Wir haben in unserem Forum seit geraumer Zeit ein Problem.
Das Forum hat einen geschlossenen Bereich, den eigentlich nur eine bestimmte Gruppe einsehen kann. Die allgemeinen angemeldeten Forumsmitglieder können den Bereich nicht sehen.
Nun kommt es aber immer wieder mal vor, dass diese Zugriff auf dortige Beiträge haben (wie auch immer). Die Kontrolle der Benutzerrechte hat ergeben, dass diese keine Rechte darauf haben. Hat jemand eine Erklärung, wie so eine Sicherheitslücke im phpBB entstehen kann?
Ich kenne es von einigen CMS, dass private und versteckte Bereich über Suchmaschinen entdeckt werden. Wenn ich dieses auf nur für registrierte Benutzer setze, ist das Problem beseitigt. Gibt es im phpBB ähnliche Einstellungen.
Ich bin im Forum zwar nicht der technische Admin, sondern mache dort nur die Freischaltungen. Aber wir stehen da alle vor dem Rätsel. Ein Update Ende letzten Jahres hat den Anschein gemacht, dass das Problem mit der Sicherheitslücke behoben ist. Heute hatten wir aber wieder so ein Problem.
Geschlossener Bereich öffentlich
Forumsregeln
phpBB 3.0 hat das Ende seiner Lebenszeit überschritten
phpBB 3.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 3.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf die neuste phpBB-Version, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
phpBB 3.0 hat das Ende seiner Lebenszeit überschritten
phpBB 3.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 3.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf die neuste phpBB-Version, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
-
FastAsASnail
- Mitglied
- Beiträge: 2
- Registriert: 07.02.2012 21:59
-
WileCoyote
- Mitglied
- Beiträge: 901
- Registriert: 13.07.2011 07:38
- Wohnort: Österreich
Re: Geschlossener Bereich öffentlich
Hi,
das ist kein Bug, da habt ihr mit Sicherheit etwas bei den Rechten verbaselt.
Checkt mal, ob:
- der Gast-Benutzer keinen Zugriff hat
- die Bots keinen Zugriff haben
- die Registrierten Benutzer keinen Zugang haben
Und dann:
- nur Zugang für die Gruppe, die dort Zugang haben soll.
https://www.phpbb.de/kb/rechte_verfolgen
das ist kein Bug, da habt ihr mit Sicherheit etwas bei den Rechten verbaselt.
Checkt mal, ob:
- der Gast-Benutzer keinen Zugriff hat
- die Bots keinen Zugriff haben
- die Registrierten Benutzer keinen Zugang haben
Und dann:
- nur Zugang für die Gruppe, die dort Zugang haben soll.
https://www.phpbb.de/kb/rechte_verfolgen
-
mad-manne
- Ehemaliges Teammitglied
- Beiträge: 5403
- Registriert: 18.03.2005 10:00
- Wohnort: Marl im Ruhrgebiet
Re: Geschlossener Bereich öffentlich
Wie kommt ihr denn zu der Annahme, daß die unberechtigten Benutzer darauf Zugriff haben??FastAsASnail hat geschrieben:Nun kommt es aber immer wieder mal vor, dass diese Zugriff auf dortige Beiträge haben (wie auch immer).
Könnte dieser KB-Artikel evtl. des Rätsels Lösung sein?
KB:gast_pn
Gruss,
Manne.
Try not. Do or do not. There is no try. (YODA)
Supportanfragen via E-Mail oder PN werden ignoriert
Supportanfragen via E-Mail oder PN werden ignoriert
-
FastAsASnail
- Mitglied
- Beiträge: 2
- Registriert: 07.02.2012 21:59
Re: Geschlossener Bereich öffentlich
Die Sache hat sich offensichtlich geklärt. Die allgemeinen User hatten über den direkten Weg keine Möglichkeit den Bereich von einem gesperrten bereich zu sehen. Über die Suchfunktion (Beiträge einzelner Mitglieder) war es jedoch möglich, dass unberechtige User in den geschlossenen Bereich gelangen konnten (hierüber hatten sie keine gesperrten Leserechte).
Kann somit eine ungewollte "Sicherheitslücke" entstehen, die nicht auffällt. Ist uns nur aufgefallen, als irgendwann jemand Bezug auf einen Eintrag genommen hat, den er eigentlich hätte nicht lesen können. Dann ist auch davon auszugehen, dass hier Suchmaschinen in diese Bereiche gelangen können. Somit könnten dann ja auch Bilder öffentlich werden, die für diese nicht bestimmt ist.
Also immer schön aufpassen ... "BigBrother is watching you!"
Kann somit eine ungewollte "Sicherheitslücke" entstehen, die nicht auffällt. Ist uns nur aufgefallen, als irgendwann jemand Bezug auf einen Eintrag genommen hat, den er eigentlich hätte nicht lesen können. Dann ist auch davon auszugehen, dass hier Suchmaschinen in diese Bereiche gelangen können. Somit könnten dann ja auch Bilder öffentlich werden, die für diese nicht bestimmt ist.
Also immer schön aufpassen ... "BigBrother is watching you!"
