail.