Diskussion zu Benutzerdaten auf phpBB.de ausspioniert

[PhilippK]

Dankt magic_quotes_gpc on brauche ich mir über solche Angriffsarten keine Gedanken machen.

Das ist aber gerade das gefährliche dran. Das führt dann zu Bequemlichkeiten bei der Programmierung.
Jedes Programm sollte unabhängig der Kofiguration von magic_quotes funktionieren. Und spätestens mit PHP 6 wird es sogar völlig ohne auskommen müssen.

Gruß, Philipp

[gn#36]

Wenn man alle include Dateien außerhalb des erreichbaren Bereichs ablegen würde dann hätte man natürlich das Problem, dass man einen großen Teil des Basissystems von phpBB umschreiben müsste (alle Stellen an denen ein include vorgenommen wird). Das macht beim Update dann Probleme und ist natürlich zusätzliche Fehlerquelle. Letztlich macht eine .htaccess aber ja nichts anderes als das Verzeichnis aus dem erreichbaren Bereich herauszunehmen. Dem Webserver den Zugriff darauf verwehren kann man ja nicht so ohne weiteres, da Zugriff ja notwendig ist, um die Dateien überhaupt benutzen zu können. Man muss - wenn man Zugriff auf den Server hat - die Sperrung ja auch nicht in die .htaccess legen sondern kann sie auch direkt in die Konfigurationsdatei des Webservers mit aufnehmen, so dass man nicht Gefahr läuft diese beim Bearbeiten der .htaccess aus versehen zu entfernen.

Auch nicht im Document Root liegende Dateien sind erreichbar wenn man schon eine Lücke gefunden hat (sofern man weiß wo die Dateien sind, das lässt sich aber auf jeden Fall herausfinden). Wenn nicht dann ist aber der .htaccess Schutz genau so sicher.

Absolute Sicherheit gibt's eben nur durch das entfernen der Software vom Server...

[miccom]

Absolute Sicherheit gibt's eben nur durch das entfernen der Software vom Server...

Leider macht das keiner von den Nörglern!

[larsneo]

Dankt magic_quotes_gpc on brauche ich mir über solche Angriffsarten keine Gedanken machen.

Das ist aber gerade das gefährliche dran. Das führt dann zu Bequemlichkeiten bei der Programmierung.
Jedes Programm sollte unabhängig der Kofiguration von magic_quotes funktionieren. Und spätestens mit PHP 6 wird es sogar völlig ohne auskommen müssen.

magic_quotes_gpc ist aus verschiedenen gründen keine gute idee - neben der performance (marginale einbussen) sind es vor allen dingen auch unerwünschte nebeneffekte die bei der php-group letztendlich doch zum einsehen geführt haben, dass derartige 'magie' mit tatsächlicher sicherheit recht wenig zu tun hat (letztendlich ist es nämlich murks wie register_globals).

This feature is DEPRECATED and REMOVED as of PHP 6.0.0. Relying on this feature is highly discouraged.

ich habe vor einiger zeit dazu auch mal was getippselt: magic_quotes_gpc.

[RubberDuck]

Wenn man alle include Dateien außerhalb des erreichbaren Bereichs ablegen würde dann hätte man natürlich das Problem, dass man einen großen Teil des Basissystems von phpBB umschreiben müsste (alle Stellen an denen ein include vorgenommen wird). Das macht beim Update dann Probleme und ist natürlich zusätzliche Fehlerquelle.

Aber dafür würde eine Abfrage "Pfad zu den Includedaten" im ACP das ganze vereinfachen. Und der Pfad wird dann halt für die includes genutzt.

Auch nicht im Document Root liegende Dateien sind erreichbar wenn man schon eine Lücke gefunden hat (sofern man weiß wo die Dateien sind, das lässt sich aber auf jeden Fall herausfinden). Wenn nicht dann ist aber der .htaccess Schutz genau so sicher.

Stimmt, nur sind meist die erforderlichen .htaccess Dateien im Original-Download garnicht vorhanden. Und wenn dann solche "Lücken" auftreten, wie z.B. mit den Sprachdateien beim Album, dann kann evtl. der Hacker schneller sein bevor man an die fehlende .htaccess denkt

[mgutt]

Der Unterschied zu mysql_real_escape_string ist mir bereits aus diesem Bericht hinreichend bekannt, der gar nicht magic, sondern direkt addslashes() kritisiert. Aber magic_quotes_gpc hilft da wo Anfänger keinen Einblick mehr haben können, nämlich dann wenn fremde Scripte auf dem eigenen Server platziert werden. Schon selbst entwickelte Scripte, wie dieser Angriff und viele andere beweisen, resultierten MySQL-Inclusions, wobei viele Inclusions auch locker an magic vorbeikommen, da sie simpel auf Anführungszeichen verzichten und mit einem Komma UNION SELECTS einschleusen oder parallel External File Inclusion betreiben.

Und es ist meiner Meinung nach unsinnig magic zu kritisieren, während phpbb2 kein real_escape nutzt und zusätzlich täglich mit ungeprüften Modulen Dritter erweitert wird.

phpBB erleidet bei jedem erfolgreichen Angriff einen Imageschaden und diesen kann man nur eindämmen, in dem man entweder Module Dritter einschränkt oder die allgemeinen Sicherheitsrichtlinien verbessert.

Und von PHP6 sind wir noch so weit entfernt wie die Türkei von der EU.

Meine persönliche Meinung zur Entwicklung von PHP ist noch gegensätzlicher, da es sich für mich viel zu stark in C entwickelt, als eine einfache Struktur beizubehalten. PHP4 ist Apple und PHP6 ist Microsoft, aber diese Diskussion ist eindeutig fehlt am Platz

Letztlich macht eine .htaccess aber ja nichts anderes als das Verzeichnis aus dem erreichbaren Bereich herauszunehmen

Der Meinung bin ich auch. Wenn eine external/local file inclusion gegriffen hat, dann ist es auch vollkommen egal wo die Dateien abgelegt wurden, da man sie dann an Hand des Quelltextes selber aufspüren und leicht einlesen/ausgeben kann.

Ich werde denke ich die Emailadressen in meinem Forum verschlüsselt hinterlegen. MySQL bietet einige kryptische Funktionen zur Ver- und Entschlüsselung an. Und solange kein Zugriff auf den Quelltext der Dateien erreicht wird, um das Passwort herauszufinden, sind diese zumindest im MySQL-Inclusion Fall unbrauchbar.

Oder kennt jemand schon einen Hack für AES-Verschlüsselungen?

Gruß

[S2B]

Aber dafür würde eine Abfrage "Pfad zu den Includedaten" im ACP das ganze vereinfachen. Und der Pfad wird dann halt für die includes genutzt.

Nur ist dieser Pfad bei vielen Includes noch gar nicht ausgelesen... Abgesehen davon würde ich diesen Pfad auch nicht so variabel gestalten, da sonst ein Hacker - sollte er die Möglichkeit haben, die Config-Tabelle zu verändern - ziemlich einfach dein komplettes Board zerschießen könnte. Ich würde stattdessen eine einfache Variable oder noch besser eine Konstante verwenden, entsprechend zum $phpbb_root_path.

Dennoch würde ich .htaccess-Dateien einsetzen, da du dir dadurch den ganzen Stress des Umschreibens ersparst, wodurch du letztendlich auch keinen Vorteil, sondern eher Nachteile hättest (z.B. MOD-Einbau).

[gn#36]

Aber dafür würde eine Abfrage "Pfad zu den Includedaten" im ACP das ganze vereinfachen. Und der Pfad wird dann halt für die includes genutzt.

Nur ist dieser Pfad bei vielen Includes noch gar nicht ausgelesen... Abgesehen davon würde ich diesen Pfad auch nicht so variabel gestalten, da sonst ein Hacker - sollte er die Möglichkeit haben, die Config-Tabelle zu verändern - ziemlich einfach dein komplettes Board zerschießen könnte. Ich würde stattdessen eine einfache Variable oder noch besser eine Konstante verwenden, entsprechend zum $phpbb_root_path.

Die Probleme gehen da eigentlich noch viel weiter: Wenn er an den Include Pfad rankommt kann er - sofern url includes erlaubt sind - beliebigen Code auf dem Server ausführen und den z.b. als Spamschleuder verwenden (zur Not über die SMTP Daten die in der Datenbank drin sind wenn es über den Server selbst nicht geht).

Dennoch würde ich .htaccess-Dateien einsetzen, da du dir dadurch den ganzen Stress des Umschreibens ersparst, wodurch du letztendlich auch keinen Vorteil, sondern eher Nachteile hättest (z.B. MOD-Einbau).

Richtig.

Dass die .htaccess Dateien nicht gleich mitgeliefert werden ist auch in meinen Augen nicht besonders günstig. Allerdings gibt es natürlich auch Server, auf denen diese gar nicht funktionieren (z.b. auf denen wo ein anderer Webserver als der Apache eingesetzt wird).

[yngvar]

Hallo zusammen,

heute hab ich die Folgende E-mail erhalten. Die Absenderdomaine ist meines wissens anch mir nicht bekannt. Zudem enthält sie WERBUNG.
Bis jetzt bin ich auf die E-mail noch nich drauf eingeganen. Ich würde euch gerne um eure Meinung zu der E-mail bitte, wie ihr sie einschätzt (man beachte ich wurde nich mit einem Usernamen angesprochen ...)

Von: noreply@okbb.de
An: [EDITIERT]
Betreff: Dein kostenloses phpBB3Forum in 60Sekunden eingerichtet.
Datum: Fri, 08. Feb 2008 15:42:15 +0100

Sehr geehrte User,
wir freuen uns euch mitteilen zu können, dass wir nun auch das neue phpBB3 in unserem
Sortiment haben.

Auf http://www.okbb.de kannst du dir innerhalb einer Minute dein eigenes kostenloses
phpBB3 Forum einrichten.

Das neue phpBB3 wurde komplett überarbeitet und hat zahlreiche Erweiterungen bekommen
wie z.B.

- Eigene BB code Buttons
- Dateianhänge
- Automatische Thumbnails von Bildern
- Mehrere Dateianhänge aufeinmal hochladen
- Passwortgeschützte Foren
- Eigene Styles pro Forum

+ ca. 30 weitere Neuerungen.

Sollte dein Forum mindestens 20 Mitglieder und 100 qualitative Posts erreichen, gibt
es eine kostenlose DE Domain (www.deinname.de) oben drauf !

Also schaus dir mal an.
http://www.okbb.de



Mit freundlichen Grüßen.
Ihr Team von Kostenlose-foren.org



Dieser Newsletter ist eine kostenlose Dienstleistung, die wir im Rahmen der mit uns
eingegangenen Geschäftsbeziehung für Sie erbringen und begründet daher keinen Verstoss
gegen das Telekommunikationsgesetz (TKG).


http://www.share2file.de/cgi-bin/nl/new ... =[EDITIERT]

Mfg, Heinrich Sandmeyer

[Divebaer]

schau mal unseren Gast !

http://www.phpbb.de/viewtopic.php?t=163 ... eforen+org

das 8. post auf der Seite (ca mitte)