Jeg har pÄ nuvÊrende tidspunkt ingen grund til at tro at Feddit.dk er pÄvirket, men det er muligt at indhold fra andre instanser er pÄvirket. Det havde blandt andet noget at gÞre med custom emojier, hvilket Feddit.dk endnu ikke bruger.

Jeg har pga. generel forsigtighed roteret den hemmelige nĂžgle Feddit.dk bruger. Det betyder at i bliver logget ud og skal logge ind igen. Muligvis skal i ogsĂ„ slette alle cookies fra Feddit.dk i jeres browser. I Firefox (bĂ„de desktop og Android) skal i klikke pĂ„ hĂŠngelĂ„s-ikonet og sĂ„ trykke “Clear cookies and site data”.

Se evt. mere information her.

VÊr ikke overrasket hvis Feddit.dk gÄr ned i noget tid i lÞbet af dagen, hvis jeg skal opdatere til en nyere version der forhindrer denne sikkerhedsfejl.

Tak til @leds for at gÞre mig opmÊrksom pÄ situationen.

  • President_Pyrus@feddit.dkM
    link
    fedilink
    dansk
    arrow-up
    7
    ·
    1 year ago

    Tak for info. SÄ forstÄr jeg bedre at jeg ikke kunne logge pÄ igen.

    Og husk nu den gamle lĂŠrdom om ikke at bruge samme password mere end et sted. Brug i stedet en passwordmanager.

    • Plebajer@feddit.dk
      link
      fedilink
      dansk
      arrow-up
      2
      ·
      1 year ago

      Godt rÄd. Som resultat af det her hackerangreb har jeg lige brugt et par eftermiddage pÄ at fÄ flyttet alle mine konti over i en password manager, og det er altsÄ en lettelse endelig at fÄ det gjort. Det var virkelig en ÞjenÄbner, hvor mange konti jeg egentlig havde, og hvor let det sikkert havde vÊret at kompromitere mange af dem.

    • Kresten@feddit.dk
      link
      fedilink
      dansk
      arrow-up
      2
      arrow-down
      1
      ·
      1 year ago

      Jeg har brug for gode rÄd til at overtale venner og familie. Jeg har venner der stÊdigt benÊgter password manager, da de pÄstÄr at de er gode nok til at bruge forskellige kode.

      Kan tydeligt huske hvor svÊr jeg selv var at overtale, og er ikke selv sikker pÄ hvad der fik mig overtalt. Det viste sig sÄ at jeg i ekstra hÞj grad trÊngte til det. Jeg har pr. d.d. 384 gemte logins tilbage i firefox, som er dem jeg ikke har migreret til min password manager. Bevares, en del af dem er nok lokale kontrolpaner, men en god sjat er tjenester som er lukket ned eller jeg ikke bruger lÊngere.

      Jeg har en ven, der ligeledes har vĂŠret svĂŠr at overtale til at bruge Git i sin kodeprojekter, da han jo havde clipboard.

  • casrou@feddit.dk
    link
    fedilink
    dansk
    arrow-up
    3
    ·
    1 year ago

    Nogen, der kan forklare nĂŠrmere, hvilke konsekvenser dette kan have for de ramte instanser? I bedste/vĂŠrste tilfĂŠlde?

    • SorteKanin@feddit.dkOPM
      link
      fedilink
      dansk
      arrow-up
      3
      arrow-down
      1
      ·
      1 year ago

      I bedste tilfÊlde kommer der en opdatering hurtigt der fikser det og alle ramte instanser opdaterer og fjerner det indhold der blev lavet af hackerne. Og alle brugere skal logge ind igen og sÄ sker der ikke mere ved det.

      VÊrste tilfÊlde
 altsÄ det kan jo i vÊrste fald gÄ meget galt. Hvis en admin bliver hacket kan de slette al data. ForhÄbentlig vil der vÊre backups dog, men hvis man snakker om vÊrste tilfÊlde sÄ er de jo ogsÄ vÊk. Men det virker overordentlig usandsynligt.

      • casrou@feddit.dk
        link
        fedilink
        dansk
        arrow-up
        2
        ·
        1 year ago

        Det var ogsĂ„ primĂŠrt ifht. hackede admin accounts, jeg ikke var helt sikker pĂ„, hvor meget rod de egentlig kunne lave pĂ„ instansen. Men du har ret i, at de selvfĂžlgelig bare kan ‘nuke’ det hele - og sĂ„ afhĂŠnger det jo alene af, hvor god man har vĂŠret til backups.

        Tak for uddybning.

  • EvilCartyen@feddit.dk
    link
    fedilink
    dansk
    arrow-up
    2
    ·
    1 year ago

    Jeg kan umiddelbart ikke logge ind igen i browseren, samme problem pÄ lemmy.world

    Jeg kunne logge ud og ind igen pÄ Connect, og det er jo nok det vigtigste.

    • SorteKanin@feddit.dkOPM
      link
      fedilink
      dansk
      arrow-up
      3
      ·
      edit-2
      1 year ago

      PrÞv at slette dine cookies/sidedata, jeg havde samme problem pÄ min telefon.

      I Firefox (bĂ„de desktop og Android) skal i klikke pĂ„ hĂŠngelĂ„s-ikonet og sĂ„ trykke “Clear cookies and site data”.

    • casrou@feddit.dk
      link
      fedilink
      dansk
      arrow-up
      1
      ·
      1 year ago

      Jeg havde ogsĂ„ nogle problemer fra Android app’en Jerboa (stod som Anonymous, kunne ikke kommentere
)

      Det hjalp for mig at trykke ‘Sign out’ indtil knappen ikke lĂŠngere blev vist og derefter logge ind igen. Dette tog 3-4 tryk for mig, selvom jeg kun var logget ind pĂ„ to instanser 🙃

  • Andreas@feddit.dk
    link
    fedilink
    dansk
    arrow-up
    2
    arrow-down
    1
    ·
    1 year ago

    Lite mer detaljerad förklaring: Det hÀr har inte med custom emojier att göra. NÀr du skriver en kommentar kan du göra formatteringstricks med Markdown, men Markdown-parseren som Lemmy anvÀnder konverterar inte innehÄllet till plaintext nÀr den lagras i databasen, vilket gör det möjligt att gömma körbara skript i en kommentar.

    Hackaren lÀnkade bilder i kommentarerna vars alternativtext innehÄller skriptet som stjÀl autentiseringsnyckeln av anvÀndare som laddar kommentaren. Med den metoden fick hackaren tillgÄng till en av adminernas konton och la till bilden med skriptet i lemmy.world:s sidebar, sÄ alla inloggade anvÀndare skulle fÄ sin nyckel stulen (eftersom sidebaren laddas pÄ varje sida).

    Admin kan lÀgga till script-src 'self' 'nonce-$RANDOM' till instansens Content Security Policy pÄ proxyservern för att blockera körbara skript pÄ sidan.

    • SorteKanin@feddit.dkOPM
      link
      fedilink
      dansk
      arrow-up
      2
      ·
      1 year ago

      SÄ vidt jeg forstÄr har det noget med custom emojier at gÞre, fordi de bruger en specialiseret markdown-rendering, som desvÊrre har denne sikkerhedsbrist. Normalt markdown rendering skulle vÊre okay.

        • SorteKanin@feddit.dkOPM
          link
          fedilink
          dansk
          arrow-up
          2
          ·
          1 year ago

          Ja, men det er sÄ vidt jeg forstÄr kun custom emojis der bruger den markdown-renderer og det er kun hvis det er lokale custom emojis - custom emojis fra andre instanser skulle ikke vÊre et problem, sÄ vidt jeg kan se.

          Beklager, men jeg sletter altsÄ lige din kommentar da jeg ikke vil have instruktioner eller linket til den side stÄende.

          • Andreas@feddit.dk
            link
            fedilink
            dansk
            arrow-up
            1
            ·
            1 year ago

            Ingen fara, jag postade bilden eftersom skriptet Àr dolt (det visas bara de första fÄ tecken men jag kan förstÄ hur andra skulle kunna klura ut tricket hÀr dÄ det finns andra bilder med hela skriptet inuti). Det Àr samma Markdown-renderen med stöd för custom emojier som anvÀnds i alla textfÀlt pÄ Lemmy. Alla fÀlt som visar text pÄ 0.18-instanser och senare Àr sÄrbara för attacken om det inte införs en Content Security Policy som blockerar körbara skript.

        • SorteKanin@feddit.dkOPM
          link
          fedilink
          dansk
          arrow-up
          3
          ·
          edit-2
          1 year ago

          Ikke noget jeg kender til. SpÞrgsmÄlet er vel ogsÄ om den skulle betales af udviklerne eller enkelte instanser. Men mÄske udviklerne giver bedst mening. Men altsÄ. Det er jo ikke for-profit. Hvis man finder en fejl synes jeg da bare man bÞr rette den.

          • Kresten@feddit.dk
            link
            fedilink
            dansk
            arrow-up
            1
            ·
            1 year ago

            helt enig, men de har et budget, hvor det kunne give mening. DesvÊrre er det jo sÄdan at ikke alle er lige godhjertede, og talentet nogle gange findes hos det modsatte team. Ville helt klart mene det ville lÊgge hos udviklerne, med mindre sikkerhedsfejlen er instans-specifik