Sicherheits-Lösung

Probleme bei der regulären Arbeiten mit phpBB, Fragen zu Vorgehensweisen oder Funktionsweise sowie sonstige Fragen zu phpBB im Allgemeinen.
Forumsregeln
phpBB 2.0 hat das Ende seiner Lebenszeit überschritten
phpBB 2.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 2.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf phpBB 3.1, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
Antworten
uwe.ha
Mitglied
Beiträge: 838
Registriert: 18.05.2001 02:00

Sicherheits-Lösung

Beitrag von uwe.ha »

Hallo zusammen,

letztens wurde meine Version 2.0.0 gehackt (User bekam Admin-Rechte). Dieses Problem für die Version 2.0.0 war bei Spezialisten und Hackern bekannt.
Und bei mir im footer steht auch noch schön 2.0.0 ... da hat es jeder Hacker ja wunderbar einfach: Suchen nach "phpbb 2.0.0" ... und los geht das freudige hacken der gefundenen Version.

Jetzt habe ich den Hinweis auf die Versionsnummer entfernt ... und hoffe, dass nun nicht mehr so einfach erkannt wird, welche Version vorhanden ist (und wie sie ganz einfach gehackt werden kann) :D

Was haltet Ihr davon, die Versionsnummer zu löschen, macht das Sinn?
Klar, wer unbedingt hacken will, wird es packen ... aber dem "Gelegenheits-Hacker" wird es doch zumindest etwas schwieriger gemacht, oder?

Gruß
Uwe
Nach oben
Benutzeravatar
Foo
Mitglied
Beiträge: 369
Registriert: 11.12.2002 21:01
Wohnort: tiefstes Sauerland
Kontaktdaten:
Kontaktdaten von Foo

Beitrag von Foo »

noch besser wäre ein Update auf eine neuere Version :wink:
In Meiner Signatur war Werbung und sie wurde deshalb gelöscht - Siehe phpBB.de-Knigge
Nach oben
uwe.ha
Mitglied
Beiträge: 838
Registriert: 18.05.2001 02:00

Beitrag von uwe.ha »

Foo Fan hat geschrieben:noch besser wäre ein Update auf eine neuere Version :wink:
Hab ich ja ;-) ... ich sach aber nicht welche :D ... sonst weiß man ja gleich wieder, welche Sicherheitslücken da drin sind :D

Mal im Ernst ... macht das Entfernen der Versionsnummer Sinn, oder steht im Browser-Quelltext diese noch irgendwo drin?
--
Uwe
Nach oben
Acid
Ehrenadmin
Beiträge: 12195
Registriert: 26.04.2001 02:00
Wohnort: Berlin

Beitrag von Acid »

Die Versionsnummer steht u.U. nochmal in der overall_footer.tpl drin.
Nach oben
uwe.ha
Mitglied
Beiträge: 838
Registriert: 18.05.2001 02:00

Beitrag von uwe.ha »

Acid hat geschrieben:Die Versionsnummer steht u.U. nochmal in der overall_footer.tpl drin.
Ai ... genau da habe ich sie doch rausgenommen ... meine Fußzeile lautet nun:
Powered by phpBB © 2001 phpBB Group
--
Uwe
Nach oben
Acid
Ehrenadmin
Beiträge: 12195
Registriert: 26.04.2001 02:00
Wohnort: Berlin

Beitrag von Acid »

<!--
We request you retain the full copyright notice below including the link to www.phpbb.com.
This not only gives respect to the large amount of time given freely by the developers
but also helps build interest, traffic and use of phpBB 2.0. If you cannot (for good
reason) retain the full copyright we request you at least leave in place the
Powered by phpBB {PHPBB_VERSION} line, with phpBB linked to www.phpbb.com. If you refuse
to include even this then support on our forums may be affected.

The phpBB Group : 2002
// -->
..falls das noch in deiner overall_footer.tpl steht, kann man die Versionsnummer noch über den Quelltext sehen.
Nach oben
uwe.ha
Mitglied
Beiträge: 838
Registriert: 18.05.2001 02:00

Beitrag von uwe.ha »

Hi Acid,

was Du zitiert hast ist ja "auskommentiert" (oder wie das heißt) und wird somit nicht angezeigt. Aber genau darunter steht:

Powered by <a href="http://www.phpbb.com/" target="_phpbb" class="copyright">phpBB</a> {PHPBB_VERSION} © 2001 phpBB Group<br />

... und da habe ich das "{PHPBB_VERSION}" gelöscht ... somit wird die Versionsnummer nicht angezeigt.
--
Uwe
Nach oben
Acid
Ehrenadmin
Beiträge: 12195
Registriert: 26.04.2001 02:00
Wohnort: Berlin

Beitrag von Acid »

uwe.hanss hat geschrieben: was Du zitiert hast ist ja "auskommentiert" (oder wie das heißt) und wird somit nicht angezeigt.
Schau dir mal den Quelltext hier von phpbb.de an und scroll beim Quelltext zum Ende der Seite.
Nach oben
uwe.ha
Mitglied
Beiträge: 838
Registriert: 18.05.2001 02:00

Beitrag von uwe.ha »

Moin Acid,

Oh ja, stimmt!
Jetzt habe ich da auch noch das {PHPBB_VERSION} rausgenommen.
--
Uwe
Nach oben
PhilippK
Vorstand
Vorstand
Beiträge: 14662
Registriert: 13.08.2002 14:10
Wohnort: Stuttgart
Kontaktdaten:
Kontaktdaten von PhilippK

Beitrag von PhilippK »

Nun, sicherer macht's das Board kein bischen. Im Zweifel reicht probieren aus...

Gruß, Philipp
Kein Support per PN!
Der Sozialstaat ist [...] eine zivilisatorische Errungenschaft, auf die wir stolz sein können. Aber der Sozialstaat heutiger Prägung hat sich übernommen. Das ist bitter, aber wahr. (Horst Köhler)
Meine Mods
Nach oben
Antworten

Zurück zu „phpBB 2.0: Administration, Benutzung und Betrieb“