Diskussion zu Benutzerdaten auf phpBB.de ausspioniert

[FCM]

Wieso schreibst du das 3 mal?

Frag mich nicht, ich denke mal der Server mag mich heute nicht .... liegt wohl an den vielen Gummischuhen die heute unterwegs sind.

Aber manches sollte man hier noch öfter schreiben

Muki

Wenn man ein paar Mal auf "Absenden" klickt, wenns laggt, kommt sowas vor.

[Ambience]

Nabend,

Das ich das noch erleben darf!

Ich finds nicht weiter schlimm, hab ja mehrere Aktive E-Mailaccounts als aktiver Webmaster und hab einfach nen anderen genommen und das Passwort auch mal geändert..

Vielen Dank für die Information

Mit freundlichem Gruß
Ambience

[felixx]

Hi,

für die Leute mit dem Problem der Passwörter empfehle ich: http://www.password-depot.de/

@ phpbb.de Team, Danke das ihr eine Info gesendet habt.

[Muki]

Wenn man ein paar Mal auf "Absenden" klickt, wenns laggt, kommt sowas vor.

Nicht nur da

Nur eben mit klicken hab ich es nicht so.

Doch danke für die nette Belehrung.

Muki

[mgutt]

Genau, mit dem MD5-Hash und der email-Adresse lassen sich nämlich keine Schweinereien anstellen...:rolleyes:

Doch kann man, da man sich mit einem Autologin-Cookie einloggen kann.

Nö, in einem aktuellen phpBB (2) autologin Cookie findet sich nicht der Passwort Hash.

Nicht? Klaro. Autologin-ID heißt der String und User-ID ist noch drin.

Autologin-ID == md5(pw) aus der Db oder irre ich mich da jetzt?

[redbull254]

Da es hier doch einige beleidigende Beiträge gibt, werde ich die jetzt entfernen.
Betroffene User werden automatisch per PN informiert und der ein oder andere wird auch den Knigge bestätigen dürfen. Für alle die nach diesem Beitrag von mir noch weitermachen andere User (gleichgültig ob Teammitglied oder nicht) zu beleidigen, erhalten einen Extrabonus beim Knigge bestätigen.

Gruß Christian

Eine sehr gute Idee, man kann ja seinen evtl. vorhandenen Unmut auch höflich kund tun.

[mgutt]

edit Christian_W: Zitat entfernt


Das interessiert mich. Wie meinst Du das? Wo speicherst Du die restlichen Daten und welche Daten sind damit gemeint?

[Inferi74]

Ich hoffe man nimmt es mir nicht übel wenn ich die allgemeine "Diskussion" hier mal mit einer sachlichen Frage unterbreche, aber hat das wirklich Erfolgsaussichten bei solchen Angriffen eine Anzeige zu machen? Ich meine, wer Foren und Server hackt, der wird doch sicher auch schlau genug sein seine Spuren zu verschleiern?

[gn#36]

Ich versuche mal hier mit ein paar Problemen aufzuräumen:

Muss ich mir um mein Passwort sorgen machen, welches aus mehr als 12 Stellen besteht mit Groß-und Kleinbuchstaben, sowie Zahlen und Sonderzeichen ?

Es gibt so genannte Rainbow Tables in denen ein Reverse-Lookup einiger md5 Hashes möglich ist. Es ist natürlich nicht auszuschließen dass auch ein einigermaßen zufälliges, 12 stelliges Passwort dabei ist, die Chance bei kurzen oder "Standard" Passwörtern ist aber deutlich höher.

Was ich nicht verstehe, warum sich gerade phpBB nicht sowas antut wie den Cracker Tracker oder einen DB Schutzsystem.......und jetzt kommt mir nicht "aus Performancegründen".....im Endeffekt habe ich aber auch nur zu wenig Ahnung von Brute Force angriffen und sonnstigen Hackerzeugs.

Der Cracker Tracker kann eigentlich auch nur bekannte Lücken schließen und hilft wenn man Mods einbaut über deren Sicherheit man sich nicht sicher ist. Heuristik funktioniert auch da nur sehr rudimentär und einen 100% Schutz bietet auch sowas nicht.

Was ist eigentlich mit gesperrten Usern? Weil die können die PW's ja nicht ändern...

Wenn die sich nicht einloggen können, dann andere mit geklauten Daten auch nicht. Außerdem gibt es ja immer noch die guten alten Emails für Notfälle dieser Art.

Gestern fand der Angriff auf sensibelste Daten von Usern statt, und schon mindestens ~18 Stunden später wird man darüber informiert. Aufgrund der ungenauen Zeitangabe könnten es auch locker ~42 Stunden gewesen sein. Dies ist für die Daten, um die es hier geht, Passwörter und E-Mail-Adressen, eindeutig zu lange!

So ein Angriff will auch entdeckt werden, den Zeitpunkt des Angriffs dann genauer zu bestimmen ist im Nachhinein anhand der Logs natürlich einfach.

Warum stellen die phpbb.de Admin nicht die Version von phpbb2 auf phpbb3 um? Oder ändern zumindestens die Verschlüsselungsart? Ist dies überhaupt so einfach möglich?

Das ist beides nicht so einfach möglich. Die Verschlüsselungsart zu ändern geht nur bedingt da entweder die Wahl an Algorithmen eingeschränkt ist, da wir die Passwörter nicht kennen (und damit quasi die md5 Passwörter nur noch mal nachverschlüsseln könnten) oder aber eine Mischung aus alten und neuen Passwörtern in der DB wäre (so wie bei phpbb3 nach der Konvertierung). Zum anderen würde die Verschlüsselungsänderung die Umstellung auf phpbb3 schwierig machen da wir dann probleme mit den Passwörtern bekommen könnten. Warum wir noch nicht umgestellt haben siehe Suche, it's done when it's done.

Und was bringts mir, jetzt mein Passwort zu ändern und überall sonst, wo ich es mit dem Benutzernamen verwendet habe ebenfalls?
Vielleicht wird die Datenbank ja morgen früh wieder geknackt und ich kann wieder von vorne anfangen...

Wir haben die Lücke inzwischen geschlossen (ausschließen kann man natürlich nie dass etwas übersehen wurde).

Streitereien über das eine oder andere Thema hier müssen übrigens nicht unbedingt in dem Ton ablaufen den ein paar Personen hier anschlagen. Wenn ihr euren Frust ablassen möchtet, bitte, aber wendet euch dabei nicht auf unfreundliche Weise gegen andere Benutzer. Danke.

[w_ds]

Haltet uns doch auf dem Laufenden, ja?

Ansonsten THX für die schnelle Reaktion.

Greets,
Stef