Seite 1 von 1

[BBpUG]: Umgang mit CrackerTrecker

Verfasst: 16.02.2007 12:23
von gulliver
@FSKiller

Hat mit dem Telefon noch nicht geklappt, werde daher mal kurz hier nachfragen. Hast du eigene und vor allem tiefere Erfahrungen mit CT?
Habe mein Forum kurzfristig auf einen anderen Server verlegt. Dazu habe ich erst einmal ein Superblankes NigelNagelneues 2.0.22 installiert das aktuelle Backup der Datenbank eingelesen, aber keinen einzigen MOD eingebaut. Dafür CrackerTrecker.Im Prinzip läuft es jetzt stabil, aber ich habe von einigen gehäuft auftretenden Fehlersituationen bei anderen Usern lesen müssen. Mich würde arg interessieren, was mich ggf. noch erwartet, bis der reibungslose Forenbetrieb wieder gewährleistet ist. Solange CT noch nicht wirklich astrein agiert, werde ich die MODs bei seite lassen.

Gib mal ein Zeichen und ggf. eine Festnetznummer per PN, wie ich dich erreichen kann. Thx

Verfasst: 16.02.2007 12:26
von kellanved
Ich würde vom CT abraten.
Verschwendet sehr viele Ressourcen, ältere Versionen haben mitunter erhebliche Sicherheitslücken und auch die aktuelle wird eher durch Zufall soweit sicher.

Die Sicherheit eines Forums verbessert er jedenfalls nicht - dafür ist aktuelle Software und evtl. MOD-security besser.

Verfasst: 16.02.2007 19:48
von FSKiller / Phoenix
kellanved hat geschrieben:Ich würde vom CT abraten.
Verschwendet sehr viele Ressourcen, ältere Versionen haben mitunter erhebliche Sicherheitslücken und auch die aktuelle wird eher durch Zufall soweit sicher.

Die Sicherheit eines Forums verbessert er jedenfalls nicht - dafür ist aktuelle Software und evtl. MOD-security besser.
Ahja ... und woher weisst du sowas? Wo werden den Ressourcen verschwendet? Also ich kann dem überhaupt nicht zustimmen.

@gulliver: also ich habe das bei einigen Seiten schon installiert und klar gibt es Probs, nichts ist perfekt und kleinigkeiten muss immer eingestellt werden.

Da Angriffe gehen phpBB Seiten mit dem CrackerTracker geblockt werden habe ich schon live mitbekommen und es hält auch einige Bots ab.

Es hat alles seine Vor und Nachteile.

Bei grossen Seiten würde ich das einbauen bei kleinen Seiten die kaum besucht werden und kein Besonderes Thema haben sollte man es vielleicht nicht unbedingt einbauen, es kommt aber immer auf die Seite den Hoster und das Angebot an.

Verfasst: 17.02.2007 13:04
von kellanved
No offense, aber ich habe den Code mehrfach lesen dürfen :-?

Er macht bei jedem einzelnen Aufruf mehrere hundert, überwiegend sinnlose , Stringvergleiche. Und dies nicht nur einmal, sondern mehrfach. Dabei werden aber Cookies überhaupt nicht geprüft und auch viele POST Parameter nicht - nur sehr wenige der vergangenen phpBB Exploits würden abgefangen; bis vor wenigen Versionen (5. irgendwas) war es sogar trivial das ganze Dings einfach zu umgehen.

Sicherheitstechnisch ist es einfach nicht plausibel.