Diskussion Änderung Hinweis Sicherheitsabfrage Login

[Talk19zehn]

Jepp...

Wenn man z.B. statt "'Du hast die maximal zulässige Zahl von Anmeldeversuchen überschritten" => "Es wurden zu viele Versuche..." könnte zur Annahme führen dass grundsätzlich nur eine bestimmte Anzahl von Anmeldungen durchgeführt werden können!

... so ist´s doch geregelt. Ich gebe die "Anmeldeversuche" vor.

Grübel... und

[DetlefT]

Hi Talk19zehn,

ich hab ja nicht gesagt, dass ich Aufklärung für falsch halte, sondern nur darauf hingewiesen, dass alle Dinge im Leben zwei Seiten haben. Ich erkläre es mal ganz plakativ an einem Beispiel, wohl wissend, dass es zum ursprünglichen Problem völlig unverhältnismäßig ist:

Man kann Aufklärung betreiben, in dem man die Anleitung zum Bau einer Atombombe, Nagelbombe oder eines Molotowcocktails, die Herstellung eines vergifteten Marzipanbrotes (Zutreffendes bitte wild ankreuzen) ins Internet stellt. Da ich ja aufklären will, beschreibe ich dann auch noch präzise, auf was ich achten muss, damit der Zünder auch garantiert auslöst. Oder nimm das Erstellen von Computerviren. Ich stelle den Code open source ins Internet und unter eine Common License. Damit kläre ich einerseits auf, wie so etwas programmiert wird, gebe aber auch dem letzten *** eine einfache Grundlage, mit dieser Hilfe Schaden anzurichten.

Also ich würde eher versuchen, den betroffenen Usern zu erklären, dass nicht sie zwangsläufig die DAUs sein müssen, sondern dass es da auch noch andere Dinge auf der dunklen Seite der Macht gibt, die ich nicht vorhabe, breit zu treten. Konsens: ein schwieriges Unterfangen!

[T-M]

Hallo,

ich denke auch, dass die Denkweise je mehr Information desto höher die Gefahr nicht richtig ist.

Wenn aber, wie in einem aktuellen Fall, ein Bot fast alle Usernamen des Forum´s mit verschiedenen
Standartpasswörtern ausprobiert, wird die Schwachstelle des Hinweises deutlich.

Sehe ich nicht so. Im Gegenteil: dadurch wird deutlich dass nicht automatisiert unendlich viele Versuche gestartet werden können um unbefugt an einen Account zu kommen.

Ich spreche die Schwachstelle des Hinweises an, nicht die Funktion als Schwachstelle.
Mir ist klar, dass die Information inhaltlich richtig ist, das habe ich nie in Frage gestellt.
Aber für einen Teil der Normaluser ist sie zu missverständlich geschrieben.

Ich möchte nicht wissen wie viele User ihr Passwort nicht mehr genau wissen und daher verschiedene Kombinationen ausprobieren. Diesen Umstand kann man nicht differenzieren.

Deswegen meine Idee (siehe Screenshot) mit der Ausgabe, ob das eingegebene Passwort richtig oder falsch ist.

Mein Lösungsansatz wäre sich Gedanken zu machen wie man diese Angriffe im VORFELD bereits abfangen kann.

Das ist ein bißchen am Thema vorbei aber das kann man nur bedingt abfangen.
Man könnte Bots/Gästen kein Leserecht im Forum geben, das trifft aber auf die wenigsten Foren zu.
Auch MODs wie z.B. NV who was here? können in diesem Fall eine Sicherheitslücke darstellen, da sie von
jedem gelesen werden kann, wenn man sie nicht selbst umschreibt.

[Talk19zehn]

Hi DetlefT - und ja, ich habe dich sachlich verstanden und lediglich um (m)einen Denkansatz ergänzt.

In der Sache, ist der Hinweis nicht falsch, der im Standard ausgegeben wird. Ich bleibe dabei, ich drehe mich im Kreise und/oder würde ggf. im Standard anders formulieren.

• Ich habe
  Du hast
  Er, sie, es hat

... macht einen kleinen aber feinen Unterschied. Meiner Meinung jedenfalls.

LG

=====================================================
@ T-M
Yeah, "Who was here" für "Bots" und "Bösewichte" ausblenden?
Half zumindest in einem mir bekannten Falle...

.

[nickvergessen]

Hab grad mal nach geguckt, im englischen steht da auch "You exceeded..." Also wenn es jemand unter http://tracker.phpbb.com/secure/CreateI ... fault.jspa als Bug meldet, kann man das bestimmt noch bis zur nächsten Version beheben.

[Gast234254]

Es gibt einen Mod der die Anmeldung überwacht. Jeder User kann im Persönlichen Bereich auswählen, wenn es vom ACP freigegeben ist, ob er eine PN oder EMail erhalten möchte wenn sich jemand mit einer anderen IP anmeldet oder versucht hat sich unter seinem Account anzumelden. Der Admin kann ein Thema erstellen wo er fehlgeschlagene bzw. korrekte Anmeldungen geposted bekommt. Es sind verschiedene Konfigurationen im ACP wählbar.

Alert For Login

[T-M]

Hab grad mal nach geguckt, im englischen steht da auch "You exceeded..." Also wenn es jemand unter http://tracker.phpbb.com/secure/CreateI ... fault.jspa als Bug meldet, kann man das bestimmt noch bis zur nächsten Version beheben.

Hallo,

das zu formulieren übersteigt meine Englischkenntnisse leider.
Würde das jemand übernehmen?

LG T.M