>>split: So mache ich mein Board sicher

[jasc]

KB:htaccess

[Thomas W.]

vor einiger Zeit bekam doch ein Admin von einem Forum eine Abmahnung weil ein Benutzer einen Registrierten Begriff als Name verwendete (war das bei Ironsports?)

...

Türlich könnte ich jetzt suchen und probieren bin aber sicher das es bei euch Leutz gibt die die Antwort parat haben, bevor sie die Frage zuende gelesen haben:

ich möchte beim Registrieren über der Usernamenauswahl einen Text haben.. vielleicht sogar verankert in lang_xyz der so lautet:

Verbot der Verwendung eines geschützten Namens :
Aus aktuellem Anlass weisen wir ausdrücklich daraufhin, dass die Verwendung eines geschützten Names als Benutzername verboten ist !
Wenn Sie sich nicht sicher sind, dann schauen Sie auf die Seite http://publikationen.dpma.de/qry_tm_beg.do und geben dort im Feld 'Wiedergabe der Marke' Ihren gewünschten Namen ein und wählen im Feld 'Markenform' Wortmarke aus.
Sollte er geschützt sein, dürfen Sie diesen Namen nicht als Benutzernamen verwenden !

wenn man schon dabei ist... der Link im Text bitte gleich auch als anklickbar

ach ja... so ein Text (oder ähnlich) wäre auch bei den Avataren ganz wichtig

Thomas

[Thomas W.]

also ich hab mich mal auf die Suche gemacht

in lang_german\lang_main.php finde

Code: Alles auswählen

$lang['Items_required'] = 'Mit * markierte Felder sind erforderlich';

und ersetze mit

Code: Alles auswählen

$lang['Items_required'] = '<h2>Achtung Verbot der Verwendung eines geschützten Namens : </h2><br><br>
<h1>Aus aktuellem Anlass ist hiermit ausdrücklich darauf hingewiesen, <br>
dass die Verwendung eines geschützten Names als Benutzername verboten ist! <br>
Wenn Du dir nicht sicher bist, dann schaue auf die Seite http://publikationen.dpma.de/qry_tm_beg.do   <br>
und gebe dort im Feld -Wiedergabe der Marke- Deinen gewünschten Namen ein <br>
und wähle im Feld -Markenform- Wortmarke aus.<br>
Sollte er geschützt sein, darfst Du diesen Namen nicht als Benutzernamen verwenden !</h1>
<br> <br><br>Mit * markierte Felder sind erforderlich ...';

wenn es einer schöner kann nur zu.. ich habe es z.B. nicht geschafft den Link als Link einzubinden

Thomas

[kjwargan]

Damit es als Link sichtbar ist, gehört es so

Code: Alles auswählen

$lang['Items_required'] = '<h2>Achtung Verbot der Verwendung eines geschützten Namens : </h2><br><br><h1>Aus aktuellem Anlass ist hiermit ausdrücklich darauf hingewiesen, <br>dass die Verwendung eines geschützten Names als Benutzername verboten ist! <br>Wenn Du dir nicht sicher bist, dann schaue auf die Seite <a href="http://publikationen.dpma.de/qry_tm_beg.do" Target="_blank">dpma</a>   <br>und gebe dort im Feld -Wiedergabe der Marke- Deinen gewünschten Namen ein <br>und wähle im Feld -Markenform- Wortmarke aus.<br>Sollte er geschützt sein, darfst Du diesen Namen nicht als Benutzernamen verwenden !</h1><br> <br><br>Mit * markierte Felder sind erforderlich ...'; 

[Thomas W.]

suuper, danke... auch wenn ich das mit den drei -"- nicht verstehe.. ich dachte die treten immer paarweise auf


genauso habe ich mittlerweile nachhgelesen, daß der Fall gegen ironsport in einer negativen Feststellungsklage beendet wurde...

nichts desto trotz....

Vorsicht ist besser

Thomas

[kjwargan]

suuper, danke... auch wenn ich das mit den drei -"- nicht verstehe.. ich dachte die treten immer paarweise auf

Schaust du hier: http://www.jgiesen.de/javascript/HTML/index.htm
Edit: Ich hatte ein " übersehen, schon geändert

[walti]

also wenn ich zusammenfasse

die Verzeichnisse /admin /db /includes und /language mit htacces schützen
die config.php auch
dann kann ich die doch in eins der Verzeichnisse legen ? zbs admin

und muß eine neue config.php mit dem Eintrag
<?php
require('/admin/config.php');
?>
erstellen und das ganze ist gesichert.

habe ich das so richtig verstanden ?

und wie was ist das mit dem cracker tracker ???

[thompson]

ich hatte gestern aus dem attachment mod im odner files ein shell script in einem ordner.

könnte ich sowas mit einer htaccess im ordner verhindern ?

können die leute dann noch dateien hochladen ?

[IPB_Flüchtling]

Auf folgende zwei Threads zum Thema Sicherheit sollte m.E. auch hier in dieser umfangreichen Zusammenfassung aufmerksam gemacht werden:

http://www.phpbb.de/viewtopic.php?t=119855
http://www.phpbb.de/viewtopic.php?t=120083

Außerdem würde mich interessieren, ob dieser Passwort-Generator noch seinen Zweck erfüllt:

http://www.phpbb.de/diverses/htpasswd.php

Sieht so eine MD5-Verschlüsselung aus? Die Crypt-Verschlüsselung, die man z.B. auf dieser Seite testen kann, liefert ganz anders aussehende Ergebnisse.

Ein Beispiel - das Wort test verschlüsselt:

Crypt (SELFHTML): 48qT3YyIsYfy2
MD5?? (PHPBB.de): $1$gSCVI9R.$BOFB.3249SlYDGoyMjR3d0

LG, IPB_Flüchtling

[mgutt]

mein Vorschlag für eine .htaccess im Root:

Code: Alles auswählen

<Files config.php> 
Deny from all 
</Files>

DirectoryIndex index.htm index.php index.html

# error redirect www.maxrev.de
ErrorDocument 400 http://www.maxrev.de/
ErrorDocument 401 http://www.maxrev.de/
ErrorDocument 402 http://www.maxrev.de/
ErrorDocument 403 http://www.maxrev.de/
ErrorDocument 404 http://www.maxrev.de/
ErrorDocument 500 http://www.maxrev.de/

# allow register globals
php_flag register_globals off

# allow backslash escaping for Get / Post / Cookie
php_flag magic_quotes_gpc on

# forbid files without extensions
AcceptPathInfo off

RewriteEngine on

# security settings
RewriteCond %{QUERY_STRING} ^(.*)wget\%20 [OR]
RewriteCond %{QUERY_STRING} ^(.*)fetch\%20 [OR]
RewriteCond %{QUERY_STRING} ^(.*)echr(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)rush=\%65\%63\%68 [OR]
RewriteCond %{QUERY_STRING} ^(.*)rush=echo [OR]
RewriteCond %{QUERY_STRING} ^(.*)esystem(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)passthru(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)\.printf\( [OR]
RewriteCond %{QUERY_STRING} ^(.*)cmd [OR]
RewriteCond %{QUERY_STRING} ^(.*)\%27(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)"(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)\%22(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)`(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)\%60(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)\%25(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)=http://(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)=http\%3A\%2F\%2F(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)=ftp://(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)=ftp\%3A\%2F\%2F(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)=https://(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)=https\%3A\%2F\%2F(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)alert\(document(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)union(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)UNION(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)SQL_INJECTION(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)phpbb_root_path=(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)configdir(.*) [NC,OR]
RewriteCond %{QUERY_STRING} ^(.*)curl(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)lynx(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)w3\%20(.*) [OR]
RewriteCond %{HTTP_COOKIE}% s:(.*):\%22test1\%22\%3b [OR]
RewriteCond %{QUERY_STRING} .*'.* [OR]
RewriteCond %{HTTP_USER_AGENT} ^lwp.* [OR,NC]
RewriteCond %{HTTP_USER_AGENT} ^Python* [NC]
RewriteRule ^.*$ http://127.0.0.1/ [R,L]

Wäre so eine Rule nicht auch sinnvoll um komplette Shells zu unterbinden: (%3F muss ich nicht noch extra sperren oder?)

Code: Alles auswählen

#RewriteCond %{QUERY_STRING} ^(.*)?(.*).txt(.*) [OR]

Schließlich ist .txt ja die einzige Alternative zu .php zum ausführen von Scripten und könnte so gut unterbunden werden.