Seite 6 von 16
Verfasst: 29.03.2006 13:32
von larsneo
ich kann ehrlich gesagt dem 'release early, release often' [1] paradigma nicht besonders viel abgewinnen - und hoffentlich ist das phpbb auch irgendwann über die phase aneinandergereihter securityfixes hinweg
[1]
release early, release often
was ich mir für die 2.0.20 wünschen würde ist neben erweitertem dDOS schutz in erster linie eine bessere überprüfung der erlaubten benutzernamen, unterstützung von idn-domains, safehtml o.ä. als ausgabewrapper und ein optimierter schutz vor automatisierten anmeldungen - und damit meine ich nicht (nur) eine andere captcha-variante.
aber nu schluss mit OT
Verfasst: 30.03.2006 09:39
von mh
@all,
bei mir im Board habe ich alle erwähnten in die Benutzernamen verbieten Liste getan, ein paar davon hatten sich schon registriert, habe ich verbannt.
Nun hat eine befreundete Forenbetreiberin von mir innerhalb kürzester Zeit erst von Funklatow das Forum platt gelegt bekommen, ohne das sie als Admin in ihr Board wieder rein kam. Nachdem der Schaden behoben wurde, hat gestern einer der sich als Skeet registriert hatte, das Forum komplett gelöscht, sie kam nicht mehr rein, konnte garnichts tun.
Was lief da ab?
Verfasst: 30.03.2006 09:48
von miccom
welche phpbb version hatte sie zu diesem zeitpunkt installiert?
Verfasst: 30.03.2006 10:22
von mh
oh, da muss ich sie mal fragen, gebe dann Bescheid, war aber eine ältere Version
Verfasst: 30.03.2006 10:41
von miccom
naja, für alles vor 2.0.19 sind würmer unterwegs die bekannte lücken ausnutzen... das erklärt "Was da ab lief"
Verfasst: 31.03.2006 12:42
von mh
Sie sagte mir es wäre eine 1. 6. oder 1. 8. Version gewesen, also doch schon ziemlich älter.
Ich habe ihr geraten die neue Version zu nehmen, zur Sicherheit.
Verfasst: 31.03.2006 18:26
von JumpinJack
Wegen der Lücke bzw der Autoanmeldung: Gibts da was neues? Ich hoffe wenns da was gibt, wird der erste Beitrag editiert oder? Ich wollte nicht den ganzen Thread durch ackern!
Verfasst: 31.03.2006 18:28
von derd
Ich habe mal zum Test den Advanced_Visual_Confirmation Mod eingebaut. Seit dem habe ich Ruhe vor den lieben Bots.
Verfasst: 31.03.2006 22:36
von Christian_N
Der MOD von Amigalink ist auch wirklich gut, da die Bots diesen CAPTCHA (noch) nicht kennen
Fragt sich nur wie langen, aber dank den ganze Einstellungen im ACP haben alle phpBB Board es anders und sollte es mal ein Bot schaffen so kann man ihn leicht ändern mit andere Fonts und Einstellungen im ACP
Da kann man nur ein dank an AmigaLink aussprechen
Verfasst: 01.04.2006 17:56
von Feuerwolf
SuesseMaus28884 hat geschrieben:... Fragt sich nur wie langen, aber dank den ganze Einstellungen im ACP haben alle phpBB Board es anders und sollte es mal ein Bot schaffen so kann man ihn leicht �ndern mit andere Fonts und Einstellungen im ACP
Da w�re es ja von vorteil wenn, wenn das erste �ffenen des ACP eine zuf�llige aber sichere Einstellung vorgiebt. Es giebt ja viele User (bin manchmal auch so einer) die alles auf Standard einstellungen lassen besonders, wenn sie sich nicht mit dem tool besch�ftigen und/oder unsicher sind.
Ich glaube am besten w�re es, wenn bei der installation des phpbb boards automatisch das erstellen einer Frageliste dazugeh�rt mit zuf�lligen aber m�glichst sicheren einstellungen und bei der Registrierung automatisch per zufall eine Methode ausgew�hlt wird.
K�nnte man bei der HTML ausgabe nicht einfach nur verschl�sselte Feldbezeichnungen nutzen?