Hallo,
sorry wenn dies schonmal gepostet wurde ich habe in der Suche-Funktion nichts passendes gefunden.
Habe wegen dem Heise Artikel nach phpbb gesucht und folgendes gefunden:
Software für Diskussionsforen verrät Hashes von Passwörtern [Update]
http://www.heise.de/newsticker/data/dab-23.06.03-000/
Software für Diskussionsforen verrät Hashes von Passwörtern
Software für Diskussionsforen verrät Hashes von Passwörtern
Greetz Magician
-
NS-6
- Ehemaliges Teammitglied
- Beiträge: 1440
- Registriert: 21.09.2002 13:13
- Wohnort: Bielefeld (NRW)
- Kontaktdaten:
Meine Meinung nach will er damit behaubten das phpBB nicht sicher ist. 
Der Weg ist das Ziel
Lieblingszitat: "Be sure, your Config is Saved and Secure"
Blog von NastorSeriesSix
Lieblingszitat: "Be sure, your Config is Saved and Secure"
Blog von NastorSeriesSix
> Meine Meinung nach will er damit behaubten das phpBB nicht sicher ist.
Wenn überhaupt etwas sicher ist, dann das nichts sicher ist.
> Wird der Fehler im 2.06 behoben sein?
Davon kannst du erstmal ausgehen.
Ok, eine weitere Sicherheitslücke in phpBB, mal wieder code injection die nur auftritt wenn register_globals = On, vielleicht solltet ihr mal dazu übergehen register_globals = Off zu machen. Es ist natürlich ein phpBB Problem, das aber nur auftritt wenn einer so hirnverbrand ist register_globals = On zu verwenden. Mit so einem setting kann man fast nie aussschliessen das irgendwie sql injection möglich ist, hier darf mal wieder phpBB die unfähigkeit der PHP programmierer und die unfähigkeit der user ausbaden die es installieren.
Wenn euer Hoster euch nicht erlaubt register_globals = Off zu setzen, dann schreibt ihm ne mail das er es für euch setzen soll, da Ihr nicht mit den Potienzellen Sicherheitslücken leben könnt. (ja das meine ich ernst).
Testet vorher eure anderen webs ob sie register_globals = On benötigen, wenn ja behebt die probleme. phpBB arbeitet problemlos ohne register_globals daher gibt es keinen grund diese unsichere Einstellung die nur der Rüclkwärts Compat dient beizubehalten.
Ich gehe davon aus das sehr viele diese Sicherhieslückenicht verstehen, daher erkläre ich es mal ein wenig verständlicher.
phpBB speichert das passwort in einem einweg verschlüsselungs verfahren, d.H. eine entschlüsselung ist nur mit _sehr_ hohem aufwand möglich. Durch diese sicherheitslücke kann man Zugriff auf die verschlüsselten passwörter erlangen.
Jens
Wenn überhaupt etwas sicher ist, dann das nichts sicher ist.
> Wird der Fehler im 2.06 behoben sein?
Davon kannst du erstmal ausgehen.
Ok, eine weitere Sicherheitslücke in phpBB, mal wieder code injection die nur auftritt wenn register_globals = On, vielleicht solltet ihr mal dazu übergehen register_globals = Off zu machen. Es ist natürlich ein phpBB Problem, das aber nur auftritt wenn einer so hirnverbrand ist register_globals = On zu verwenden. Mit so einem setting kann man fast nie aussschliessen das irgendwie sql injection möglich ist, hier darf mal wieder phpBB die unfähigkeit der PHP programmierer und die unfähigkeit der user ausbaden die es installieren.
Wenn euer Hoster euch nicht erlaubt register_globals = Off zu setzen, dann schreibt ihm ne mail das er es für euch setzen soll, da Ihr nicht mit den Potienzellen Sicherheitslücken leben könnt. (ja das meine ich ernst).
Testet vorher eure anderen webs ob sie register_globals = On benötigen, wenn ja behebt die probleme. phpBB arbeitet problemlos ohne register_globals daher gibt es keinen grund diese unsichere Einstellung die nur der Rüclkwärts Compat dient beizubehalten.
Ich gehe davon aus das sehr viele diese Sicherhieslückenicht verstehen, daher erkläre ich es mal ein wenig verständlicher.
phpBB speichert das passwort in einem einweg verschlüsselungs verfahren, d.H. eine entschlüsselung ist nur mit _sehr_ hohem aufwand möglich. Durch diese sicherheitslücke kann man Zugriff auf die verschlüsselten passwörter erlangen.
Jens
Das größte Sicherheitsloch sitzt sowieso meist vor dem PC... 
Gruß, Philipp
Gruß, Philipp
Kein Support per PN!
Der Sozialstaat ist [...] eine zivilisatorische Errungenschaft, auf die wir stolz sein können. Aber der Sozialstaat heutiger Prägung hat sich übernommen. Das ist bitter, aber wahr. (Horst Köhler)
Meine Mods
Der Sozialstaat ist [...] eine zivilisatorische Errungenschaft, auf die wir stolz sein können. Aber der Sozialstaat heutiger Prägung hat sich übernommen. Das ist bitter, aber wahr. (Horst Köhler)
Meine Mods
mehr dazu hier:
http://de.php.net/registerglobals
Was man auch machen kann (wenn der Hoster es erlaubt und man den Apache benutzt):
Eine .htaccess im Directory Root erstellen:
http://de.php.net/registerglobals
Was man auch machen kann (wenn der Hoster es erlaubt und man den Apache benutzt):
Eine .htaccess im Directory Root erstellen:
Code: Alles auswählen
php_value register_globals 0-
Gast
