Feddit.dk

1245 readers

38 users here now

Et meta-forum for nyheder, meddelelser og debatter omkring Feddit.dk i sig selv.

Man er også velkommen til at poste her hvis der ikke er nogen andre fællesskaber der passer.

founded 2 years ago

MODERATORS

SorteKanin@feddit.dk

President_Pyrus@feddit.dk

Klorofyl@feddit.dk

OBS: Visse Lemmy-instanser blev hacket i nat (feddit.dk)

submitted 2 years ago* (last edited 2 years ago) by SorteKanin@feddit.dk to c/fedditdk@feddit.dk

6 comments fedilink hide all child comments

Jeg har på nuværende tidspunkt ingen grund til at tro at Feddit.dk er påvirket, men det er muligt at indhold fra andre instanser er påvirket. Det havde blandt andet noget at gøre med custom emojier, hvilket Feddit.dk endnu ikke bruger.

Jeg har pga. generel forsigtighed roteret den hemmelige nøgle Feddit.dk bruger. Det betyder at i bliver logget ud og skal logge ind igen. Muligvis skal i også slette alle cookies fra Feddit.dk i jeres browser. I Firefox (både desktop og Android) skal i klikke på hængelås-ikonet og så trykke "Clear cookies and site data".

Se evt. mere information her.

Vær ikke overrasket hvis Feddit.dk går ned i noget tid i løbet af dagen, hvis jeg skal opdatere til en nyere version der forhindrer denne sikkerhedsfejl.

Tak til @leds for at gøre mig opmærksom på situationen.

top 6 comments

sorted by: hot top controversial new old

[–] Andreas@feddit.dk 1 points 2 years ago (1 children)

Lite mer detaljerad förklaring: Det här har inte med custom emojier att göra. När du skriver en kommentar kan du ~~göra~~ formatteringstricks med Markdown, men Markdown-parseren som Lemmy använder konverterar inte innehållet till plaintext när den lagras i databasen, vilket gör det möjligt att gömma körbara skript i en kommentar.

Hackaren länkade bilder i kommentarerna vars alternativtext innehåller skriptet som stjäl autentiseringsnyckeln av användare som laddar kommentaren. Med den metoden fick hackaren tillgång till en av adminernas konton och la till bilden med skriptet i lemmy.world:s sidebar, så alla inloggade användare skulle få sin nyckel stulen (eftersom sidebaren laddas på varje sida).

Admin kan lägga till script-src 'self' 'nonce-$RANDOM' till instansens Content Security Policy på proxyservern för att blockera körbara skript på sidan.

[–] SorteKanin@feddit.dk 1 points 2 years ago (1 children)

Så vidt jeg forstår har det noget med custom emojier at gøre, fordi de bruger en specialiseret markdown-rendering, som desværre har denne sikkerhedsbrist. Normalt markdown rendering skulle være okay.

[–] President_Pyrus@feddit.dk 0 points 2 years ago (1 children)

Tak for info. Så forstår jeg bedre at jeg ikke kunne logge på igen.

Og husk nu den gamle lærdom om ikke at bruge samme password mere end et sted. Brug i stedet en passwordmanager.

[–] Plebajer@feddit.dk 2 points 2 years ago

Godt råd. Som resultat af det her hackerangreb har jeg lige brugt et par eftermiddage på at få flyttet alle mine konti over i en password manager, og det er altså en lettelse endelig at få det gjort. Det var virkelig en øjenåbner, hvor mange konti jeg egentlig havde, og hvor let det sikkert havde været at kompromitere mange af dem.