Hallo allerseits
Registriere ich mich in einem phpBB-Forum, weiss ich, dass mein Passwort einsehbar ist.
a) via Begrüssungsmail (dieses kann man wenigstens sofort löschen)
b) via Administrator oder Code-Anpassung (Open Source)
Das Hauptproblem ist dabei, dass viele User das selbe Login+Kennwort für verschiedenste Foren benutzen. Gerät jemand in das Forum eines ihm nicht wohlgesinnten, können diese Angaben missbraucht werden.
Lösungsvorschlag mit Codeanpassung: Das Passwort darf nie sichtbar werden. Ein eindeutiger Geräte-ID verschlüsselt das Passwort bereits bei der Eingabe. Dieser Code darf natürlich nicht OpenSource sein.
Kein perfekte Lösung, da man dies immer auf die eine oder andere Weise umgehen kann. Ist es jedoch die Standardimplementation, wird phpBB schon mal in diesem Punkt viel sicherer.
Weiterhin gute Entwicklungen!
Bruno
Sicherheitslücke Passwort
Forumsregeln
phpBB 3.0 hat das Ende seiner Lebenszeit überschritten
phpBB 3.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 3.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf die neuste phpBB-Version, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
phpBB 3.0 hat das Ende seiner Lebenszeit überschritten
phpBB 3.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 3.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf die neuste phpBB-Version, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
-
nickvergessen
- Ehrenadmin
- Beiträge: 11559
- Registriert: 09.10.2006 21:56
- Wohnort: Stuttgart, Germany
- Kontaktdaten:
Ich kann deine Gedanken gut nachvollziehen. Aber alles was eingegeben wird, kann man auch empfange/auslesen und somit neben der phpbb-Datenbanken auch noch in anderen. Gegen solch schweinische Admins kann man eigentlich nichts machen. Ansonsten gehören solche Vorschläge eher in den Bugtracker von phpBB.com da die phpBB entwickeln 
kein Support per PN
Wobei es sicher sein düfte, das es keinen Closed-Source-Teil bei phpBB geben wird.
Gruß, Philipp
Gruß, Philipp
Kein Support per PN!
Der Sozialstaat ist [...] eine zivilisatorische Errungenschaft, auf die wir stolz sein können. Aber der Sozialstaat heutiger Prägung hat sich übernommen. Das ist bitter, aber wahr. (Horst Köhler)
Meine Mods
Der Sozialstaat ist [...] eine zivilisatorische Errungenschaft, auf die wir stolz sein können. Aber der Sozialstaat heutiger Prägung hat sich übernommen. Das ist bitter, aber wahr. (Horst Köhler)
Meine Mods
-
larsneo
- Mitglied
- Beiträge: 2622
- Registriert: 07.03.2002 15:23
- Wohnort: schwäbisch gmünd
- Kontaktdaten:
ergo sollte man das hauptproblem lösen, oder? wer in der heutigen zeit auf personenbezogene daten und kennwörter nicht ernst nimmt wird über kurz oder lang sowieso ein problem haben - und phpbb ist dabei sicherlich nicht das schwächste glied in der kette...Das Hauptproblem ist dabei, dass viele User das selbe Login+Kennwort für verschiedenste Foren benutzen. Gerät jemand in das Forum eines ihm nicht wohlgesinnten, können diese Angaben missbraucht werden.
[...]
hmmh - und wie gibt man dann kennwörter ein? ob ich als bad admin den POST abfange oder die verschlüsselung in der db auf klartext zurücksetze macht doch keinen wirklichen unterschied oder? auch single-sign-on loginssysteme ala openid sind dabei übrigens keine wirkliche hilfe (und bieten noch ganz angriffsflächen).Lösungsvorschlag mit Codeanpassung: Das Passwort darf nie sichtbar werden.
