IP Blocking
Forumsregeln
phpBB 3.0 hat das Ende seiner Lebenszeit überschritten
phpBB 3.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 3.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf die neuste phpBB-Version, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
phpBB 3.0 hat das Ende seiner Lebenszeit überschritten
phpBB 3.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 3.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf die neuste phpBB-Version, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
IP Blocking
Hallo,
Gibt es schon einen MOD, mit dem jeder User möglichst in seinem Profil selber einstellen kann, ob er eine IP-Blocking aktivieren will oder nicht. Wenn diese Option aktiviert ist, sollte seine aktuelle IP in der Datenbank gespeichert werden und bei jedem Anmelden mit der IP verglichen werden. Wenn die IP nicht mehr übereinstimmt (beispielsweise 66.812.**.** - wenn das nicht übereinstimmt), soll der Account automatisch deaktiviert werden und eine Aktivierungsmail an den Benutzer geschickt werden!
Wenn es das noch nicht gibt werde ich mich wohl selber ranmachen müssen ...
Und: Was könnte man sonst noch alles hinzufügen, um es Hackern zu erschweren, Foren-Accounts zu knacken?
Ich hatte z.B. auch noch daran gedacht, dass man beim Setzen eines neuen Passworts das noch per E-Mail bestätigen muss ... gibts da schon etwas?
Gibt es schon einen MOD, mit dem jeder User möglichst in seinem Profil selber einstellen kann, ob er eine IP-Blocking aktivieren will oder nicht. Wenn diese Option aktiviert ist, sollte seine aktuelle IP in der Datenbank gespeichert werden und bei jedem Anmelden mit der IP verglichen werden. Wenn die IP nicht mehr übereinstimmt (beispielsweise 66.812.**.** - wenn das nicht übereinstimmt), soll der Account automatisch deaktiviert werden und eine Aktivierungsmail an den Benutzer geschickt werden!
Wenn es das noch nicht gibt werde ich mich wohl selber ranmachen müssen ...
Und: Was könnte man sonst noch alles hinzufügen, um es Hackern zu erschweren, Foren-Accounts zu knacken?
Ich hatte z.B. auch noch daran gedacht, dass man beim Setzen eines neuen Passworts das noch per E-Mail bestätigen muss ... gibts da schon etwas?
Arrivederci Google! ------> bing!.com
Sportwetten: BWIN.de - Geld verdienen im Internet - Geld verdienen von zu hause
Sportwetten: BWIN.de - Geld verdienen im Internet - Geld verdienen von zu hause
Re: IP Blocking
zb: nach 2 fehlversuchen das login für den user für x minuten sperren.um es Hackern zu erschweren, Foren-Accounts zu knacken?
ist schon standardmäßig im acp einzustellen.
da wird hacken schnell langweilig.
auf phpbb.com machen sie es schon nach einem fehlversuch so,
das neben dem passwort noch ein captcha eingegeben werden muss.
gibt da eine menge möglichkeiten, das hacken mit teils verblüffend einfachen methoden quasie-unmöglich zu machen.
dann logg ich mich mal vom kumpel aus ein und kann dann nicht mehr am foren-geschehen teilnehmen?Wenn die IP nicht mehr übereinstimmt (beispielsweise 66.812.**.** - wenn das nicht übereinstimmt), soll der Account automatisch deaktiviert werden
ist ziemlich unpraktikabel.
Re: IP Blocking
zum 1. welche möglichkeiten, beispielsweise?4seven hat geschrieben:gibt da eine menge möglichkeiten, das hacken mit teils verblüffend einfachen methoden quasie-unmöglich zu machen.
[..]
dann logg ich mich mal vom kumpel aus ein und kann dann nicht mehr am foren-geschehen teilnehmen?
ist ziemlich unpraktikabel.
zum 2. ich würde das ganze ja auch so einrichten, dass das standard-mässig deaktiviert wäre und - wenn man zusätzliche sicherheit will - diese funktion in seinem profil aktivieren kann.
Arrivederci Google! ------> bing!.com
Sportwetten: BWIN.de - Geld verdienen im Internet - Geld verdienen von zu hause
Sportwetten: BWIN.de - Geld verdienen im Internet - Geld verdienen von zu hause
Re: IP Blocking
hier mal ein ganz einfaches beispiel mit ziemlich hoher wirksamkeit.
ich nenne es "russen-login":
vor das eigentlich login, dessen variablen angepasst werden (index > index1 - prinzip) wird eine seite vorgeschaltet, die vollständig die echte login-seite abbildet. wird hier irgendetwas eingegeben, wird sofort die ip gesperrt, da die "echten members" natürlich wissen, das sie dieses feld leer lassen müssen. wird es leer gelassen, geht es zur optisch vollständig identischen zweiten, aber echten login-seite. hier gibt es dann die standard-lösung (2 mal login falsch > 30 min login-stop). verfeinerte lösung: rollierend wird auf der fake-loginseite ein benutzername/passwort abgefragt, das global für alle gilt. dieses wird per random wöchentlich generiert und den usern automatisch via pn mitgeteilt, natürlich mit gebührendem abstand vor der wirksamkeit. positiver ermittlungs-nebeneffekt: wird diese fake-seiten-kombination korrekt eingegeben und dennoch beim login versucht zu hacken, gibt es einen "schläfer mit insider-wissen" (komplize oder hacker eines mitglieds > klient-seits) oder es ist ein mitglied selbst. in dem falle logging. usw usw. - da ich aus der sec. branche komme, werd ich jetzt nicht alle insider-tricks(!) verraten, kann aber gerne solche *pardon "hausfrauen-tips" geben.
ich nenne es "russen-login":
vor das eigentlich login, dessen variablen angepasst werden (index > index1 - prinzip) wird eine seite vorgeschaltet, die vollständig die echte login-seite abbildet. wird hier irgendetwas eingegeben, wird sofort die ip gesperrt, da die "echten members" natürlich wissen, das sie dieses feld leer lassen müssen. wird es leer gelassen, geht es zur optisch vollständig identischen zweiten, aber echten login-seite. hier gibt es dann die standard-lösung (2 mal login falsch > 30 min login-stop). verfeinerte lösung: rollierend wird auf der fake-loginseite ein benutzername/passwort abgefragt, das global für alle gilt. dieses wird per random wöchentlich generiert und den usern automatisch via pn mitgeteilt, natürlich mit gebührendem abstand vor der wirksamkeit. positiver ermittlungs-nebeneffekt: wird diese fake-seiten-kombination korrekt eingegeben und dennoch beim login versucht zu hacken, gibt es einen "schläfer mit insider-wissen" (komplize oder hacker eines mitglieds > klient-seits) oder es ist ein mitglied selbst. in dem falle logging. usw usw. - da ich aus der sec. branche komme, werd ich jetzt nicht alle insider-tricks(!) verraten, kann aber gerne solche *pardon "hausfrauen-tips" geben.
Re: IP Blocking
Alles klar, das sind alles sehr gute Ansätze, die allerdings bei "Normalforenbesitzer" kaum durchführbar sind - einerseits nur schon vom administrativen Aufwand her, ist es doch auch auch für die Benutzer etwas mühsam ..
IP Blocking werde ich mir dann wohl selber langfristig bauen müssen. Noch eine etwas andere Frage zu dem Thema: Meine phpbb_sessions füllt sich immer weiter und die Einträge scheinen sich nicht automatisch zu löschen - weiss jemand von euch, in welcher Datei/welchen Dateien die automatische Löschung von Einträgen in der _sessions - Tabelle und evtl. auch in der _sessions_keys - Tabelle festgelegt sind?
Ausserdem steht noch eine Frage aus dem 1. Post:
IP Blocking werde ich mir dann wohl selber langfristig bauen müssen. Noch eine etwas andere Frage zu dem Thema: Meine phpbb_sessions füllt sich immer weiter und die Einträge scheinen sich nicht automatisch zu löschen - weiss jemand von euch, in welcher Datei/welchen Dateien die automatische Löschung von Einträgen in der _sessions - Tabelle und evtl. auch in der _sessions_keys - Tabelle festgelegt sind?
Ausserdem steht noch eine Frage aus dem 1. Post:
Vielen Dank!Ich hatte z.B. auch noch daran gedacht, dass man beim Setzen eines neuen Passworts das noch per E-Mail bestätigen muss ... gibts da schon etwas?
Arrivederci Google! ------> bing!.com
Sportwetten: BWIN.de - Geld verdienen im Internet - Geld verdienen von zu hause
Sportwetten: BWIN.de - Geld verdienen im Internet - Geld verdienen von zu hause
Re: IP Blocking
mE nicht. allerdings meine ich mich zu erinenrn, das es in einigen boards sogar standard ist *grübel.gibts da schon etwas?
dann kommt eine rückmail a la:
"ihr passwort soll zurückgesetzt werden. haben sie das selbst veranlasst?
falls ja, klicken sie auf nachstehenden link - falls nein, wird die zurücksetzung ignoriert"
Re: IP Blocking
Genau, das ist eine wertvolle Sicherheitsergänzung.
Ich habe grad einmal nachgeschaut, eigentlich müsste die Funktion ja schon vorhanden sein - siehe: language/de/email/user_activate_passwd.txt
Nur wo lässt sie sich aktivieren?
Ich habe grad einmal nachgeschaut, eigentlich müsste die Funktion ja schon vorhanden sein - siehe: language/de/email/user_activate_passwd.txt
Nur wo lässt sie sich aktivieren?
Arrivederci Google! ------> bing!.com
Sportwetten: BWIN.de - Geld verdienen im Internet - Geld verdienen von zu hause
Sportwetten: BWIN.de - Geld verdienen im Internet - Geld verdienen von zu hause
Re: IP Blocking
Moin,
das ist die Mail für ein angefordertes neues Passwort. Die kommt wenn Du beim Anmelden anklickst "Ich habe mein Passwort vergessen". Dann musst Du Deinen Benutzernamen und Deine E-Mail angeben und bekommst diese Mail. Es ist aber ein zufällig generiertes Passwort. Das ist zwar schon in der users-Tabelle gespeichert, aber bis Du es mit dem Link in der Mail aktivierst, funktioniert noch Dein altes (vergessenes) Passwort.
Wenn man selber (eingeloggt) sein Passwort ändert kommt diese Mail nicht.
das ist die Mail für ein angefordertes neues Passwort. Die kommt wenn Du beim Anmelden anklickst "Ich habe mein Passwort vergessen". Dann musst Du Deinen Benutzernamen und Deine E-Mail angeben und bekommst diese Mail. Es ist aber ein zufällig generiertes Passwort. Das ist zwar schon in der users-Tabelle gespeichert, aber bis Du es mit dem Link in der Mail aktivierst, funktioniert noch Dein altes (vergessenes) Passwort.
Wenn man selber (eingeloggt) sein Passwort ändert kommt diese Mail nicht.
Meine SQL-Statements sind immer ohne Tabellen-Prefix. Also ggf. "phpbb_" oder Euer Prefix einfügen.
KEIN Support auf unaufgeforderte PN
KEIN Support auf unaufgeforderte PN
Re: IP Blocking
Stimmt wohl, danke für den Hinweis
Dann bräuchte es halt doch ein MOD, oder ich muss selber ran.
Einfach zu konstruiren wäre das folgende:
Wenn jemand sein PW ändern will, wird er automatisch ausgeloggt und sein Account gesperrt - gleichzeitig wird eine Mail mit dem Aktivierungslink (language/de/email/user_activate_passwd.txt - mit Hinweis auf die Passwortänderung) an seine Mailadresse geschickt. Wenn er nun diesen Aktivierungslink klickt, wäre er wieder freigeschaltet und gleichzeitig wäre auch sein Passwort geändert.
Wie hört sich das an?
Dann bräuchte es halt doch ein MOD, oder ich muss selber ran.
Einfach zu konstruiren wäre das folgende:
Wenn jemand sein PW ändern will, wird er automatisch ausgeloggt und sein Account gesperrt - gleichzeitig wird eine Mail mit dem Aktivierungslink (language/de/email/user_activate_passwd.txt - mit Hinweis auf die Passwortänderung) an seine Mailadresse geschickt. Wenn er nun diesen Aktivierungslink klickt, wäre er wieder freigeschaltet und gleichzeitig wäre auch sein Passwort geändert.
Wie hört sich das an?
Arrivederci Google! ------> bing!.com
Sportwetten: BWIN.de - Geld verdienen im Internet - Geld verdienen von zu hause
Sportwetten: BWIN.de - Geld verdienen im Internet - Geld verdienen von zu hause
Re: IP Blocking
hört sich erstmal gut an