phpBB.de

Philipp­K hat geschrieben:...allerdings ist es trotzdem gefährlich, denn nach "außen hin" sieht mein Benutzername nun einmal völlig identisch aus.
Und wenn ich jemandem von hier z.B. eine PN hiermit schreiben würde, würde das mit dem Profil und den Angaben gar nicht auffallen (da im PN-Bereich nicht zu sehen), und wenn jemand darauf antwortet, könnte er meinen, er schreibt dem echten...

Und genau das ließe sich theoretisch ausnutzen, um per PN an sensible Daten anderer User heranzukommen, indem ich die Identität vom "echten" vorspiele... Stichwort Social Engineering/Hacking -> http://de.wikipedia.org/wiki/Social_Hacking (nein, keine Angst, das habe ich nicht vor - diese Benutzernamen, die ich gewählt habe, dienen nur der Demonstration)

Wer immer noch nicht weiß, wie es geht: Das mysteriöse Zeichen ist das so genannte "weiche Trennzeichen" ­ - was in Windows z.B. mit ALT + 0173 zu erzeugen ist. Die Eigenart dieses Zeichens ist, dass es nur dann angezeigt wird (in Form von - ), wenn ein Zeilenumbruch nötig ist (was effektiv hier bei einem kurzen User-Namen nie der Fall sein dürfte). Wenn kein Zeilenumbruch erfolgen muss, ist das Zeichen nicht zu sehen!

Ich empfehle daher dringend, dieses Zeichen mit in die Liste der nicht erlaubten Sonderzeichen bei der Registrierung reinzunehmen!

So, jetzt könnt hir mich von mir aus löschen

DreamPromise hat geschrieben:Moin moin

wie gehts denn sowas ?????
Hat einer ne Anleiteung und gleichzeitig eine Abhilfe?
Oder muß man mit dieser Sache leben ???

DP

Wie es geht, hat der falsche "Philipp­K" gerade erzählt *g*

Aber die Abhilfe soll hier nicht fehlen, denn leben muss man nicht damit:

includes/functions_validate.php
suchen:

if (strstr($username, '"') || strstr($username, '"') || strstr($username, chr(160)))

ersetzten mit:

if (strstr($username, '"') || strstr($username, '"') || strstr($username, chr(160)) || strstr($username, chr(173)))

[Beitrag von mir gelöscht, da Lösung schon vorhanden]

Ich kann nur jedem raten, dass dringend zu patchen!

@Mods: Kann man diesen Beitrag nicht irgendwie hervorheben?!

Philipp­K hat geschrieben:

DreamPromise hat geschrieben:Moin moin

wie gehts denn sowas ?????
Hat einer ne Anleiteung und gleichzeitig eine Abhilfe?
Oder muß man mit dieser Sache leben ???

DP

Wie es geht, hat der falsche "Philipp­K" gerade erzählt *g*

Aber die Abhilfe soll hier nicht fehlen, denn leben muss man nicht damit:

includes/functions_validate.php
suchen:

if (strstr($username, '"') || strstr($username, '"') || strstr($username, chr(160)))

ersetzten mit:

if (strstr($username, '"') || strstr($username, '"') || strstr($username, chr(160)) || strstr($username, chr(173)))

Wenn ich das abändere muß ich dann trotzalldem &shy als verbotenen Benutzernamen eingeben, oder hat es sich damit erledigt?

Wenn ich das abändere muß ich dann trotzalldem &shy als verbotenen Benutzernamen eingeben, oder hat es sich damit erledigt?

Damit hat es sich erledigt

Wenn man ­ eingeben würde bei der Registration, wird es in (neueren) phpBB-Versionen intern in ­ umgewandelt und sollte dadurch eh nicht mehr "gefährlich" sein... (aber schaden tut es sicherlich nicht, wenn du auch die Zeichenfolge "­" verbietest)

Hi,

gibt es eine Möglichkeit, dass man im Benutzer Namen nur Buchstaben (groß und klein), Zahlen, den Binde- und Unterstrich nutzen kann?
Ich möchte dass alle anderen Sonderzeichen nicht erlaubt sind.

Eins würde mich noch interessieren:
Ist irgendwo in die minimal / maximal Länge das Benutzernamen festgelegt?

ne-r-o hat geschrieben:Eins würde mich noch interessieren:
Ist irgendwo in die minimal / maximal Länge das Benutzernamen festgelegt?

Hallo Nero,

hier wirst Du fündig: http://www.phpbb.de/viewtopic.php?t=101711

LG, IPB_Flüchtling

hab das auch gleich mal gemacht

danke für den hinweis