phpBB.de

Wuppi hat geschrieben:@Mahony: das mit den x Anmeldeversuchen ist schon richtig. Nur kostet so nen Spamzugriff jedes mal performance und traffic . Ist die Datei nicht mehr da und durch ein dummy ersetzt, lässt sich das minimieren. ) ok pimp-my-trafic-and-performance ).

Jeder Zugriff braucht Performance, egal ob du ihn dann nun später als Spamzugriff identifizierst oder nicht. Klar kannst du das verringern wenn du die Datei durch einen Dummy ersetzt, weil die Datei dann aber immer noch php als Endung besitzen wird läuft da auf jeden Fall der PHP Prozessor drüber. Du kannst also genau so gut nur aus mode=login mode=karlheinzotto machen und den Fall mode=login in der ersten Zeile der ucp.php ins Nirvana schicken - dann läuft alles andere nach wie vor wie immer weiter und du hast gegenüber einem Komplettumzug eigentlich nichts verloren außer einer Menge unnützer Arbeit - ein Direktzugriff auf die anderen UCP Seiten ist für einen Spambot ja eher unsinnig da die ja nur mit Anmeldung erreichbar sind.

Wg. Copyright: ok also wenn ich das richtig verstanden habe, darf ich die (c)-Zeile komplett durch eine Grafik mit gleichem Inhalt ersetzen. Oder ich ersetze nur ein Wort durch eine Grafik. Hauptsache am Ende ist der Sinn nicht verdreht - das hatte ich ja nicht vor. Nur für Suchmaschinen unlesbar bzw. unbrauchbar machen.

Du darfst aber vor allem den Link nicht entfernen worüber das ganze dann vermutlich trotzdem wieder auffindbar wäre.

gn#36 hat geschrieben:

Wuppi hat geschrieben:Wg. Copyright: ok also wenn ich das richtig verstanden habe, darf ich die (c)-Zeile komplett durch eine Grafik mit gleichem Inhalt ersetzen. Oder ich ersetze nur ein Wort durch eine Grafik. Hauptsache am Ende ist der Sinn nicht verdreht - das hatte ich ja nicht vor. Nur für Suchmaschinen unlesbar bzw. unbrauchbar machen.

Du darfst aber vor allem den Link nicht entfernen worüber das ganze dann vermutlich trotzdem wieder auffindbar wäre.

was ist, wenn man den link mit tinyURL "verschleiert"? der link wär ja dann da, nur eben die suche über google würde nix mehr bringen, weil dort ja dann www.tinyurl.com/sPiJh412sD oder sowas steht. naja, nur so eine idee
es gibt da ja auch verschleierungen für mailadressen, gibt es das eigentlich auch für links?


ich ziehe im übrigen die "aktivierung durch den admin" vor, auf diese weise kommt es gar nicht dazu, das ein spamaccount überhaupt ins eigentliche forum gelangen kann. der müsste dann auch erstmal aus der gruppe "neu registrierte" rauskommen, bevor der durch das forum turnen und die mitgliederliste "abgreifen" könnte

Hallo erstmal,

bantu hat geschrieben:Was ginge ist das Passwort beim Login auf Länge zu überprüfen und dem Benutzer die Anmeldung zu verweigern bis er sein Passwort geändert hat, das macht phpBB aber nicht.

und wie könnte man dies realisieren?

redbull254 hat geschrieben:Hallo erstmal,

bantu hat geschrieben:Was ginge ist das Passwort beim Login auf Länge zu überprüfen und dem Benutzer die Anmeldung zu verweigern bis er sein Passwort geändert hat, das macht phpBB aber nicht.

und wie könnte man dies realisieren?

Ungetestet:
Im ACP im Tab Registrierung erst einmal die Länge und die Komplexität vorgeben. Danach die "Passwortänderung erzwingen:"-Dauer auf zB 365 Tage stellen, somit sollten die User dazu gezwungen sein ihr PW zu ändern. Zu guter letzt im User-Table user_passchg so gering setzen das jeder beim nächsten Login sein PW ändern muss. Bevor du das Jahr dann wieder erreicht hast solltest du einen "Kehraus" der inaktiven Benutzer machen (zB nach 10 Monaten) und dann kannst du die PW-Änderungspflicht ja wieder zurücksetzten so das jeder User wirklich nur einmal gezwungen wurde es zu ändern.

LG Un1

WEEDman hat geschrieben:

Phoenix hat geschrieben:

Boecki91 hat geschrieben:Nein das geht ja nicht, weil das Passwort verschlüsselt ist und man keinerlei Rückschlüsse auf das Orginal gibt.

doch es geht

man kann das PW wieder entschlüsseln

wenn du mir verrätst wie das geht, zahle ich dir 100€ (ungelogen!)

Bei wenig komplexen Kennwörter ist das nicht allzu schwer, den MD5-Hashwert herauszufinden. Oft reicht eine Googlesuche oder man nutzt Seiten wie wordd.org.

2a8182ae92610008deb4c6397f6e885e ist z.B. der Hash-Wert für modernist

http://wordd.org/2A8182AE92610008DEB4C6397F6E885E

Stichwort Rainbowtables: https://wiki.koeln.ccc.de/index.php?title=Rainbowtables

Bekomme ich jetzt die 100 Euro?

Hallo

Bekomme ich jetzt die 100 Euro?

Nein - du beziehst dich auf MD5. phpBB3 verwendet aber zusätzlich Salt.


Grüße: Mahony

Unimatrix_0 hat geschrieben:

redbull254 hat geschrieben:Hallo erstmal,

bantu hat geschrieben:Was ginge ist das Passwort beim Login auf Länge zu überprüfen und dem Benutzer die Anmeldung zu verweigern bis er sein Passwort geändert hat, das macht phpBB aber nicht.

und wie könnte man dies realisieren?

Ungetestet:
Im ACP im Tab Registrierung erst einmal die Länge und die Komplexität vorgeben. Danach die "Passwortänderung erzwingen:"-Dauer auf zB 365 Tage stellen, somit sollten die User dazu gezwungen sein ihr PW zu ändern. Zu guter letzt im User-Table user_passchg so gering setzen das jeder beim nächsten Login sein PW ändern muss. Bevor du das Jahr dann wieder erreicht hast solltest du einen "Kehraus" der inaktiven Benutzer machen (zB nach 10 Monaten) und dann kannst du die PW-Änderungspflicht ja wieder zurücksetzten so das jeder User wirklich nur einmal gezwungen wurde es zu ändern.

LG Un1

Danke für den Tipp, warum auch immer klappt es nicht wirklich.

Hier ist das richtige Thema dazu:
viewtopic.php?p=1219113#p1219113

Auf meiner seite habe ich mal ne zeit lang, (bis vor ca. 3 wochen) au solche zugriffe verzeichnen können. doch das war noch nicht alles:
erst fing er an passworter zu knacken, dann versuchte er das ftp konto ausfindig zu machen, dann die datenbank, und zum schluss hat er sogar noch versucht auf das controlpanel zuzugreifen.

Ich musste insgesamt über 10 IP-Adressen sperren, um endlich meine ruhe zu haben.

Hatte auch schon mal jemand so ne hartnäckige nuss?

Nein, ich habe seit bestehen des Forums (5 Jahre) Gott sei Dank noch nie eine Spam-Anmeldung gehabt und Brut-Force-Attacken finden jeden Tag im Netz statt, das ist an sich nichts ungewöhnliches.
(Passwort-Änderungen mache ich immer nur vorbeugend. Man weiß ja nie. Aber dieses Thema ist bei mir nun auch durch.)

Bei uns haben sie sich anfangs mit Brute Force begnügt. Als wir anfingen die IPs zu sperren war ein paar Tage Ruhe. Dann versuchten sie es über die Registrierung. Derzeit ist Ruhe - die IPs bleiben allerdings gesperrt.