Diskussion zu Automatische Anmeldungen in phpBB-Boards

Projekte der phpBB.de-Community und Feedback zu phpBB.de.
Sascha Müller

Beitrag von Sascha Müller »

Vielen dank für die Info!

Wird diese Sicherheitslücke mit der Version 2.0.20 schon behoben sein?
PhilippK
Vorstand
Vorstand
Beiträge: 14662
Registriert: 13.08.2002 14:10
Wohnort: Stuttgart
Kontaktdaten:

Beitrag von PhilippK »

Sascha Müller hat geschrieben:Wird diese Sicherheitslücke mit der Version 2.0.20 schon behoben sein?
Welche Sicherheitslücke?
PhilippK hat geschrieben:Wichtig: Derzeit gibt es keine Hinweise auf eine konkrete Sicherheitslücke in phpBB, die durch den Bot ausgenutzt werden könnte.
Gruß, Philipp
Kein Support per PN!
Der Sozialstaat ist [...] eine zivilisatorische Errungenschaft, auf die wir stolz sein können. Aber der Sozialstaat heutiger Prägung hat sich übernommen. Das ist bitter, aber wahr. (Horst Köhler)
Meine Mods
roobee66
Mitglied
Beiträge: 14
Registriert: 21.03.2006 11:42

Re: Automatische Anmeldungen in phpBB-Boards

Beitrag von roobee66 »

PhilippK hat geschrieben:[*]Tragt den Benutzernamen unter 'Benutzernamen verbieten' ein, um eine Registrierung des Bots zu unterbinden.
Hallo PhilippK, in der englischen Version müßte das dann wohl der Admin-Funktion "Ban Control" entsprechen. Aber wie es aussieht, kann ich dort nur User sperren, die es bereits gibt, denn die Schaltfläche hinter "Username" im Abschnitt "Ban one or more specific users" läßt lediglich nach einem Useraccount suchen, nicht aber einen von mir eingetragenen vorsorglich sperren.

Meine Version ist die 2.0.19.

Danke.
Valerie Raghnall
Mitglied
Beiträge: 3907
Registriert: 17.07.2002 14:03
Wohnort: Graz

Beitrag von Valerie Raghnall »

Hi,

also bei mir heißt der Punkt "Dissalow Names" und steht unter der Ban Control.
A Bus Station is where buses stop. A Train Station is where trains stop. On my desk, there is a Work Station.
roobee66
Mitglied
Beiträge: 14
Registriert: 21.03.2006 11:42

Disallow Names

Beitrag von roobee66 »

Valerie Raghnall hat geschrieben:Hi,

also bei mir heißt der Punkt "Dissalow Names" und steht unter der Ban Control.
OK, danke für den Hinweis.
Valerie Raghnall
Mitglied
Beiträge: 3907
Registriert: 17.07.2002 14:03
Wohnort: Graz

Beitrag von Valerie Raghnall »

Schreibt sich übrigens natürlich nicht Dissalow sondern Disallow ... man kann hier nur leider nicht editieren *schnüff* also nicht von dem Vertipper irritieren lassen *g*
A Bus Station is where buses stop. A Train Station is where trains stop. On my desk, there is a Work Station.
rascal76
Mitglied
Beiträge: 14
Registriert: 31.03.2004 20:07
Wohnort: sunshine-city Freiburg im Breisgau
Kontaktdaten:

Beitrag von rascal76 »

rene hat geschrieben:Haben die Leute eigentlich nix besseres zu tun als irgendwelche Sachen zu Hacken oder zu Manipulieren???
Ich finde das eigentlich eine gute Sache, denn nur so erkennt man, wo Schwachstellen sind und was verbessert werden muss. Mir ist da lieber, dass eine solche Möglichkeit von einer Gruppe entdeckt wird, die das veröffentlicht, als von irgendwelchen Spammern oder ähnlichen Gruppen, die das dann für ihre Zwecke missbrauchen.
meier47
Mitglied
Beiträge: 2
Registriert: 21.03.2006 18:46

Visual Confirmation

Beitrag von meier47 »

Hi
Eine Einstellung zu Visual Confirmation
gibt es bei mir im admin bereich leider nicht. Vermutlich fehlt das Feld weil ich von einer uralten version geupdatet habe.

Ich würde es auch direkt in der Datenbank Tabelle Config einstellen aber wo und wie ?

Oder wie biege ich mein admin panel hin ? Muss ich eine bestimmte html datei ersetzen ?
Benutzeravatar
Mihil
Mitglied
Beiträge: 1355
Registriert: 07.05.2005 20:09

Beitrag von Mihil »

Benutzeravatar
AmigaLink
Mitglied
Beiträge: 1417
Registriert: 09.06.2003 21:56
Wohnort: NRW
Kontaktdaten:

Beitrag von AmigaLink »

Das CAPTCHA der Visuellen Bestätigung des phpBBs ist schon lange geknackt und stellt somit keine Hürde mehr für die Registrierung durch Spambots dar! :-?
Wer sich mal ein wenig mit dem Thema CAPTCHA befasst und diesbezüglich Googelt. Wird recht schnell über listen stolpern, in denen das phpBB CAPTCHA als ineffizient und zu 97% Automatisiert erkennbar angegeben wird.
Das dürfte wohl die momentane Welle von Spamregistrierugen erklären. ;)

Das Sperren der mittlerweile bekannten Namen stellt in meinen Augen keinen Schutz dar. Denn diese Namen wechseln eh ständig. :roll:
Larsneos Modifizierung ist da schon effizienter. (@ The Outsiders: Es ist der "Custom Registration Form" MOD gemeint!)
Zusätzlich zu der Modifizierung, würde ich noch die Anzeige der genannten Daten für Gäste unterbinden. Wobei das natürlich nur dafür sorgt das der BOT sein eigentliches Ziel (versteckte Werbung für diverse Internetseiten zur erhöhung des PR) nicht erreicht!

Der nächste Schritt sollte dann das ändern der Visuellen Bestätigung sein.
Dafür gibt es mittlerweile auch mehrere MODs (bzw. sind in Arbeit). Ich selber habe z.B. vor ein paar Tagen meinen Advanced Visual Confirmation releast und auch bereits hier für die MOD-Datenbank vorgeschlagen. 8)
Es gibt aber, wie gesagt, auch noch andere CAPTCHA MODs. Wobei einige nicht (wie meiner) Images erstellen, sondern Textbasiert Arbeiten (also Fragen stellen).
Antworten

Zurück zu „Community Talk“