Diskussion zu Automatische Anmeldungen in phpBB-Boards

larsneo · Beitrag von **larsneo** » 29.03.2006 13:32

ich kann ehrlich gesagt dem 'release early, release often' [1] paradigma nicht besonders viel abgewinnen - und hoffentlich ist das phpbb auch irgendwann über die phase aneinandergereihter securityfixes hinweg

[1] release early, release often

was ich mir für die 2.0.20 wünschen würde ist neben erweitertem dDOS schutz in erster linie eine bessere überprüfung der erlaubten benutzernamen, unterstützung von idn-domains, safehtml o.ä. als ausgabewrapper und ein optimierter schutz vor automatisierten anmeldungen - und damit meine ich nicht (nur) eine andere captcha-variante.

aber nu schluss mit OT

mh · Beitrag von mh » 30.03.2006 09:39

@all,

bei mir im Board habe ich alle erwähnten in die Benutzernamen verbieten Liste getan, ein paar davon hatten sich schon registriert, habe ich verbannt.

Nun hat eine befreundete Forenbetreiberin von mir innerhalb kürzester Zeit erst von Funklatow das Forum platt gelegt bekommen, ohne das sie als Admin in ihr Board wieder rein kam. Nachdem der Schaden behoben wurde, hat gestern einer der sich als Skeet registriert hatte, das Forum komplett gelöscht, sie kam nicht mehr rein, konnte garnichts tun.

Was lief da ab?

miccom · Beitrag von **miccom** » 30.03.2006 09:48

welche phpbb version hatte sie zu diesem zeitpunkt installiert?

mh · Beitrag von mh » 30.03.2006 10:22

oh, da muss ich sie mal fragen, gebe dann Bescheid, war aber eine ältere Version

miccom · Beitrag von **miccom** » 30.03.2006 10:41

naja, für alles vor 2.0.19 sind würmer unterwegs die bekannte lücken ausnutzen... das erklärt "Was da ab lief"

mh · Beitrag von mh » 31.03.2006 12:42

Sie sagte mir es wäre eine 1. 6. oder 1. 8. Version gewesen, also doch schon ziemlich älter.

Ich habe ihr geraten die neue Version zu nehmen, zur Sicherheit.

JumpinJack · Beitrag von **JumpinJack** » 31.03.2006 18:26

Wegen der Lücke bzw der Autoanmeldung: Gibts da was neues? Ich hoffe wenns da was gibt, wird der erste Beitrag editiert oder? Ich wollte nicht den ganzen Thread durch ackern!

derd · Beitrag von **derd** » 31.03.2006 18:28

Ich habe mal zum Test den Advanced_Visual_Confirmation Mod eingebaut. Seit dem habe ich Ruhe vor den lieben Bots.

Christian_N · Beitrag von **Christian_N** » 31.03.2006 22:36

Der MOD von Amigalink ist auch wirklich gut, da die Bots diesen CAPTCHA (noch) nicht kennen

Fragt sich nur wie langen, aber dank den ganze Einstellungen im ACP haben alle phpBB Board es anders und sollte es mal ein Bot schaffen so kann man ihn leicht ändern mit andere Fonts und Einstellungen im ACP

Da kann man nur ein dank an AmigaLink aussprechen

Feuerwolf · Beitrag von **Feuerwolf** » 01.04.2006 17:56

SuesseMaus28884 hat geschrieben:... Fragt sich nur wie langen, aber dank den ganze Einstellungen im ACP haben alle phpBB Board es anders und sollte es mal ein Bot schaffen so kann man ihn leicht ï¿½ndern mit andere Fonts und Einstellungen im ACP

Da wï¿½re es ja von vorteil wenn, wenn das erste ï¿½ffenen des ACP eine zufï¿½llige aber sichere Einstellung vorgiebt. Es giebt ja viele User (bin manchmal auch so einer) die alles auf Standard einstellungen lassen besonders, wenn sie sich nicht mit dem tool beschï¿½ftigen und/oder unsicher sind.

Ich glaube am besten wï¿½re es, wenn bei der installation des phpbb boards automatisch das erstellen einer Frageliste dazugehï¿½rt mit zufï¿½lligen aber mï¿½glichst sicheren einstellungen und bei der Registrierung automatisch per zufall eine Methode ausgewï¿½hlt wird.

Kï¿½nnte man bei der HTML ausgabe nicht einfach nur verschlï¿½sselte Feldbezeichnungen nutzen?