Sicherheit für den Admin

[garfield1909]

Hi!

Ich habe den Junior Admin Mod installiert und der funzt super, dennoch habe ich bemerkt, dass ein Jun Admin ein Profil eines Admins ändern kann

beispiel:
ein jun admin hat die berechtigung profile der user zu ändern, er kann also bei einem admin:
1) löschen (aber dafür gibt es schon einen mod um das zu verhinden)
2) passwort ändern => sich als admin einloggen und dann sich selbst zum admin machen und dann löschen (punkt 1 wäre dann ausgetrickst)
3) email adresse ändern
4) im schlimmsten fall das board administrativ zerstören!!!

Ich finde das ist ein großes sicherheitsleck und kann behoben werden

Kann jemand einen Hack, Mod basteln womit das aufrufen der befugnisse und profil eines users verweigert wird???

Leider kann ich kein PHP, also kann ich mich nicht ans werk machen, aber vielleicht kann ich damit helfen, dass ich mir gedanken gemacht habe, wie so etwas aussehen müsste, sollte, kann

verbesserungsvorschlag für phpbb 2.2
bitte baut im ACP unter BENUTZER einen punkt ein der zum beispiel "benutzer schützen" heißt

unter "Benutzer schützen" verstehe ich, dass man unter diesem punkt beliebig viele user hinzufügen kann und diese dann über das ACP nicht aufgerufen werden können!!!!! (man kann kein profil bzw befugnisse aufrufen)

man kann diese User (sind ja sicher nur leute aus dem team) nur dann aufrufen (profil, befugnisse) wenn man sie kurzfristig aus der "Benutzer schützen" liste entfernt => dann gewünschte änderungen durchführt und nachher wieder in der liste schützt

so ein schutz würde folgende fkt erfüllen:
1) ein admin kann sich schützen vor anderen im team (denn bei einem streit ist alles möglich, und rechte mißbruacht man dann schnell)
2) schutz vor hackern
3) das gesamte team kann geschützt werden

es ist gedacht das wenn jemand "geschützt" ist, nur der besitzer sich selbst im forenmenü punkt "profil" aufrufen kann und dann zusätzlich bei einer änderung des passwortes sowie email adresse das alte bzw aktive passwort angeben muss
(e-mail verständigung bei änderung der daten erforderlich, activation link!!!)
DIESE MAßNAHME nur wenn man in der schutz liste steht erforderlich

ciao
garfield1909

[oxpus]

Warum entziehst Du dem Junior Admin nicht die Rechte auf die Benutzerprofile und andere kritische Module? Kann doch eingestellt werden...

[garfield1909]

weil das ja nicht der sinn dabei ist, der sinn soll ja sein, dass er die user profile editen kann
aber eben bei mir soll es einen schutz geben

ciao
garfield1909

[Gast]

Öhm meinst Du nicht, dass man nur solche Leute zu Admins oder Junior Admins machen sollte, die dieses Amt auch so vertrauensvoll ausführen, dass sie es verdienen, diesen Status zu erhalten ? Ich muss da oxpus völlig Recht geben... Außerdem kannst Du als Hauptadmin immer noch mit dem phpmyadmin alles wieder ändern, so dass Du Dich als Admin wieder einloggen kannst... Regelmäßige Backups tragen dazu noch mehr bei...

[garfield1909]

hi

ja über phpmyadmin kann ich scon hergehn und das rückgängig machen,
aber kannst du garantieren, wenn es zum beispiel einen streit gibt zwischen mir und einem jun admin, dass diese seine rechte nicht vielleicht mißbraucht und daher dann sehr großen schaden anrichten kann??

nur dadurch das eine passwortänderung bei einem admin zulässig ist kann er dann alle einstellungen des forums verstellen beziehungsweise vieles löschen

und so eine situation halte ich nicht für so abwegig

ciao
garfield1909

[Acid]

Es gibt auf www.phpbbhacks.com ein/zwei kleine Hacks, um zu verhindern, das der Hauptadmin gelöscht wird (kann grad nicht nachschauen, such mal nach "admin").
Bezugnehmend auf deinen Thread im 2.1er Diskussionsforum.. so wird es bei 2.2 nicht möglich sein, den "Board Founder" zu löschen.

[oxpus]

Wenn sich ein Streit anbahnt, dann ist es doch wohl das erste, dem Junior Admin alle Rechte zu entziehen. Wie soll das Board sonst geschützt werden können?????

[garfield1909]

1) löschen (aber dafür gibt es schon einen mod um das zu verhinden)

Es gibt auf www.phpbbhacks.com ein/zwei kleine Hacks, um zu verhindern, das der Hauptadmin gelöscht wird (kann grad nicht nachschauen, such mal nach "admin").

diesen mod habe ich schon installiert gehabt und ist unter anderem unter:
http://www.phpbb2.de/dload.php?action=file&file_id=378
zu finden

ciao
garfield1909

wäre es denn schwer in der admin_users.php eine userid anzugeben die dann generell nicht aufgerufen werden kann??

[Schumi]

wäre es denn schwer in der admin_users.php eine userid anzugeben die dann generell nicht aufgerufen werden kann??

Nach

Code: Alles auswählen

$user_id = intval($HTTP_POST_VARS['id']);

folgendes einfügen

Code: Alles auswählen

if ( $user_id == '2' && $userdata['user_id'] != '2' )
		{
			message_die(GENERAL_MESSAGE, $lang['Not_admin'] );
		}

$user_id == '2' gibt an, welche User ID nicht bearbeitet werden darf. $userdata['user_id'] != '2' stellt dabei sicher, dass du selber dein Profil bearbeiten darfst. Die 2 musst du eventuell noch an deine User ID anpassen.

(Ungetestet, sollte aber funktionieren)

[garfield1909]

hi!!!

SUPER DAAANKKKKKKKEEEEEEEEE es funktioniert

das könnte man eventuell als mod veröffentlichen

danke

das wollte ich, denn jetzt kann keiner etwas ändern und ich bin sicher!

ciao
garfield1909