Diskussion zu Benutzerdaten auf phpBB.de ausspioniert

Projekte der phpBB.de-Community und Feedback zu phpBB.de.
Antworten
stei109
Mitglied
Beiträge: 144
Registriert: 13.02.2004 16:14
Wohnort: Austria

Beitrag von stei109 »

StefanB hat geschrieben:
stei109 hat geschrieben:Wo ist der Unterschied von einer "extra Mailadresse" für Foren zu einer einzigen Mailadresse für Foren und andere Zugänge?
Wenn Spam zu befürchten ist, krieg ich ihn sowieso - egal auf welche Adresse.
Daher besser für jedes Forum eine eigene Adresse verwenden. Die ist schnell geändert, und gut iss...
Wie hier schon jemand geschrieben hat....bei 5 Foren kein Problem, bei 100 Forenzugängen leg ich mir doch nicht 100 E-mail-accounts an und ruf die auch noch über einen Clienten ab.
Nach oben
Niwo
Mitglied
Beiträge: 5
Registriert: 01.12.2004 18:27
Wohnort: Hamburg
Kontaktdaten:
Kontaktdaten von Niwo

Beitrag von Niwo »

Hi, falls ihr ein Mod braucht was den ganzen md5 kram durch sha1 + magic token austauscht, meldet euch per PM bei mir.

Hintergrund: Mir ist genau das gleiche passiert, kann man im nachhinnein nichts machen ausser den usern bescheid geben. Aber naja für die Zukunft (nächsten angriff) hab ich das mal umgebaut.

SHA1 ist meines wissens nicht ganz so leicht zurückrechenbar, ausserdem hat man ohne magic token (also php code) nichts in der hand :-)
meistens wird ja nur die db gehackt, an den php code zu kommen ist nochmal ne andere nummer. war zumindest bei uns so.

Naja ist auch egal, ihr könnt euch das sicher auch kurz selber bauen. Und es ist wenigstens etwas was man als Admin tun kann.

Achso alle passwörter werden dann ungültig, also alle user müssten dann einmal durch die "passwort vergessen" funktion, aber das hat bei mir gut geklappt mit 5000 usern .. keine ahnung wieviele ihr hier habt

Gruß Niwo

-----
www.freelancerserver.de
Nach oben
_User_
Mitglied
Beiträge: 221
Registriert: 11.10.2007 19:56

Beitrag von _User_ »

edit Christian_W: Zitat entfernt

Da muss ich dir auch zustimmen, phpBB.de hat immer erstklassigen support geleistet. ich sehe keinen grund deswegen, dass ich phpBB.de jetzt weniger vertraue.

lg Toby
Nach oben
User-Einer
Mitglied
Beiträge: 451
Registriert: 23.12.2007 04:53

Beitrag von User-Einer »

WIESO ACCOUNT LÖSCHEN??? WAS HABT IHR DAVON??? :lol: :lol: :lol:

Solange dein PW hier nicht das selbe ist wie von deiner email adresse sehe ich keine probleme. woher sollen "die" wissen das du in einem anderen forum auch mitglied bist???
Nach oben
leererKopf
Mitglied
Beiträge: 13
Registriert: 11.08.2007 18:32

Beitrag von leererKopf »

exportforce hat geschrieben:Na allerherzlichsten.
Kein wunder das ich plötzlich noch mehr spam erhalte.
Klasse Arbeit :evil:
Hast wahrscheinlich bei Deiner Antwort in diesem Thread auf "Benachrichtigt mich, wenn eine Antwort geschrieben wurde" aktiviert! :D
Nach oben
Benutzeravatar
mgutt
Mitglied
Beiträge: 2999
Registriert: 31.08.2004 16:44
Wohnort: Hennef
Kontaktdaten:
Kontaktdaten von mgutt

Beitrag von mgutt »

mrgreen hat geschrieben:Na klasse, ich kann sämtliche Accounts ändern, das ist nicht nur mein Forenpasswort sondern auch mein Mailpasswort...... :roll:

Was ich nicht verstehe, warum sich gerade phpBB nicht sowas antut wie den Cracker Tracker oder einen DB Schutzsystem.......und jetzt kommt mir nicht "aus Performancegründen".....im Endeffekt habe ich aber auch nur zu wenig Ahnung von Brute Force angriffen und sonnstigen Hackerzeugs.
Cracker Tracker kann nur bekannte Lücken füllen. Das ist ein sogenanntes Blacklist-Verfahren was Root-Admins bereits lokal realisieren.

Die Security Engine finde ich sinnvoll, wenn man Angst hat, dass eingebaute Mods unsicher sein könnten. Ansonsten ist der Rest ziemlich oversized. Das ein Angriff erfolgt ist oder nicht interessiert einen nicht wirklich, wenn er sowieso blockiert wurde.

Ich Sachen Sicherheit empfehle ich das Magazin phpsolutions. In der Ausgabe 01/2008 gibt es ein Special dazu.
Blacker47 hat geschrieben:http://de.wikipedia.org/wiki/Salt_(Kryptologie)
(habe oberen Link nicht ganz als Link hier posten können)
Hier der richtige Link:
http://de.wikipedia.org/wiki/Salt_%28Kryptologie%29
Klammern entsprechen nicht der URL-Norm.

Wo ist der Vorteil von salt? Es reicht meiner Meinung nach z.B. sowas:

Code: Alles auswählen

md5($board_config['board_startdate'] . $pw);
Auf die Art hat jede phpBB-Installation eine eigene Verschlüsselung.

Was auch gehen würde, wäre "md5(md5($pw))". Denn niemand rechnet das zwei mal rückwärts aus.

Beides hilft aber nicht gegen Missbrauch von Autologin-Cookies. Daher sind Cookies immer unsicher. Ich plane aus diesem Grund auch alle Moderatoren-Funktionen auf 2L-Login Basis zu realisieren.
cYbercOsmOnauT hat geschrieben:Meine Emailadresse ist eh öffentlich (Siehe Signatur) und wenn ich zu den knapp 400 Spammails pro Tag nun 50 mehr bekomme, macht es bei mir den Braten auch nicht mehr fett. :D:D
Ich empfehle die Greylisting und Policydweight Filter. Beide haben ich seit knapp 2 Jahren im Einsatz und bekomme von früher 100 Spammails pro Tag noch ca. 5-10. Ich habe aber auch entsprechend viele Domains und viele kommen per Zufall durch ;)

@ all
Und weil ich euch alle gerade so aufregt. Ebay wurde seit 2 Jahren gehackt, ohne das Ebay die Nutzer darüber aufgeklärt hat. Das man bei Ebay z.B. nicht mehr die Namen in der Bieterliste sehen kann liegt daran, dass die Hacker diese Usernamen Emailadressen zuordnen konnten und damit gefakte Angebote an unterliegende Bieter senden konnten.

Ebay hat Ende letzten Jahres die meisten User darüber informiert. Übrigens wurden dabei auch alle Bankdaten etc. ausgelesen.

Für jede Seiten mit Login sollte man sich ein anderes Passwort aussuchen, zumindest dann wenn die eingegebenen Daten wertvoll sind. Das man sich die nicht alle merken kann ist klar, deswegen sollte man sich auch schriftlich notieren. Jeder hat Papier und Stift zu Hause, also daran sollte es nicht hapern.

Ich habe das damals wegen Ebay gemacht als ich gehört habe, dass Hacker fremde Datenbank ausgelesen haben und dann mit den Passwörtern probiert haben, ob sie bei Ebay identisch sind. Gleiches galt auch für Paypal.
Warum stellen die phpbb.de Admin nicht die Version von phpbb2 auf phpbb3 um?
Weil bereits zuvor gesagt wurde, dass es nicht am phpBB liegt, also hätte das das Problem nicht gelöst ;)
meine Foren: http://www.maxrev.de/communities.htm
Ich kaufe Dein Forum! Angebote bitte an marc at gutt punkt it
Nach oben
Kizu
Mitglied
Beiträge: 543
Registriert: 11.05.2007 15:19
Wohnort: Bremen
Kontaktdaten:
Kontaktdaten von Kizu

Beitrag von Kizu »

stei109 hat geschrieben:Wie hier schon jemand geschrieben hat....bei 5 Foren kein Problem, bei 100 Forenzugängen leg ich mir doch nicht 100 E-mail-accounts an und ruf die auch noch über einen Clienten ab.
dann richte halt ne weiterleitung ein.
Nach oben
elena69
Mitglied
Beiträge: 3
Registriert: 23.10.2007 01:49

Beitrag von elena69 »

Hallo,

nicht so schlimm - sollte die Mail-Adresse "bespamt" werden - wird sie gelöscht - fertig.
Nach oben
Benutzeravatar
Mahony
Ehemaliges Teammitglied
Beiträge: 12178
Registriert: 17.11.2005 22:33
Wohnort: Ostfildern Kemnat
Kontaktdaten:
Kontaktdaten von Mahony

Beitrag von Mahony »

Hallo
@blubbin

Gedulde dich bitte mit deinen Fragen denn
PhilippK hat geschrieben:Zugleich bitten wir auch um Verständnis, dass wir auf Grund der laufenden Ermittlungen derzeit einen Teil unserer Erkenntnisse nicht veröffentlichen werden.



Grüße: Mahony
Taekwondo in Berlin
Wer fragt, ist ein Narr für fünf Minuten, wer nicht fragt, ist ein Narr für immer.
Nach oben
FCM
Mitglied
Beiträge: 1863
Registriert: 03.05.2006 14:47
Kontaktdaten:
Kontaktdaten von FCM

Beitrag von FCM »

Na ja, ich hab kein Problem mit Spam. Bekomme derzeit eh nur noch wenig (50-100/d). Guter Spamfilter und weg sind sie.

Hoffentlich legt sich das alles bald wieder. :)
Nach oben
Antworten

Zurück zu „Community Talk“