phpBB.de

Boecki91 hat geschrieben:Es ist möglich Passwörter auf gleichheit zu Prüfen, man überlege:
Gleiches Passwort durch gleiche Hash-Funktion = gleicher Hash.

Ich will mich hier jetzt nicht als Moralapostel aufspielen, aber diese Aussage hatte ich auch schon bewusst für mich behalten. Manche Leute haben nämlich einfach zuviel Zeit und eine brennende Neugierde

Das ist kein Geheimnis.

Eben.
Außerdem wollte ich nochmal dazu sagen:
Du kannst in deinem board email,ip,benutzernamen sperren.
Ich denke, das sollte reichen.
Außerdem wäre es viel leichter, jeden user einzelnd freizuschalten, falls man zu große angst vor spammern hat.

Und ihr werdet keinen Grund finden bei dem Ihr als Admin sagen könnt ich brauch das Passwort von XY.

doch!
grund: TERRORISMUS!

http://www.heise.de/newsticker/meldung/101870

FWT hat geschrieben:

Und ihr werdet keinen Grund finden bei dem Ihr als Admin sagen könnt ich brauch das Passwort von XY.

doch!
grund: TERRORISMUS!

Auf die Inhalte, auf die man mit dem Passwort zugreifen kann, kann man als Betreiber des Forums immer zugreifen. Das Passwort dient der Authentifizierung, nicht der Verschlüsselung.

[quote="FWT"][quote]
Und ihr werdet keinen Grund finden bei dem Ihr als Admin sagen könnt ich brauch das Passwort von XY.[/quote]

doch!
grund: TERRORISMUS!

http://www.heise.de/newsticker/meldung/101870[/quote]

Erstens stimme ich bantu zu und 2:
Joa, bei dir im Forum is bestimmt ein Terrorist... :P
Wenn das so wäre, dann geh doch zur Polizei ;)

es geht hier nicht um mich UGC!

es tut mir sehr leid, und ich bitte inständig um verzeihung, wenn meine linkanspielung nicht verstanden wurde.

FWT hat geschrieben:es tut mir sehr leid, und ich bitte inständig um verzeihung, wenn meine linkanspielung nicht verstanden wurde.

Deine LINKanspielung ist schon verstanden worden, aber an dieser Stelle machst Du genau das gleiche was Du in diesem Thread von einem User verlangst... Eine Aussage mit einem Rechtlich nachhaltiger Quelle zu Bestätigen.
Eben hier machst Du den Fehler, die Quelle spiegelt eine US Regelung bzw. eine in USA gelagerten Fall.
Da Du ja so eine nähe zu Rechtlichen Klarstellungen hast, so bedenke das die Belange in USA weit ab von dem Rechtlichen Verständnis hier in Deutschland ist, somit ist die HEISE Mitteilung nur ein Spiegel dessen was über dem Teich passiert und nicht ein Fall den man hier und vor allen Dingen zum Thema dieses Threads als Quell- bzw Rechtsverweis benutzen sollte.

Zum Thema in diesem Thread:
Es gibt kein Eindeutiges Gesetz das genau dieses Sachverhalt in einem Paragraphen festlegt.
Jeder Anwalt / Staatsanwalt wird sich aus den vorhandenen Sicherheitsbestimmungen und Sicherheitsvorgaben ein Bild machen.
Und wie hier ja schon festgestellt wurde ist das Zitat aus dem Allgemeinen Datenschutzgesetz dadurch zerfetzt worden, weil im Definitionstext von Staatsdienern gesprochen wird. Eben hier wird jeder Anwalt einen Querverweis auch in den Privaten Administrativen Bereich machen.
So auch dieser, von vielen anderen vorhandenen Deutschen Quellverweisen, bezüglich einer Gesetzlichen Rahmenbildung.
http://www.baden-wuerttemberg.datenschu ... sswort.htm

Hierbei ist der Abschnitt als Gesetzliche Rahmenbildung an zu sehen.

• <> Ein Passwort muss geheim gehalten werden. Es darf nirgendwo aufgeschrieben und keiner anderen Person - auch nicht dem Systemverwalter oder dem dienstlichen Stellvertreter - mitgeteilt werden (R2).

Und ja, im Begründungstext ist auch ein Umstand aufgeführt der von PHPBB so gesehen, missachtet wird.
Was aber in Zusammenhang des Administrativen Zugang zur Datenbank eh ins Absurdum geführt werden kann.

Einzig auf die Frage bzw. auch nur den Gedankengang zum Decrypten des Passwortes ist klar und Eindeutig zu Beantworten.
-- > Es gibt keinen Grund für den Administrator ein Password in Klartext zu Decrypten und oder in Erfahrung zu bringen < --

Ich hab mir mal die Mühe gemacht und dieses schöne Thema durchgelesen...

Ich hab dazu eine Frage, ein Administrator hat im ACP die Möglichkeit ein Passwort eines Benutzers zuverändern. Ist diese Funktion dann nicht auch verboten, wenn ein Administrator dieses Passwort ohne jegliche Ermahnung oder sonst eine Mitteilung einfach ändert? Denn dies könnte ein Adminisrtaror ausnutzen und den so "geklauten" Account im Namen des ursprünglichen Benutzers für Manipulationen an der Community nutzen (zb Umfragen, Meinungsäusserungen und der gleichen)

Ich hab dies schon erlebt, deswegen frag ich mal ganz doof, darf ein Administrator das einfach so? (irgendwie ist die Frage doof, denn dann würde es ja diese Funktion ja garnicht im ACP geben -.-)

Ein (der) Administrator ist im Grunde genommen eigentlich die (DIE) Vertrauensperson Schlechthin.

Wenn also nach Deiner Erfahrung ein Admin seine """Machtstellung""" für so etwas wie beschrieben ausnutzt so solltest Du schnell Dir ein
anderes Forum suchen. Denn allein dieser Umstand besagt schon das solche Personen eigentlich kein Forum (ich strecke mich jetzt sogar raus) bzw. keinerlei Administrative Aktivitäten inne haben dürfen.

Wenn, wie in Deiner Beschreibung, aber der Admin das Passwort ändert um mit dem Usernamen unfug betreibt so wird es doch der Richtige User dann merken, weil sein Passwort nicht funktioniert.
Wie Du in dem Beispiel aufführst, das mit dem "geklauten" Account Votings geändert werden können, so ist dies über einen Datenbank zugriff wesentlich einfacher zu machen, bzw. über mehrere Fakeaccounts durchführbar.

Um aber die ganze Thematik ein wenig zu relativieren, ein Privatforum (ohne Geschäftsinteressen) hat durch sein Öffentliches Auftreten zwar ein gewisse Verantwortung die aber in seiner Gesamtheit immer noch eine Private Nutzung darstellt.
Soll heissen das hierdurch in erster Linie die Gesellschaftliche Richtlinien ein zu halten sind.
(Überwachung auf Ausdrucksweise und Verbotene Inhalte)
Wenn aber jemand sein Forum schliesst, so ist dies ohne Rechtliche Einhaltung von Lagerung der Backups, kein Thema.
Aufgrund dieser Privaten Nutzung kann der Besitzer des Forums (99,999999% auch der Admin) mit dem Forum umgehen wie es ihm beliebt.