I et SPF-record angiver du hvilke mailservere der må bruges til at sende mail fra dit domæne. Hvis du ikke gør det, kan enhver mailserver bruges. Jeg kan således sætte en mailserver op med dit domæne, og sende mails fra din adresse. Jeg kan sågar gøre det uden at sætte en separat mail server op, sålænge jeg angiver "mail relay" til dit domæne i min egen eksisterende mailserver. Heldigvis bliver det mere og mere sådan, at mails fra et domæne, der ikke har angivet SPF-records, bliver markeret som SPAM. Det er dog ikke alle modtagende mailservere der gør det på denne måde.
Jeg vil gerne fraråde auto-update, da updates forholdsvis ofte indeholder kompatibilitetsfejl, hvilket nedlægger din hjemmeside. Det vil du ikke lægge mærke til når systemet opdaterer automatisk - du kigger sandsynligvis ikke selv så ofte på din egen hjemmeside.
Jo, det giver jeg dig fuldstændig ret i.
Det er lige det - jeg ved nemlig hvilke rettigheder den bruger har ...
Det var også kun for at hjælpe :) |
Albert van Harten:I et SPF-record angiver du hvilke mailservere der må bruges til at sende mail fra dit domæne. Hvis du ikke gør det, kan enhver mailserver bruges. Jeg kan således sætte en mailserver op med dit domæne, og sende mails fra din adresse. Jeg kan sågar gøre det uden at sætte en separat mail server op, sålænge jeg angiver "mail relay" til dit domæne i min egen eksisterende mailserver.
Heldigvis bliver det mere og mere sådan, at mails fra et domæne, der ikke har angivet SPF-records, bliver markeret som SPAM. Det er dog ikke alle modtagende mailservere der gør det på denne måde.
Dejligt med den uddybende forklaring omkring SPF, jeg kigger på det i dag og får det tilføjet. :)
Albert van Harten:Jeg vil gerne fraråde auto-update, da updates forholdsvis ofte indeholder kompatibilitetsfejl, hvilket nedlægger din hjemmeside. Det vil du ikke lægge mærke til når systemet opdaterer automatisk - du kigger sandsynligvis ikke selv så ofte på din egen hjemmeside.
Det har du fuldstænding ret i, hellere være på den sikre side og selv have kontrollen.
Albert van Harten:Jo, det giver jeg dig fuldstændig ret i.
Dit brugernavn er dog allerede åbenlyst for enhver black -, grey - eller white hat hacker. Metoden til at finde dit brugernavn kaldes "btrugeroptælling" eller "user enumeration", og er velkendt og veldokumenteret. Hr. og Fru Jensen vil dog ikke kunne bruge de informationer til en dyt. Det svarer til at jeg viser hvordan nøglen til min hoveddør ser ud, uden at du får den i hænder: du kommer stadigvæk ikke ind ad hoveddøren uden at en anden låser den op for dig.
Det var godt nok en simpel måde at finde brugernavne på, har installeret WordFence. Så hvad jeg kan se burde det ikke være muligt fremover, altså at gøre brug af "user enumeration", men min author profil findes jo stadig, og selvom jeg skifter det synlige navn til noget andet, kan jeg se at brugernavnet stadig fremgår af url'en "/author/eventpakker/" så kan jeg så vælge at skifte det i databasen under user_nicename.
Det har jeg så gjort og kan nu se at username ikke er synligt i url'en, tænker årsagen til det ikke er sådan som standard har noget at gøre med permalinks, men det burde bare være standard
Albert van Harten:Det er lige det - jeg ved nemlig hvilke rettigheder den bruger har ...
Nu bliver jeg altså nysgerrig, hvordan har det være muligt for dig at finde ud af det? :)