Sicherheit: Schutz bei Passworthackern?

mgutt · Beitrag von **mgutt** » 23.08.2006 08:36

Derzeit gehen mir ein paar Gedanken durch den Kopf. Es gibt ja diverse Möglichkeiten sein Board zu schützen. (admin folder per .htaccess, gute Passwörter usw.)

Aber was ist wenn einer - ich nenne es mal - wie ein Terrorist vorgeht?

Also aus den eigenen Reihen. Es wird beispielsweise das Passwort eines Junior Admins oder eines Moderators gehackt. Und dann? Ich meine, derjenige könnte einfach auf die Modansicht eines Forums und dann nach und nach eine Löschattacke durchführen.

Wäre es nicht eine Idee, wenn man eine gewisse Anzahl von Löschungen nochmal per Passworteingabe bestätigen muss und/oder dass bei mehr als beispielsweise 10 Löschungen am Tag eine Meldung an den Admin geht?

Also ich meine damit die Möglichkeiten, die ein Hacker haben könnte, wenn er außerhalb des Adminbereiches agiert. Da gibt es auch viele Möglichkeiten.

Es ist zwar nicht besonders schlimm, aber bei uns kam es durchaus vor, dass ein User plötzlich aus einer Gruppe gelöscht wurde. Oder ein Thema plötzlich verschwand.

Eine Art Log gibt es dafür ja nicht. Daher ist es recht schwer überhaupt den gehackten Account herauszufinden. Man müsste erstmal das Board deaktivieren und dann alle Passwörter ändern.

Ich habe jetzt an die 20 User mit Modrechten und da muss man wirklich über den Punkt Sicherheit nachdenken. Mir würde es z.B. gut tun, wenn das Passwort automatisch generiert würde. Also ein mindestens 8-stelliges Passwort, dass der Moderator nicht ändern kann.

Auch fänd ich es viel besser, wenn ein Moderator, der ja meist auch die Autologin-Funktion nutzt, bei der 1. moderierenden Tätigkeit sein Passwort eingeben muss. Das würde viel mehr Sicherheit bringen, wenn der Mod an einem fremden Standort mal vergessen hat sich auszuloggen.

Etwas ähnliches wäre angebracht für alle User beim 1. Besuch des Profils. Also bevor man sozusagen auf die persönlichen Daten eines Users zugreifen kann, muss man mindestens einmal das Passwort eingeben, auch wenn Autologin aktiviert wurde.

Mein ACP habe ich noch zusätzlich gesichert, in dem ich es nur über eine ganz bestimmte Domaineingabe erreiche (Domain x mit Adminfolder, mit/ohne "www."), plus .htaccess und einem recht komplizierten Passwort, denke ich das meiste für meinen Adminbereich getan zu haben. Aber bei den Moderatoren mache ich mir ehrlich noch Sorgen.

kazwo · Beitrag von **kazwo** » 23.08.2006 15:12

Ich hab zwar nun kein Forum mit 20 Moderatoren, dennoch habe ich ne Sicherheit eingebaut, sollte mal aus Versehen etwas gelöscht werden.

Und zwar den Archive Mod von S2B (der aber momentan glaube ich nicht zum Download bereit steht).
Dort werden dann die gelöschten Themen oder Beiträge in ein Forum verschoben, aus dem nur der Admin löschen kann (in dem Fall also ich).
Und die Beiträge lassen sich jederzeit wieder perfekt an die Stelle wiederherstellen, von der sie stammen sollte es fälschlicherweise gelöscht worden sein.

Und es gibt eine MOD, die Aktionen der Moderatoren speichert. Nennt sich "log actions mod", der hier zu finden ist.

Ich bin damit sehr zufrieden und es verschwindet nie was ohne meine "Erlaubnis" ^^

Schade ist nur, dass der Archive Mod nicht mehr funktionstüchtig ist, wenn man den AJAX-Mod ab Version 1.05 eingebaut hat...

mgutt · Beitrag von **mgutt** » 24.08.2006 15:02

Lässt sich alles anpassen.

IPB_Flüchtling · Beitrag von **IPB_Flüchtling** » 24.08.2006 17:07

Ahoi mgutt,

Du kannst den Archive Mod hier downloaden: http://home.twin.at/wolfgang/archive_mod.zip

ACHTUNG: S2B hat angekündigt, den Mod doch noch weiterzuentwickeln. Bei mir funktioniert allerdings auch die oben verlinkte Version tadellos - habe aber auch nicht den AJAX-Mod installiert. S2B´s Mod ist wirklich gut. Habe ihn übrigens auch deshalb eingebaut, falls einmal ein Moderator-Account gehackt werden sollte.

LG, IPB_Flüchtling

Beitrag von **rabbit** » 24.08.2006 21:02

mod_log_actions von gendo (für dich auch als CH version verfügbar, marc) verfolgt zumindest alle moderatoren-aktionen, sodass du weißt, wer wann was gemacht hat (löschen, verschieben, bearbeiten etc.).

mgutt · Beitrag von **mgutt** » 24.08.2006 21:11

rabbit hat geschrieben:mod_log_actions von gendo (für dich auch als CH version verfügbar, marc) verfolgt zumindest alle moderatoren-aktionen, sodass du weißt, wer wann was gemacht hat (löschen, verschieben, bearbeiten etc.).

Ja, aber damit weiß ich nur bescheid, wenn ich mir durch Zufall die Logs anschaue. Eine Nachricht wäre da schon besser, so dass mir "illegale Aktivitäten" automatisch gemeldet werden. Oder diese Archivgeschichte. Ich glaube ich schreibe mir das auch so. Derzeit verschieben wir Beiträge eh in ein Archiv zur Beweislage. Daher würde sich das eh ergänzen.

mgutt · Beitrag von **mgutt** » 03.09.2006 11:03

Wäre es einfach umzusetzen auf der Moderationsansicht (modcp) eines Forums eine doppelte Passwortabfrage zu integrieren. Falls jemand an einem fremden Platz (Café, Bekannter, etc.) eingeloggt geblieben ist und einer dann auf die Idee kommt das zu missbrauchen?

Also das gleiche was auch im ACP-Bereich verwirklicht wurde, falls keine .htaccess vorhanden ist, nur einfach ohne .htaccess-Abfrage.

Gruß

mgutt · Beitrag von **mgutt** » 23.05.2007 23:39

Hallo,

wie kann ich herausfinden welcher Nutzeraccount (Moderator Account) zum Löschen missbraucht wurde?

Ich habe an Hand der Logfiles die IP-Adresse und den genauen Werdegang des Nutzers. Doch wie komme ich nun an die User ID?

Gruß
Marc