Diskussion zu Benutzerdaten auf phpBB.de ausspioniert

Projekte der phpBB.de-Community und Feedback zu phpBB.de.
tanmar
Mitglied
Beiträge: 1
Registriert: 02.01.2005 20:37

Beitrag von tanmar »

Wäre natürlich interessant zu wissen, was denn nun die
verschiedenen Faktoren
gewesen sind.

Denke es wäre nur fair, das auch zu veröffentlichen, wenn schon ca 60.000 Menschen Ihre Passwörter ändern müssen :)
Benutzeravatar
Managor
Mitglied
Beiträge: 7
Registriert: 07.12.2005 05:28
Wohnort: Gießen
Kontaktdaten:

Beitrag von Managor »

Pah... manche Leute sollen sich mal nicht beschweren. Ich sage nur: selber schuld, wenn man überall dasselbe Passwort verwendet. Kein Grund deshalb, den Admins von phpbb.de den schwarzen Peter in die Schuhe zu schieben. Das kann auch auf jedem x-beliebigen Server passieren - bei noch so fähigen Admins.

Bevor hier also das nächste Mal die Schnauze zu weit aufgerissen wird, würde ich empfehlen, mal die kleine Erbse im Schädel anzustrengen...
Satan kann das!
Benutzeravatar
Kellergeist2
Mitglied
Beiträge: 1133
Registriert: 01.06.2003 00:21
Wohnort: Dortmund
Kontaktdaten:

Beitrag von Kellergeist2 »

tanmar hat geschrieben:Denke es wäre nur fair, das auch zu veröffentlichen, wenn schon ca 60.000 Menschen Ihre Passwörter ändern müssen :)
Wer lesen kann ist klar im Vorteil:
PhillipK hat geschrieben:Zugleich bitten wir auch um Verständnis, dass wir auf Grund der laufenden Ermittlungen derzeit einen Teil unserer Erkenntnisse nicht veröffentlichen werden.
Gruß, Kellergeist2
[MSDynamics.de - die deutschsprachige Microsoft Dynamics Community]
Benutzeravatar
Fennias Maxim
Mitglied
Beiträge: 489
Registriert: 12.08.2005 20:16
Wohnort: Technodrome
Kontaktdaten:

Beitrag von Fennias Maxim »

tost hat geschrieben:
In dem Sinne verwendet bessere Passwörter!

Grüße
Genau, mit dem MD5-Hash und der email-Adresse lassen sich nämlich keine Schweinereien anstellen...:rolleyes:

Fakt ist, das nicht jeder auf den 1000 Seiten auf denen er einen Account hat, ein eigenes PW verwendet.
50% aller Fragen können mit der Knowledge Base oder der Forensuche beantwortet werden!
Warum hast du also diesen Thread hier eröffnet?
Diabolo01
Mitglied
Beiträge: 2
Registriert: 01.08.2005 16:31

Beitrag von Diabolo01 »

Also das gibt auf jedenfall extem viele Zugriffe auf die Page in nächster Zeit zumindest wenn jeder sein Passwort ändern muss......

Ich zumindest habe für derartige Bereiche wie Foren ein PW das ruhig jeder haben darf da die dazu gehörige Emailadresse mich nicht interessiert da diese als Spamfänger gilt.
Für andere Bereiche habe ich allerdings Passwort das mehr als 6 Stellen und Sonderzeichen hat.

Kein Schloss ist knack und bruchsicher solange es von Menschenhand gemacht wurde. :D
Benutzeravatar
mgutt
Mitglied
Beiträge: 2999
Registriert: 31.08.2004 16:44
Wohnort: Hennef
Kontaktdaten:

Beitrag von mgutt »

Naja um Usernamen und Email auszulesen braucht man kein großer Coder sein. Dafür reicht ja das bloße Einlesen der Mitgliederliste und start+25:
http://www.phpbb.de/memberlist.php?mode ... SC&start=0

Daher wäre ich dafür, dass die Emailadresse ausgeblendet wird in dem in der Administration die "Emails über das Board"-Funktion aktiviert wird.

Zum MD5-String (verschlüsseltes Passwort):
Der MD5-String selber kann bei Passwörtern bis 8 Stellen und wenn dieses Passwort nur kleine Buchstaben und Zahlen enthält innerhalb von ein paar Tagen gehackt werden. Aber der Aufwand rechtfertigt denke ich nicht den Erfolg. Was bringt es schon von einzelnen User das Passwort herauszufinden, außer dieses Passwort wird von dem User auch woanders eingesetzt.

Ich habe selbst mal ein Bruteforce-Script entwickelt, um eine MD5-Datenbank aufzubauen, daher kann ich mit gutem Gewissen sagen, dass bei Sonderzeichen und zusätzlich großen Buchstaben kein Hacker mehr Lust haben dürfte das zu entschlüsseln.

Zum Glück habe ich bereits von einem Jahr alle meine Passwörter geändert, so dass ich auf jeder Seite ein anderes einsetze. Kann ich nur empfehlen. Zwar muss man das dann in einem Ordner (im Schrank, nicht auf dem PC!) archivieren, aber das schützt genau vor sowas :D

Im Resultat entsteht nur ein Problem für Moderatoren und Admins, da der Hacker nun in der Lage ist, sich ein Autologin-Cookie zu generieren und sich damit einzuloggen. Das kann er natürlich auch bei allen anderen, aber nur da macht das wirklich Sinn.

Darf ich trotzdem erfahren, um welche Lücke es sich handelt bzw. wie ihr den ertappt habt? Von mir aus gerne auch per PN. Ich bin gerne vorbereitet :D Wenn da Interesse besteht, können wir uns auch wegen Angriffen auf meinen Servern austauschen. Ich hab schon alles durch. Local / External File Inclusion, SQL Injection, usw. :roll:

Gruß
Marc
meine Foren: http://www.maxrev.de/communities.htm
Ich kaufe Dein Forum! Angebote bitte an marc at gutt punkt it
Benutzeravatar
renet
Mitglied
Beiträge: 31
Registriert: 10.02.2004 16:46
Wohnort: Oldenburg
Kontaktdaten:

Beitrag von renet »

zumal ich durch meine email adresse keine rückschlüsse auf meine identität gebe (glücklicherweise ist es eine, die ich bei keinem freemail provider habe), mach ich mir keine sorgen. passwort hier fürs forum ändern und gut is.

darf man fragen, wo die lücke(n) denn nun lag(en), durch die das geschehen konnte?!
LG
René
...bist du denn auch liiieb.de?
Blacker47
Mitglied
Beiträge: 16
Registriert: 23.04.2002 23:53
Kontaktdaten:

Beitrag von Blacker47 »

Wurde auch zeit mal meine Passworter aufzuräumen :-)

Es wäre schon interessant irgendwann mal zu erfahren, was da genau wirklich passiert ist. Also was genau das Sicherheitsloch war.

Auch nicht schlecht wäre es in zukunftige phpBB versionen Passwort-Hashing mit Salt aufzunehmen.

http://de.wikipedia.org/wiki/Salt_(Kryptologie)
(habe oberen Link nicht ganz als Link hier posten können)
Guybrush333
Mitglied
Beiträge: 1
Registriert: 07.10.2005 19:10

Beitrag von Guybrush333 »

Wie Wahrscheinlich ist es dass so ein md5 hash zurück in den Klartext gebracht werden kann?
Benutzeravatar
Kellergeist2
Mitglied
Beiträge: 1133
Registriert: 01.06.2003 00:21
Wohnort: Dortmund
Kontaktdaten:

Beitrag von Kellergeist2 »

renet hat geschrieben:darf man fragen, wo die lücke(n) denn nun lag(en), durch die das geschehen konnte?!
Nochmals:
PhillipK hat geschrieben:Zugleich bitten wir auch um Verständnis, dass wir auf Grund der laufenden Ermittlungen derzeit einen Teil unserer Erkenntnisse nicht veröffentlichen werden.
Darüber hinaus sollten Anfragen zum Löschen des eigenen Accounts nicht hier in diesem Thread sondern per PN an einen Admin geäussert werden.
Gruß, Kellergeist2
[MSDynamics.de - die deutschsprachige Microsoft Dynamics Community]
Antworten

Zurück zu „Community Talk“