phpBB "Sicherheitsloch"
Forumsregeln
phpBB 2.0 hat das Ende seiner Lebenszeit überschritten
phpBB 2.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 2.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf phpBB 3.1, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
phpBB 2.0 hat das Ende seiner Lebenszeit überschritten
phpBB 2.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 2.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf phpBB 3.1, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
phpBB "Sicherheitsloch"
Da ich in den letzten Tagen trotz Captcha selber Opfer von Spam geworden bin und auch die Mods hier keine Abhilfe gebracht haben, habe ich mir mein eigenes Capcha geschrieben und bin dabei auf eine eklatante Sicherheitslücke gestoßen.
phpBB sieht es nicht vor, dass Captchacodes verworfen werden. Das heisst man kann zu einem COde beliebig viele Bilder erstellen. Wenn also eine OCR software auch nicht beim ersten mal klappt. So füttert man sie einfach mit 10, 100 oder gar 1000 Bildern und bildet dann seine Meinung per einfacher Statistik. Zudem kann man auf diese Weise auch unbekannte Capchas antrainieren.
Hier sollte dringend etwas gemacht werden.
Gruß
CC
phpBB sieht es nicht vor, dass Captchacodes verworfen werden. Das heisst man kann zu einem COde beliebig viele Bilder erstellen. Wenn also eine OCR software auch nicht beim ersten mal klappt. So füttert man sie einfach mit 10, 100 oder gar 1000 Bildern und bildet dann seine Meinung per einfacher Statistik. Zudem kann man auf diese Weise auch unbekannte Capchas antrainieren.
Hier sollte dringend etwas gemacht werden.
Gruß
CC
-
- Mitglied
- Beiträge: 26
- Registriert: 12.04.2007 20:50
- BraveEagle
- Mitglied
- Beiträge: 1884
- Registriert: 16.01.2003 18:05
- Wohnort: born 2 be a Paelzer
- Kontaktdaten:
-
- Mitglied
- Beiträge: 26
- Registriert: 12.04.2007 20:50
bloody ich bin in der Lage mein eigenes Captcha zu schreiben, meinste nicht, ich bin in der Lage das phpBB richtig zu konfigurieren?
Wenn ich sage, dass trotz captcha gespammt wurde, dann hat jemand das Captcha wohl umgangen.
Um es also nochmal klar zu sagen: Ein Bot hat sich angemeldet (umgehung des Captchas) und dann gepostet.
Und eben weil ich mein eigenes Captcha geschrieben habe, ist mir aufgefallen, dass es Leuten die versuchen das Captcha automatisch zu erkennen es recht einfach gemacht wird.
Gruß
CC
Wenn ich sage, dass trotz captcha gespammt wurde, dann hat jemand das Captcha wohl umgangen.
Um es also nochmal klar zu sagen: Ein Bot hat sich angemeldet (umgehung des Captchas) und dann gepostet.
Und eben weil ich mein eigenes Captcha geschrieben habe, ist mir aufgefallen, dass es Leuten die versuchen das Captcha automatisch zu erkennen es recht einfach gemacht wird.
Gruß
CC
-
- Mitglied
- Beiträge: 26
- Registriert: 12.04.2007 20:50
- gn#36
- Ehrenadmin
- Beiträge: 9313
- Registriert: 01.10.2006 16:20
- Wohnort: Ganz in der Nähe...
- Kontaktdaten:
Ich würde das nicht "Sicherheitslücke" sondern eher "Schwäche" nennen denke ich, und es ist auch nicht die einzige. Die Buchstaben sind immer die gleichen, selbst wenn sie in ihrer Position im Bild variieren und leicht mit einem Rauschen geändert werden, die Buchstaben sind weder gedreht noch verzerrt, es gibt keine Sonderzeichen. Im Prinzip muss man beim phpBB Captcha nur Punkte unterhalb gewisser Heligkeitsstufen ausfiltern und dann muss man den Rest nur noch Verbinden für die Form eines Buchstabens.
Begegnungen mit dem Chaos sind fast unvermeidlich, Aber nicht katastrophal, solange man den Durchblick behält.
Übertreiben sollte man's im Forum aber nicht mit dem Chaos, denn da sollen ja andere durchblicken und nicht nur man selbst.
Übertreiben sollte man's im Forum aber nicht mit dem Chaos, denn da sollen ja andere durchblicken und nicht nur man selbst.
Die Art des Capchas kann man ja noch relativ einfach ändern. Da gibts ja genug Mods zu. Aber das von mir beschriebene Verhalten kann nicht gändert werden und damit ist nahezu jedes Capcha, läd man es nur oft genug, zu identifizieren.gn#36 hat geschrieben:Ich würde das nicht "Sicherheitslücke" sondern eher "Schwäche" nennen denke ich, und es ist auch nicht die einzige. Die Buchstaben sind immer die gleichen, selbst wenn sie in ihrer Position im Bild variieren und leicht mit einem Rauschen geändert werden, die Buchstaben sind weder gedreht noch verzerrt, es gibt keine Sonderzeichen. Im Prinzip muss man beim phpBB Captcha nur Punkte unterhalb gewisser Heligkeitsstufen ausfiltern und dann muss man den Rest nur noch Verbinden für die Form eines Buchstabens.
Bugs bitte direkt an die Entwickler melden: www.phpbb.com/bugs . Dort ist direkt der Bugtracker, der die BUGs sammelt und verwaltet.
Ob sich jedoch jemand um so eine Schwäche in der 2er Software kümmert, während die 3er Software bereits im späten Beta-Stadium ist, ist eine andere Frage.
Grüße
Dennis
Ob sich jedoch jemand um so eine Schwäche in der 2er Software kümmert, während die 3er Software bereits im späten Beta-Stadium ist, ist eine andere Frage.
Grüße
Dennis