Probleme mit einigen Mods

MarinS · Beitrag von **MarinS** » 01.08.2005 23:20

Hallo !

Ich nutze die phpBB Orion Forensoftware und einige darin verbaute MODs weisen Probleme auf, die die Sicherheit meiner Seite beeinträchtigen.

Da cback (Herausgeber des Orion) diese MODs nicht geschrieben, sondern lediglich eingebaut hat, verweigert er jeden Support und löscht hinweisende Posts meines Co-Admins.
Wie kann ich mein Board trotzdem absichern ?

Es geht um folgendes:

In das Forum wurde ein Passwortschutz eingebaut, mit dem der Zugang zu einzelnen Foren untersagt werden kann. Dieser MOD ist mir sehr wichtig, da für meine Zwecke die Gruppenberechtigungen keine Lösung sind. Ich brauche genau diesen MOD !!

Problem:
Klickt man auf dem Forenindex auf den Titel des letzten Beitrags ist man drin im Forum. Ohne jede Passwortabfrage.

Noch ein Problem:
Passwörter müssen doppelt eingegeben werden, was angeblich ein BruteForce Schutz sei. Mich nervts aber einfach nur und ich hätte das gerne anders geregelt.

Des weiteren ist ja in den aktuellen phpbb Versionen eine Adminsession integriert, die den Zugriff auf das ACP regelt. (Der doppelte Login sozusagen)
Im Orion ist der Supermoderator MOD enthalten und den hätte ich gerne genauso gesichert, da meine Supermoderatoren gleichzeitig meine CoAdmins sind und jede Menge Befugnisse haben.
Bei mir kann ein Angreifer mit einem Supermod Account im Moment mehr anfangen als mit einem Admin Account

Ich weiss, dass ich mit einem Premodded Forum eigentlich auch auf den Support des Herausgebers angewiesen bin, doch da die Posts dort gelöscht werden, hoffe ich hier Hilfe zu finden.
Wenn ihr keine Antworten habt, kennt ihr vielleicht die MODs und könnt mir sagen wo ich die Autoren der MODs finde ?

Vielen Dank !

cback · Beitrag von **cback** » 01.08.2005 23:41

Sagen wir mal so wenn er anständig fragt ohne Fäkalwörter die gegen meine Foren Rules verstoßen, dann kriegt er auch support, genau wie alle anderen zufriedenen Nutzer ebenfalls.

Ansonsten:

Von wegen Sicherheitsprobleme. Wenn Du einmal PW eingegeben hast wirste natürlich als autorisiert gespeichert. Desweiteren wird wegen der neuen Gruppenbefugnis der PW-Geschützte Foren Mod sowieso in der kommenden Version nicht mehr im Paket walten.

Zum Super-Moderator Mod: Versuch doch mal ohne Befugnis reinzukommen. Schwer was? Das zauberwort heißt nämlich Login Protector. Und wenn jemand sich einloggen kann, dann ist er im Besitz des echten Passwortes und ob er das dann ein oder zweimal eingeben muss is sicherlich egal ne? Erst mal gucken welche Technik für die Sicherheit eingesetzt wird. Ansonsten: .htaccess

Orion ist ein auf Sicherheit konzepiertes Board mit regelmäßigen Updates, Patchfiles etc. also stell hier keine solchen Behauptungen auf.

doch da die Posts dort gelöscht werden

Ein nicht sonderlich gut formulierter. Rules lesen, fragen, dann support.

DerEine · Beitrag von **DerEine** » 01.08.2005 23:44

Hey Schlaumeier!

Programmier Dir doch selbst ein Forum!

Und anstatt über CBack hier herzuziehen, solltest Du vielleicht mal etwas an Deiner Ausdruckweise "feilen". Du hast ja leider vergessen hier zu erwähnen warum Dein Beitrag gelöscht wurde.

So viel mum zur Wahrheit sollte man aber schon haben in meinem Augen

MarinS · Beitrag von **MarinS** » 02.08.2005 00:08

Orion ist ein auf Sicherheit konzepiertes Board

Das macht die Sache noch schlimmer. Ich habe erstmal komisch geguckt, als unbefugte User in einem passwortgeschützten Forum mitlasen.

In diesem Fall gaukelt das Forum Sicherheit vor, wo keine ist!! Und den Hinweis im Supportboard einfach zu löschen ist nicht richtig!! So ein Fehler muss imo bekannt gemacht werden. Wieviele verlassen sich auf den Schutz und haben noch gar nicht gemerkt, dass Hinz und Kunz mitlesen?

Und wenn jemand sich einloggen kann, dann ist er im Besitz des echten Passwortes

Welchen Sinn hat dann der zweite Login ins Admin Panel ? Wenn ich die Technik so durchschauen würde, wie du es wünscht, dann würde ich es selber programmieren. Die "Schlaumeier" sitzen in diesem Fall nicht an diesem Ende der Leitung!

Fäkalwörter

Als ich den Post las, hab ich keine bemerkt. Bitte um Zitat.

solltest Du vielleicht mal etwas an Deiner Ausdruckweise "feilen". Du hast ja leider vergessen hier zu erwähnen warum Dein Beitrag gelöscht wurde.

Wie gesagt, ich habe keine solchen Wörter in dem Post gefunden.
Ausserdem stammt der Post nicht von mir, meine Ausdrucksweise hat damit also rein gar nichts zu tun.
Nebenbei bemerkt hätte man auch die Ausdrücke editieren können.
Warum verschwindet ein kompletter Beitrag ?

Ich will mein Problem gelöst haben, mehr nicht. Wenn ich selber ein Forum programmieren könnte würde ich es tun. Da ich von cback anscheinend keine Hilfe zu erwarten habe, stelle ich meine Fragen nun hier. Das hat mit "Schlaumeier" und "herziehen" nichts zu tun.

cback · Beitrag von **cback** » 02.08.2005 00:17

Hm denk doch drüber wie Du willst, wechsle von mir aus. Jedenfalls die über 1000 Nutzer die sich über die schnellen Updates freuen, über die Fixes die gemacht werden sobald sie draußen sind. Achja und nicht zu vergessen die User die seit es das Board gibt bei mir immer schnellen und netten Support erhalten wenn sie richtig fragen (siehe etliche Beiträge z.B) dann kriegst Du auch Support.

Wenns nur dein Co Admin war, dann kannst Du gerne diese Fragen anständig bei mir stellen. Nur sag mir mal (hab nur ein Mülleimer Forum) wie Entwickler auf eine solche Postweise reagieren. Ich werde mal teile zitieren:

[...]

Ist ja auch egal, damals hattest du (cback) gesagt das es so sein muss da es ein Brute Force Schutz ist, was ich mir ehrlich gesagt immernoch nicht so ganz vorstellen kann.

[...]

aber kann das sein das Mod einfach nur bischen falsch eingebaut wurde?

[...]

Bin auf deine Anwort gespannt
Greetz Flo

Edit:

[...]

wobei mir aufgefallen ist das das Board heute Scheißlangsam ist

[...]

Außerdem liegen noch statistiken vor welche die sicherheit demonstrieren bzw. Du kannst es bei Dir ja auch gerne selber austesten.

Aber wie gesagt:
Wer mir die Frage ohne unterstellungen und so dingen stellt, bekommt wie das bei mir üblich ist auch eine Antwort. Und dein Co Admin is auch schon mal im Firefox Thread mti nem anderen "positiv" aufgefallen, vielleicht solltest Du die Fragen dann in die Hand nehmen bevor Du hier gerüchte verbreitest?

EoD

Frag anständig, dann helf ich. So dürfte ich auch eigentlich bekannt sein.

Herrjeh, da opfert man unzählige Freizeit, kraft und hilfsbereitschaft und reisst sich sonst was auf und dann sowas. *kopfschüttel* Schade wie heutzutage von einigen gedankt wird.

Kellergeist2 · Beitrag von **Kellergeist2** » 02.08.2005 00:26

Der Ton macht die Musik.
Bei der Art und Weise, wie du hier über CBACK herziehst und seine Arbeit schlechtmachst würde ich dir auch jegliche Unterstützung verweigern.

Auch CBACK ist nur ein Mensch, der Fehler macht, und wenn es sich dabei um Fehler anderer Mod-Autoren handelt, hat er sie nicht zu verantworten, würde sich aber sicher - bei angemessenem Tonfall - bereiterklären, die Autoren über Sicherheitslücken zu informieren.
Wobei ich mir vorstellen könnte, dass er sie bei echten Sicherheitslücken sogar in deinem Fall meldet, nur wird er es dir dann nicht verraten.

Wenn du mal schauen würdest, wieviele Updates es für ORION NG gibt, dann kann man schon davon ausgehen, dass CBACK für die Sicherheit "seines" Produktes geradesteht und alles tut, was in seiner Macht steht.
Er schreibt die Mods nicht, sondern baut sie nur ein, das hast du schon ganz richtig erkannt. Er kümmert sich aber darum, die Autoren über Sicherheitslücken zu informieren und entsprechende Updates umgehend in "sein" Paket ORION NG einzupflegen.
Ich kenne kein Pre-Modded phpBB Board, welches soviele Updates erhält, wie das ORION NG.

Also bitte zukünftig etwas vorsichtiger mit deinen Aussagen.
Ich kenne zwar den Beitrag deines Co-Admins nicht, aber anscheinend ist er wohl etwas ausfallend geworden. Du solltest ihn mal darauf ansprechen, dass er nur dann freundlich behandelt wird, wenn er auch freundlich ist. So läuft das nunmal in der menschlichen Gesellschaft.

MarinS · Beitrag von **MarinS** » 02.08.2005 01:00

Naja, ich finde den Post gar nicht so schlimm. Das Wort im PS hätte nicht sein müssen, das geb ich zu. Aber so einen Beitrag gleich löschen?

Lange Rede, kurzer Sinn: Der Fehler ist da und über 999 Nutzer wissen davon immernoch nichts.

Ich werde dann meinetwegen meine Supportanfragen selber stellen, in der Hoffnung die Probleme in den Griff zu bekommen und andere auf die Risiken bei der Verwendung der Passwortschutzfunktion hinzuweisen.

Wie cback so schön sagte
EoD.

cback · Beitrag von **cback** » 02.08.2005 01:36

Sagen wirs mal so:

Ich denke Du bist Admin ne? Admin darf ja an dem PW vorbei. Sodele nun habe ich das mal in einer frischen Installation von Orion New Generation 1.9.3 nachgestellt:

Ich lege ein Forum an, schütze es per Passwort. Gehe nun über einen normalen Benutzeraccount hinein (in dem PW geschütztzen Forum sind schon neue Posts). Da der Passwortschutz unabhängig vom Befugnissystem läuft seh ich in den Last Topics die Thementitel, logisch. Klicke ich drauf: "PASSWORT EINGEBEN BITTE". Wie es also sein sollte.

Ach doch kein Bug was? Ich kann das Thema ohne Passwort nicht lesen, egal wie ich in die Themenansicht will. Aber wie gesagt wegen den "private" möglichkeiten im Befugnissystem stand dieser Mod eh auf der Abschussliste. Kannst ja z.B Moderatoren zuweisen oder ein Forum per "Private" verstecken und nur gewissen leuten dann diese Befugnis zuweisen. Das PW System ist daher mittlerweile unnötig.

Also Lücke 1 is heiße luft oder Du hast nen Mod eingebaut der Deinen Fehler verursacht. Das System von mir funzt so wie es soll (siehe oben).

Zum SMod: Um den Diskussionen ausm Weg zu gehen werd ich dort auch nen Doppelten Login reinsetzen in der nächsten Version. Bringt aber keine zusätzliche Sicherheit da wie gesagt ein Loginschützender Mod drin ist. Und wenn jemand das PW Deines SMods im Klartest hat nutzt auch kein Doppelter login mehr was. Naja.

Ansonsten vielen Dank noch an DerEine und Kellergeist2 für die nette Unterstützung. Es ist vor allem in so einer Situation schön zu sehen, dass es noch User gibt die mit der Arbeit zufrieden sind. Thx.

MarinS · Beitrag von **MarinS** » 02.08.2005 03:30

Ach du Schande, du hast recht. Aber ich bin manns genug meine Fehler einzugestehen. (Ich habe den Threadtitel mal geändert)

Auf die beschriebene Art und Weise komme ich wirklich nur als Admin in das geschützte Forum. Ich habe es nun selber noch einmal als User getestet.

D.h. für mich aber, dass es eine andere Möglichkeit geben muß, wie die User in meine geschützten Bereiche kamen. Dem werde ich weiter auf den Grund gehen müssen. Doch das kann auch wie du meintest an einem der eingebauten Mods liegen. Sobald ich mehr weiß gebe ich Bescheid.
Leider habe ich nur bei der Fehleranalyse meine Probleme, da ich wie gesagt selber nicht programmieren kann.
Die Funktion ist aber leider für mich unverzichtbar. So ein mist.
Mit Gruppenbefugnissen kann ich mein Vorhaben leider nicht umsetzen.

Es geht mir darum, daß interne Bereiche geschützt sind. Wenn ein Eindringling nun einen Pass eines Users herausbekommen hat, soll er trotzdem nicht in die internen Bereiche kommen. Dort werden Daten gespeichert, die für Befugte wichtig sind, für Unbefugte aber unter allen Umständen unzugänglich bleiben sollten. Der Passwortschutz ist daher das einzig wahre Mittel.

Das mit dem doppelten Passwort und der Supermod Session hätte ich aber gerne noch gelöst. Aber wenn das in der nächsten Version enthalten ist, bin ich schon zufrieden.

Danke, daß du dich trotz des Ärgers noch einmal hingesetzt hast!!

cback · Beitrag von **cback** » 02.08.2005 11:54

MarinS: weißt Du ich bin ein sehr hilfsbereiter Mensch. Ich helfe jedem weiter der anständig seine Frage stellt. Bei normalem fragen bzw. der Fragestellung ob in diesem Fall eine Sicherheitslücke besteht die noch nicht gefunden wurde (und ich als jemand der sich seit geraumer Zeit mit PHP Skript Sicherheit befasst und hin und wieder auch von Firmen gerufen wird um Sicherheitschecks zu machen) teste natürlich auch vor jedem neuen Release alle Orion Funktionen auf Herz und Nieren. Klar passieren fehler und natürlich ist man froh wenn diese gemeldet werde, doch das sollte man so machen das man das nicht fast mit Rufmord gleichsetzen kann.

Ich bedanke mich bei Dir, dass Du den Titel geändert hast. Da auch Du nicht derjenige warst der den ärger bei mir ausgelöst hat bin und werde ich auch weiterhin bereit sein Dir weiterzuhelfen, so wie es auch eigentlich meine Art ist.

Auf meiner Liste für das nächste Release habe ich nun folgendes mit aufgenommen:

- BF Schutz für Doppelten Forenlogin entfernen
- Session Verifizierung für Super-Moderator hinzufügen

Ich habe ein paar Leute die im Orion Tester-Team sind gefragt wie sie es mit den Passwörtern für Foren halten die meinten, dass diese Funktion doch relativ oft genutzt wird, weswegen der Mod auch im kommenden Release weiterhin enthalten sein wird. Also im nächsten Release werden auch Deine beiden Wünsche umgesetzt sein.

PS: Ansonsten kann ich nur sagen, dass Dein Co Admin mich heute morgen per PM bat seinen Account zu löschen. - Da ist man natürlich gerne hilfsbereit.

Ich finde es gut, dass die Sache geregelt ist. - Zumindest hoffe ich, dass es so ist. Ich finde es auch fair von Dir, dass Du zu dem Fehler stehst und daher auch den Titel geändert hast. So titel sind nicht gerade gute "Werbung" für ein Sicherheit Optimiertes Premod