phpBB.de

Hallo. *nochmal schnell reingeschaut hat*

Was veranlasst dich zu der Annahme, dass es ein Bot war und kein "Human"? Hat er gespammt? Wenn ja, was stand drin und und wie lautete seine E-Mail-Adresse (kannst ja aus Datenschutzgründen 1-2 Zeichen per * slashen oder so oder mir per PN schicken).

Wie ...

Das freut mich, dass das bei euch auch gegen die Bots wirkt und ich damit helfen konnte :grin: also bis jetzt hatte ich seit dem Einbau (vor über nem halben Jahr) noch keinen einzigen, der "durchgeschlüpft" wäre, ich hoffe das bleibt noch lange so :D


@ mage1: Also, so wie ich das sehe wenn ich ...

SQL-Query #1: nix (warum eigentlich?)

SQL-Query #2:
dich 7941
weiß 4987
leben 4116
nich 3936
warum 3277
sagen 3156
zeit 3076
euch 3034
angst 2762
besser 2655
menschen 2539
nie 2528
heute 2442
es 2419
liebe 2384
weg 2377
denke 2372
wäre 2371
ihn 2270
gute 2222
lieb 2198
gehen ...

Wenn ihr den Variablennamen "agreed" ändert, muss er auch überall geändert werden. So weit ich das sehen kann, ist das in ./admin/admin_users.php (dort 2x), usercp_avatar.php und in usercp_register.php der Fall, in usercp_register.php sogar mehrmals (was ihr beide nicht getan habt)

Der Fehler tritt ...

Zwischenbericht: Seit dem Einbau gab es bei mir keine einzige Bot-Registrierung mehr... (obwohl es laut Server-Logs pro Tag ca. 30-40x versucht wird)

Vielleicht setze ich mich mal demnächst daran und versuche, das umzusetzen.
Inzwischen habe ich auch eine effektive Methode eingebaut, wie trotz ...

./includes/functions_validate.php

Man suche: $username = phpbb_clean_username($username); und füge danach ein : if ( $userdata['user_level'] != ADMIN )
{

Man suche: // Don't allow " and ALT-255 in username. und füge davor ein : }


Dann können Admins beim Editieren auch Gastnamen angeben, die ...

Gar nicht. Die SID ist ja nicht an der URL des Bildes angehängt, sondern in der URL von der Seite, in der das Bild eingebaut ist, also von wo aus das Bild aufgerufen wird, in phpBB also der viewtopic.php.
Und der URL-Referrer des Bildes wird in den Server-Logs gespeichert, also kann derjenige, der ...

Bitte

Ich würde mich freuen, wenn du (und andere, die es anwenden) hier demnächst berichten würdet, ob es klappt und die BOT-Anmeldungen ausbleiben...

Verlinkte Avatare sind das gefährlichste überhaupt: Wenn z.B. jemand ohne Cookies im Forum surft, dann wird bei ihm immer die SID in der URL angehängt. Wenn jetzt ein fremdes Bild von einem anderen Server als Avatar in den Foren-Seiten "eingebettet" geladen wird, dann erscheint in den Server-Logs ...

Wo ist denn die Schwachstelle? Verstehe ich es richtig, dass die Session-IDs von jedem Betrachter des präparierten Avatars ausgelesen wird, wenn jemand ein Avatar als Remote eingerichtet hat, das Avatar-Bild also auf einem anderen Server liegt?

Ich habe diese Möglichkeit generell abgeschaltet: Also ...