phpBB "Sicherheitsloch"

Probleme bei der regulären Arbeiten mit phpBB, Fragen zu Vorgehensweisen oder Funktionsweise sowie sonstige Fragen zu phpBB im Allgemeinen.
Forumsregeln
phpBB 2.0 hat das Ende seiner Lebenszeit überschritten
phpBB 2.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 2.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf phpBB 3.1, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
Antworten
CC84
Mitglied
Beiträge: 4
Registriert: 12.04.2007 21:07

phpBB "Sicherheitsloch"

Beitrag von CC84 »

Da ich in den letzten Tagen trotz Captcha selber Opfer von Spam geworden bin und auch die Mods hier keine Abhilfe gebracht haben, habe ich mir mein eigenes Capcha geschrieben und bin dabei auf eine eklatante Sicherheitslücke gestoßen.

phpBB sieht es nicht vor, dass Captchacodes verworfen werden. Das heisst man kann zu einem COde beliebig viele Bilder erstellen. Wenn also eine OCR software auch nicht beim ersten mal klappt. So füttert man sie einfach mit 10, 100 oder gar 1000 Bildern und bildet dann seine Meinung per einfacher Statistik. Zudem kann man auf diese Weise auch unbekannte Capchas antrainieren.

Hier sollte dringend etwas gemacht werden.

Gruß

CC
Bl00dyT!G3R
Mitglied
Beiträge: 26
Registriert: 12.04.2007 20:50

Beitrag von Bl00dyT!G3R »

Wie wurde denn gespammt? Als anonymer User Posts erstellt?
Versuche doch im AdminCP bei Forum unter "Befugnisse" einzustellen, dass man nur als Registrierter User posten kann, bzw nur als Registrierter die Foren überhaupt sehen können... Sollte helfen!
Benutzeravatar
BraveEagle
Mitglied
Beiträge: 1884
Registriert: 16.01.2003 18:05
Wohnort: born 2 be a Paelzer
Kontaktdaten:

Beitrag von BraveEagle »

Das hat doch gar nichts mit dem Thema zu tun Bl00dyT!G3R
Bl00dyT!G3R
Mitglied
Beiträge: 26
Registriert: 12.04.2007 20:50

Beitrag von Bl00dyT!G3R »

Wieso? ich sehe das bei ihm gespammt wurde. Ob Captcha oder nicht, man kann doch erstmal anhand der Grundeinstellungen einen Vorschlag machen, wie er den Spam eindämmen kann. Aber gut, wenn das hier nicht erwünscht ist: Ich entschuldige mich für meinen Post, der anscheinend nicht Themenbezogen ist.
CC84
Mitglied
Beiträge: 4
Registriert: 12.04.2007 21:07

Beitrag von CC84 »

bloody ich bin in der Lage mein eigenes Captcha zu schreiben, meinste nicht, ich bin in der Lage das phpBB richtig zu konfigurieren?

Wenn ich sage, dass trotz captcha gespammt wurde, dann hat jemand das Captcha wohl umgangen.

Um es also nochmal klar zu sagen: Ein Bot hat sich angemeldet (umgehung des Captchas) und dann gepostet.

Und eben weil ich mein eigenes Captcha geschrieben habe, ist mir aufgefallen, dass es Leuten die versuchen das Captcha automatisch zu erkennen es recht einfach gemacht wird.

Gruß

CC
Bl00dyT!G3R
Mitglied
Beiträge: 26
Registriert: 12.04.2007 20:50

Beitrag von Bl00dyT!G3R »

Ok CC84, da hst du schon recht. Auch hier will ich mich für meine primitiven Beiträge entschuldigen!
Benutzeravatar
gn#36
Ehrenadmin
Beiträge: 9313
Registriert: 01.10.2006 16:20
Wohnort: Ganz in der Nähe...
Kontaktdaten:

Beitrag von gn#36 »

Ich würde das nicht "Sicherheitslücke" sondern eher "Schwäche" nennen denke ich, und es ist auch nicht die einzige. Die Buchstaben sind immer die gleichen, selbst wenn sie in ihrer Position im Bild variieren und leicht mit einem Rauschen geändert werden, die Buchstaben sind weder gedreht noch verzerrt, es gibt keine Sonderzeichen. Im Prinzip muss man beim phpBB Captcha nur Punkte unterhalb gewisser Heligkeitsstufen ausfiltern und dann muss man den Rest nur noch Verbinden für die Form eines Buchstabens.
Begegnungen mit dem Chaos sind fast unvermeidlich, Aber nicht katastrophal, solange man den Durchblick behält.
Übertreiben sollte man's im Forum aber nicht mit dem Chaos, denn da sollen ja andere durchblicken und nicht nur man selbst.
CC84
Mitglied
Beiträge: 4
Registriert: 12.04.2007 21:07

Beitrag von CC84 »

gn#36 hat geschrieben:Ich würde das nicht "Sicherheitslücke" sondern eher "Schwäche" nennen denke ich, und es ist auch nicht die einzige. Die Buchstaben sind immer die gleichen, selbst wenn sie in ihrer Position im Bild variieren und leicht mit einem Rauschen geändert werden, die Buchstaben sind weder gedreht noch verzerrt, es gibt keine Sonderzeichen. Im Prinzip muss man beim phpBB Captcha nur Punkte unterhalb gewisser Heligkeitsstufen ausfiltern und dann muss man den Rest nur noch Verbinden für die Form eines Buchstabens.
Die Art des Capchas kann man ja noch relativ einfach ändern. Da gibts ja genug Mods zu. Aber das von mir beschriebene Verhalten kann nicht gändert werden und damit ist nahezu jedes Capcha, läd man es nur oft genug, zu identifizieren.
Dennis63
Ehemaliges Teammitglied
Beiträge: 2597
Registriert: 02.07.2003 18:46

Beitrag von Dennis63 »

Bugs bitte direkt an die Entwickler melden: www.phpbb.com/bugs . Dort ist direkt der Bugtracker, der die BUGs sammelt und verwaltet.

Ob sich jedoch jemand um so eine Schwäche in der 2er Software kümmert, während die 3er Software bereits im späten Beta-Stadium ist, ist eine andere Frage.

Grüße
Dennis
CC84
Mitglied
Beiträge: 4
Registriert: 12.04.2007 21:07

Beitrag von CC84 »

ok mache ich. Je nachdem kann es aber ja auch sein, dass in der 3er Verison der selbe Fehler wieder gemacht wird.
Antworten

Zurück zu „phpBB 2.0: Administration, Benutzung und Betrieb“