phpBB.de

StefanB hat geschrieben:

stei109 hat geschrieben:Wo ist der Unterschied von einer "extra Mailadresse" für Foren zu einer einzigen Mailadresse für Foren und andere Zugänge?
Wenn Spam zu befürchten ist, krieg ich ihn sowieso - egal auf welche Adresse.

Daher besser für jedes Forum eine eigene Adresse verwenden. Die ist schnell geändert, und gut iss...

Wie hier schon jemand geschrieben hat....bei 5 Foren kein Problem, bei 100 Forenzugängen leg ich mir doch nicht 100 E-mail-accounts an und ruf die auch noch über einen Clienten ab.

Hi, falls ihr ein Mod braucht was den ganzen md5 kram durch sha1 + magic token austauscht, meldet euch per PM bei mir.

Hintergrund: Mir ist genau das gleiche passiert, kann man im nachhinnein nichts machen ausser den usern bescheid geben. Aber naja für die Zukunft (nächsten angriff) hab ich das mal umgebaut.

SHA1 ist meines wissens nicht ganz so leicht zurückrechenbar, ausserdem hat man ohne magic token (also php code) nichts in der hand
meistens wird ja nur die db gehackt, an den php code zu kommen ist nochmal ne andere nummer. war zumindest bei uns so.

Naja ist auch egal, ihr könnt euch das sicher auch kurz selber bauen. Und es ist wenigstens etwas was man als Admin tun kann.

Achso alle passwörter werden dann ungültig, also alle user müssten dann einmal durch die "passwort vergessen" funktion, aber das hat bei mir gut geklappt mit 5000 usern .. keine ahnung wieviele ihr hier habt

Gruß Niwo

-----
www.freelancerserver.de

edit Christian_W: Zitat entfernt

Da muss ich dir auch zustimmen, phpBB.de hat immer erstklassigen support geleistet. ich sehe keinen grund deswegen, dass ich phpBB.de jetzt weniger vertraue.

lg Toby

WIESO ACCOUNT LÖSCHEN??? WAS HABT IHR DAVON???

Solange dein PW hier nicht das selbe ist wie von deiner email adresse sehe ich keine probleme. woher sollen "die" wissen das du in einem anderen forum auch mitglied bist???

exportforce hat geschrieben:Na allerherzlichsten.
Kein wunder das ich plötzlich noch mehr spam erhalte.
Klasse Arbeit

Hast wahrscheinlich bei Deiner Antwort in diesem Thread auf "Benachrichtigt mich, wenn eine Antwort geschrieben wurde" aktiviert!

mrgreen hat geschrieben:Na klasse, ich kann sämtliche Accounts ändern, das ist nicht nur mein Forenpasswort sondern auch mein Mailpasswort......

Was ich nicht verstehe, warum sich gerade phpBB nicht sowas antut wie den Cracker Tracker oder einen DB Schutzsystem.......und jetzt kommt mir nicht "aus Performancegründen".....im Endeffekt habe ich aber auch nur zu wenig Ahnung von Brute Force angriffen und sonnstigen Hackerzeugs.

Cracker Tracker kann nur bekannte Lücken füllen. Das ist ein sogenanntes Blacklist-Verfahren was Root-Admins bereits lokal realisieren.

Die Security Engine finde ich sinnvoll, wenn man Angst hat, dass eingebaute Mods unsicher sein könnten. Ansonsten ist der Rest ziemlich oversized. Das ein Angriff erfolgt ist oder nicht interessiert einen nicht wirklich, wenn er sowieso blockiert wurde.

Ich Sachen Sicherheit empfehle ich das Magazin phpsolutions. In der Ausgabe 01/2008 gibt es ein Special dazu.

Blacker47 hat geschrieben:http://de.wikipedia.org/wiki/Salt_(Kryptologie)
(habe oberen Link nicht ganz als Link hier posten können)

Hier der richtige Link:
http://de.wikipedia.org/wiki/Salt_%28Kryptologie%29
Klammern entsprechen nicht der URL-Norm.

Wo ist der Vorteil von salt? Es reicht meiner Meinung nach z.B. sowas: Auf die Art hat jede phpBB-Installation eine eigene Verschlüsselung.

Was auch gehen würde, wäre "md5(md5($pw))". Denn niemand rechnet das zwei mal rückwärts aus.

Beides hilft aber nicht gegen Missbrauch von Autologin-Cookies. Daher sind Cookies immer unsicher. Ich plane aus diesem Grund auch alle Moderatoren-Funktionen auf 2L-Login Basis zu realisieren.

cYbercOsmOnauT hat geschrieben:Meine Emailadresse ist eh öffentlich (Siehe Signatur) und wenn ich zu den knapp 400 Spammails pro Tag nun 50 mehr bekomme, macht es bei mir den Braten auch nicht mehr fett. :D

Ich empfehle die Greylisting und Policydweight Filter. Beide haben ich seit knapp 2 Jahren im Einsatz und bekomme von früher 100 Spammails pro Tag noch ca. 5-10. Ich habe aber auch entsprechend viele Domains und viele kommen per Zufall durch

@ all
Und weil ich euch alle gerade so aufregt. Ebay wurde seit 2 Jahren gehackt, ohne das Ebay die Nutzer darüber aufgeklärt hat. Das man bei Ebay z.B. nicht mehr die Namen in der Bieterliste sehen kann liegt daran, dass die Hacker diese Usernamen Emailadressen zuordnen konnten und damit gefakte Angebote an unterliegende Bieter senden konnten.

Ebay hat Ende letzten Jahres die meisten User darüber informiert. Übrigens wurden dabei auch alle Bankdaten etc. ausgelesen.

Für jede Seiten mit Login sollte man sich ein anderes Passwort aussuchen, zumindest dann wenn die eingegebenen Daten wertvoll sind. Das man sich die nicht alle merken kann ist klar, deswegen sollte man sich auch schriftlich notieren. Jeder hat Papier und Stift zu Hause, also daran sollte es nicht hapern.

Ich habe das damals wegen Ebay gemacht als ich gehört habe, dass Hacker fremde Datenbank ausgelesen haben und dann mit den Passwörtern probiert haben, ob sie bei Ebay identisch sind. Gleiches galt auch für Paypal.

Warum stellen die phpbb.de Admin nicht die Version von phpbb2 auf phpbb3 um?

Weil bereits zuvor gesagt wurde, dass es nicht am phpBB liegt, also hätte das das Problem nicht gelöst

stei109 hat geschrieben:Wie hier schon jemand geschrieben hat....bei 5 Foren kein Problem, bei 100 Forenzugängen leg ich mir doch nicht 100 E-mail-accounts an und ruf die auch noch über einen Clienten ab.

dann richte halt ne weiterleitung ein.

Hallo,

nicht so schlimm - sollte die Mail-Adresse "bespamt" werden - wird sie gelöscht - fertig.

Hallo
@blubbin

Gedulde dich bitte mit deinen Fragen denn

PhilippK hat geschrieben:Zugleich bitten wir auch um Verständnis, dass wir auf Grund der laufenden Ermittlungen derzeit einen Teil unserer Erkenntnisse nicht veröffentlichen werden.

Grüße: Mahony

Na ja, ich hab kein Problem mit Spam. Bekomme derzeit eh nur noch wenig (50-100/d). Guter Spamfilter und weg sind sie.

Hoffentlich legt sich das alles bald wieder.