IP Blocking

[Napoli]

Hallo,
Gibt es schon einen MOD, mit dem jeder User möglichst in seinem Profil selber einstellen kann, ob er eine IP-Blocking aktivieren will oder nicht. Wenn diese Option aktiviert ist, sollte seine aktuelle IP in der Datenbank gespeichert werden und bei jedem Anmelden mit der IP verglichen werden. Wenn die IP nicht mehr übereinstimmt (beispielsweise 66.812.**.** - wenn das nicht übereinstimmt), soll der Account automatisch deaktiviert werden und eine Aktivierungsmail an den Benutzer geschickt werden!

Wenn es das noch nicht gibt werde ich mich wohl selber ranmachen müssen ...

Und: Was könnte man sonst noch alles hinzufügen, um es Hackern zu erschweren, Foren-Accounts zu knacken?
Ich hatte z.B. auch noch daran gedacht, dass man beim Setzen eines neuen Passworts das noch per E-Mail bestätigen muss ... gibts da schon etwas?

[4seven]

um es Hackern zu erschweren, Foren-Accounts zu knacken?

zb: nach 2 fehlversuchen das login für den user für x minuten sperren.
ist schon standardmäßig im acp einzustellen.
da wird hacken schnell langweilig.

auf phpbb.com machen sie es schon nach einem fehlversuch so,
das neben dem passwort noch ein captcha eingegeben werden muss.

gibt da eine menge möglichkeiten, das hacken mit teils verblüffend einfachen methoden quasie-unmöglich zu machen.

Wenn die IP nicht mehr übereinstimmt (beispielsweise 66.812.**.** - wenn das nicht übereinstimmt), soll der Account automatisch deaktiviert werden

dann logg ich mich mal vom kumpel aus ein und kann dann nicht mehr am foren-geschehen teilnehmen?
ist ziemlich unpraktikabel.

[Napoli]

gibt da eine menge möglichkeiten, das hacken mit teils verblüffend einfachen methoden quasie-unmöglich zu machen.

[..]

dann logg ich mich mal vom kumpel aus ein und kann dann nicht mehr am foren-geschehen teilnehmen?
ist ziemlich unpraktikabel.

zum 1. welche möglichkeiten, beispielsweise?

zum 2. ich würde das ganze ja auch so einrichten, dass das standard-mässig deaktiviert wäre und - wenn man zusätzliche sicherheit will - diese funktion in seinem profil aktivieren kann.

[4seven]

hier mal ein ganz einfaches beispiel mit ziemlich hoher wirksamkeit.

ich nenne es "russen-login":

vor das eigentlich login, dessen variablen angepasst werden (index > index1 - prinzip) wird eine seite vorgeschaltet, die vollständig die echte login-seite abbildet. wird hier irgendetwas eingegeben, wird sofort die ip gesperrt, da die "echten members" natürlich wissen, das sie dieses feld leer lassen müssen. wird es leer gelassen, geht es zur optisch vollständig identischen zweiten, aber echten login-seite. hier gibt es dann die standard-lösung (2 mal login falsch > 30 min login-stop). verfeinerte lösung: rollierend wird auf der fake-loginseite ein benutzername/passwort abgefragt, das global für alle gilt. dieses wird per random wöchentlich generiert und den usern automatisch via pn mitgeteilt, natürlich mit gebührendem abstand vor der wirksamkeit. positiver ermittlungs-nebeneffekt: wird diese fake-seiten-kombination korrekt eingegeben und dennoch beim login versucht zu hacken, gibt es einen "schläfer mit insider-wissen" (komplize oder hacker eines mitglieds > klient-seits) oder es ist ein mitglied selbst. in dem falle logging. usw usw. - da ich aus der sec. branche komme, werd ich jetzt nicht alle insider-tricks(!) verraten, kann aber gerne solche *pardon "hausfrauen-tips" geben.

[Napoli]

Alles klar, das sind alles sehr gute Ansätze, die allerdings bei "Normalforenbesitzer" kaum durchführbar sind - einerseits nur schon vom administrativen Aufwand her, ist es doch auch auch für die Benutzer etwas mühsam ..

IP Blocking werde ich mir dann wohl selber langfristig bauen müssen. Noch eine etwas andere Frage zu dem Thema: Meine phpbb_sessions füllt sich immer weiter und die Einträge scheinen sich nicht automatisch zu löschen - weiss jemand von euch, in welcher Datei/welchen Dateien die automatische Löschung von Einträgen in der _sessions - Tabelle und evtl. auch in der _sessions_keys - Tabelle festgelegt sind?
Ausserdem steht noch eine Frage aus dem 1. Post:

Ich hatte z.B. auch noch daran gedacht, dass man beim Setzen eines neuen Passworts das noch per E-Mail bestätigen muss ... gibts da schon etwas?

Vielen Dank!

[4seven]

gibts da schon etwas?

mE nicht. allerdings meine ich mich zu erinenrn, das es in einigen boards sogar standard ist *grübel.
dann kommt eine rückmail a la:
"ihr passwort soll zurückgesetzt werden. haben sie das selbst veranlasst?
falls ja, klicken sie auf nachstehenden link - falls nein, wird die zurücksetzung ignoriert"

[Napoli]

Genau, das ist eine wertvolle Sicherheitsergänzung.
Ich habe grad einmal nachgeschaut, eigentlich müsste die Funktion ja schon vorhanden sein - siehe: language/de/email/user_activate_passwd.txt

Nur wo lässt sie sich aktivieren?

[Dufftown]

Moin,


das ist die Mail für ein angefordertes neues Passwort. Die kommt wenn Du beim Anmelden anklickst "Ich habe mein Passwort vergessen". Dann musst Du Deinen Benutzernamen und Deine E-Mail angeben und bekommst diese Mail. Es ist aber ein zufällig generiertes Passwort. Das ist zwar schon in der users-Tabelle gespeichert, aber bis Du es mit dem Link in der Mail aktivierst, funktioniert noch Dein altes (vergessenes) Passwort.
Wenn man selber (eingeloggt) sein Passwort ändert kommt diese Mail nicht.

[Napoli]

Stimmt wohl, danke für den Hinweis

Dann bräuchte es halt doch ein MOD, oder ich muss selber ran.

Einfach zu konstruiren wäre das folgende:
Wenn jemand sein PW ändern will, wird er automatisch ausgeloggt und sein Account gesperrt - gleichzeitig wird eine Mail mit dem Aktivierungslink (language/de/email/user_activate_passwd.txt - mit Hinweis auf die Passwortänderung) an seine Mailadresse geschickt. Wenn er nun diesen Aktivierungslink klickt, wäre er wieder freigeschaltet und gleichzeitig wäre auch sein Passwort geändert.

Wie hört sich das an?

[4seven]

hört sich erstmal gut an