Probleme bei der regulären Arbeiten mit phpBB, Fragen zu Vorgehensweisen oder Funktionsweise sowie sonstige Fragen zu phpBB im Allgemeinen.
Forumsregeln phpBB 2.0 hat das Ende seiner Lebenszeit überschritten
phpBB 2.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 2.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf phpBB 3.1, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
Geht es hier um BBCode oder HTML Code (+ javascript)?
sorry, ich meinte auch HTML (was man definitiv auch besser nicht erlauben sollte). informationen zur zugrundeliegenden sicherheitslücke wurden übrigens am 12. dezember (für <= 2.0.18) bzw. 5. januar (für <= 2.0.19) publik gemacht und scheinbar hat auch die phpbb group dazu via bugtracker schon ein statement abgegeben:
we do not intended to fix the previous issue in 2.0.19 (it was just preventing it by the quote change, which was good - but we intended this change because of other forseeable issues) - and i do not intend to fix this one. HTML is and was always "bad" and has been stated as being able to be entered "as is". In olympus we will therefore remove html support completely
...
mit anderen worten: wer html erlaubt hat auch in der 2.0.19 ein XSS problem!
gruesse aus dem wilden sueden
larsneo
..::[krapohl.net]::..
bei erlaubtem html ist wie o.a. in postings und privaten nachrichten sogenanntes cross-site-scripting möglich - bis zur version 2.0.18 war iirc im cookie darüberhinaus der hash-wert des passwortes abgespeichert. seit 2.0.19 wird dort zwar nur noch die session hinterlegt aber zumindestens theoretisch sollte selbst damit immernoch session-hijacking möglich sein - solange der betreffende benutzer sich nicht explizit abgemeldet hat.
fazit wie schon gesagt: html definitiv nicht erlauben!
gruesse aus dem wilden sueden
larsneo
..::[krapohl.net]::..
Ich werde wohl nie erfahren, wie er denn an die PWs der anderen rangekommen ist...
Kann menn denn so leicht aus einem Hashwert das richtige Passwort ableiten?
daruler hat geschrieben:Ich werde wohl nie erfahren, wie er denn an die PWs der anderen rangekommen ist...
hast du schon einmal die texte der postings auf den schadcode hin untersucht? es reicht ja ein entsprechendes posting (wenn es sich denn der richtige anschaut)
Kann menn denn so leicht aus einem Hashwert das richtige Passwort ableiten?
alles ist relativ - und md5 ist gegenüber sha-1 und erst recht SHA-256 nun einmal unsicherer. bruteforce kostet zeit, rainbow-tables kosten speicherplatz.
gruesse aus dem wilden sueden
larsneo
..::[krapohl.net]::..
daruler hat geschrieben:Ich werde wohl nie erfahren, wie er denn an die PWs der anderen rangekommen ist...
hast du schon einmal die texte der postings auf den schadcode hin untersucht? es reicht ja ein entsprechendes posting (wenn es sich denn der richtige anschaut)
Auf welchen schadcode?
Und was genau sind "rainbow-tables" ?
