phpBB.de

Geht es hier um BBCode oder HTML Code (+ javascript)?

sorry, ich meinte auch HTML (was man definitiv auch besser nicht erlauben sollte). informationen zur zugrundeliegenden sicherheitslücke wurden übrigens am 12. dezember (für <= 2.0.18) bzw. 5. januar (für <= 2.0.19) publik gemacht und scheinbar hat auch die phpbb group dazu via bugtracker schon ein statement abgegeben:

we do not intended to fix the previous issue in 2.0.19 (it was just preventing it by the quote change, which was good - but we intended this change because of other forseeable issues) - and i do not intend to fix this one. HTML is and was always "bad" and has been stated as being able to be entered "as is". In olympus we will therefore remove html support completely
...

mit anderen worten: wer html erlaubt hat auch in der 2.0.19 ein XSS problem!

Also kann sich keiner erklaeren wie er an die PWs kam?

Also kann sich keiner erklaeren wie er an die PWs kam?

doch - zumindestens wenn du html aktiviert hattest...

daruler hat geschrieben:Also kann sich keiner erklaeren wie er an die PWs kam?

Erklär mir mal wie er an die Versionsnummer kam...

Du hattest in Deinem Board HTML aktiviert, oder?

Ja, hatte/habe ich.

bei erlaubtem html ist wie o.a. in postings und privaten nachrichten sogenanntes cross-site-scripting möglich - bis zur version 2.0.18 war iirc im cookie darüberhinaus der hash-wert des passwortes abgespeichert. seit 2.0.19 wird dort zwar nur noch die session hinterlegt aber zumindestens theoretisch sollte selbst damit immernoch session-hijacking möglich sein - solange der betreffende benutzer sich nicht explizit abgemeldet hat.

fazit wie schon gesagt: html definitiv nicht erlauben!

Ich werde wohl nie erfahren, wie er denn an die PWs der anderen rangekommen ist...
Kann menn denn so leicht aus einem Hashwert das richtige Passwort ableiten?

daruler hat geschrieben:Ich werde wohl nie erfahren, wie er denn an die PWs der anderen rangekommen ist...

hast du schon einmal die texte der postings auf den schadcode hin untersucht? es reicht ja ein entsprechendes posting (wenn es sich denn der richtige anschaut)

Kann menn denn so leicht aus einem Hashwert das richtige Passwort ableiten?

alles ist relativ - und md5 ist gegenüber sha-1 und erst recht SHA-256 nun einmal unsicherer. bruteforce kostet zeit, rainbow-tables kosten speicherplatz.

larsneo hat geschrieben:

daruler hat geschrieben:Ich werde wohl nie erfahren, wie er denn an die PWs der anderen rangekommen ist...

hast du schon einmal die texte der postings auf den schadcode hin untersucht? es reicht ja ein entsprechendes posting (wenn es sich denn der richtige anschaut)

Auf welchen schadcode?
Und was genau sind "rainbow-tables" ?