Hi!
Wenn ich meinen Admin nach den Ausführungen hier im Board verstecke bleibt für mich noch eine Frage offen:
Wenn ich als Admin zum Beispiel unter den ersten 30 Usern einen Account einrichte (das Board ist nicht so stark frequentiert), dann kann doch jeder über die Memberlist und Sortierung nach Anmeldung schnell herausbekommen, welche ID nicht angezeigt wird.
Sind über die user_id also noch irgendwelche Angriffsmöglichkeiten gegeben?
Ich könnte natürlich auch eine ID = X (z.B. 2354) vergeben. Aber dann zählt ja auch jeder neue User erst ab dann weiter. Fällt also auch auf.
Verständnisfrage bzgl. Admin verstecken
Forumsregeln
phpBB 2.0 hat das Ende seiner Lebenszeit überschritten
phpBB 2.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 2.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf phpBB 3.1, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
phpBB 2.0 hat das Ende seiner Lebenszeit überschritten
phpBB 2.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 2.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf phpBB 3.1, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
-
Mahony
- Ehemaliges Teammitglied
- Beiträge: 12295
- Registriert: 17.11.2005 22:33
- Wohnort: Ostfildern Kemnat
- Kontaktdaten:
Hallo
Hier gibt es einen Tip zu deinem Problem. Admin verstecken: Wir haben X registrierte Benutzer
Grüße: Mahony
Hier gibt es einen Tip zu deinem Problem. Admin verstecken: Wir haben X registrierte Benutzer
Grüße: Mahony
Wer fragt, ist ein Narr für fünf Minuten, wer nicht fragt, ist ein Narr für immer.
Hm, ich habe mich wohl unklar ausgedrückt.
Mir geht es nur um einen Sicherheitsaspekt. Eine Logik bzgl. der user_id.
Kann ein Fremder über die user_id irgendwelche Dinge in einem Board veranstalten? Das ganze "Admin verstecken" wäre dann nämlich nutzlos, wenn ein Hacker über die Memberlist raus bekommen würde, "ah, da ist ein versteckter Admin, der die user_id=xyz hat".
Wie gesagt, selbst wenn der Admin in der Memberlist NICHT angezeigt wird, so kann man indirekt über den Umkehrschluss einer fehlenden user_id raten, dass es ein Admin ist.
Mir geht es nur um einen Sicherheitsaspekt. Eine Logik bzgl. der user_id.
Kann ein Fremder über die user_id irgendwelche Dinge in einem Board veranstalten? Das ganze "Admin verstecken" wäre dann nämlich nutzlos, wenn ein Hacker über die Memberlist raus bekommen würde, "ah, da ist ein versteckter Admin, der die user_id=xyz hat".
Wie gesagt, selbst wenn der Admin in der Memberlist NICHT angezeigt wird, so kann man indirekt über den Umkehrschluss einer fehlenden user_id raten, dass es ein Admin ist.
