Also dies ist ein Ex Forum, wo ich mal sehr aktiv war, aber wo ich dann wegends Beleidigungen eines Admins und Skrupellosen handels des Teams, weggegangen bin. Naja und nun hab ich halt mein forum, was innerhalb von 2 Monaten besser als das war und nun hat er bei meinem alten Account das Passwort geändert und belästigt nun auch meine Community und derren Benutzer (Aber dagegen kann ich ja kaum was tun -.-) ... Deswegen frage ich, ob das überhaupt in irgendeiner Form gestattet ist, ein Passwort zuändern vom Datenschutzrechtlichen her. Aber er hat ehh schon ein Hausverbot von mir bekommen, wegen Sabotage (Abwerbung und schlechtmachen des Teams) an meiner Community. (ich bin echt nicht gesegnet ^^) Aber nun gut, das ist ja auch nicht das Thema...
Also versteh ich das richtig, ein Forum-Eigentümer kann alles mit den Benutzern machen, was er will? Ich mein, ich habe darum gebeten, das mein Account gelöscht oder deaktiviert wird, aber stattdessen wurde ich gekickt und dann mein Passwort geändert -.- Und nun kann ich nicht mehr meine gesamten Sachen ändern (Email, persöhnliche Daten, die ich mal angegeben hatte und dergleichen). Ich hab jetzt meine Email-Adresse gelöscht, weil ich derren Nachrichten nicht mehr haben wollte (war schon fast eine belästigung)
Aber es stimmt, dieses Forum wird schlecht geleitet, die haben 4 Administratoren, 3 Davon tun nur auf klug und können garnichts und 2 Moderatoren ... Naja mehr sag ich dazu nicht, man sieht ja selbst, wie das da so ist ^^
Ohh mein Gott, ich verwandel das Thema in ein Offtopic Thema ^^ Also bitte verschieben XDD *scherz* ^^
Danke für die Antwort
Mfg NSF
Passwort in der Datenbank
Forumsregeln
phpBB 3.0 hat das Ende seiner Lebenszeit überschritten
phpBB 3.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 3.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf die neuste phpBB-Version, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
phpBB 3.0 hat das Ende seiner Lebenszeit überschritten
phpBB 3.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 3.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf die neuste phpBB-Version, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
Re: Passwort in der Datenbank
Hallo NSF,
wenn das alles der Wahrheit entspricht was Du hier schreibst, dann suche ein Anwalt auf.
Aber oft wird im www so viel geschrieben.........................
Konkorenz Denken unter Foren ist eine neue (noch nicht anerkannte)Krankheit in 2010.
Gruß
Jürgen
wenn das alles der Wahrheit entspricht was Du hier schreibst, dann suche ein Anwalt auf.
Aber oft wird im www so viel geschrieben.........................
Konkorenz Denken unter Foren ist eine neue (noch nicht anerkannte)Krankheit in 2010.
Gruß
Jürgen
Re: Passwort in der Datenbank
Ja diese Krankheit kenn ich, Ich bin dagegen allerdings immune, denn ich schade keinem vorallem mach ich nichts schlecht, was andere machen! Ich und jeder von euch weiß was ein Forum für Arbeit macht und ich finde, keiner hat das Recht diese Arbeit schlecht zumachen! Ob nun Konkurenz oder nicht 
Ja, es ist alles Wahr ... aber ich lass es, denn die E-mail adresse hab ich gelöscht und den Rest kann man nicht mehr verwenden. Und wenn er mein guten Ruf in der alten Community schlecht macht, soll er es machen, ich setzt kein Cent mehr auf dieses Forum
Das einzige, was mich halt sehr stört ist die betroffenheit meiner Community ... Er macht das Team und einzelne Benutzer, die was für unser Community tun schlecht und das im Öffentlichen Forum bzw im Chat -.- Zudem zahl ich monatlich Geld (hab ja ein Webspace) für dieses "Hobby" (Forum ^^) und er macht dieses Hobby schlecht -.- Ich hab ja auch schon mehrmals hier um Hilfe gebeten, diese wurde auch beantwortet (nochmals Danke), aber man kann mir leider nicht so helfen -..- Ich kann ihn weder per IP bannen noch sonst wie uas dem Forum ausschließen ... ich hab auch schon überlegt zum Anwalt zugehen, aber im moment ist ruhe ^^ Nur nervt es wirklich, sich den Allerwertesten für meine Community aufzureißen und dann macht das so ein dahergelaufender *pieeeeeeeeep* Kaputt und genauso geht es meinem Team (sind im übrigen teilweise Freude von mir, die ich aus derren Community mitnahm, dies gab auch stress mit der anderen Community -.-) Aber ich lass mir das nicht schlecht machen, ich weiß was meine Community für Qualitäten bietet, vondemher prallt es ab ^^ Aber wenn er sich noch einmal anmeldet, geh ich Rechtlich gegen ihn vor, hab ihm ja ein Ausdrückliches Hausverbot erteilt
(schade hier gibts kein Smilie in Teufelsgestalt ^^)
Naja gut, dies ist kein Selbsthilfegruppen-Thema, wer vllt tipps hat, kann mir das ja per Pn mitteilen, ich will hier ja auch keine Leidesgeschichte erzählen (XD) bzw. das Thema stören
Meine Frage ist glaub ich beantwortet, danke dafür
Also weiter gehts mit dem Thema: "Wie kann ich das Passwort in der Datenbank ändern?" ^^
Danke für die Antworten
Mfg NSF
Ja, es ist alles Wahr ... aber ich lass es, denn die E-mail adresse hab ich gelöscht und den Rest kann man nicht mehr verwenden. Und wenn er mein guten Ruf in der alten Community schlecht macht, soll er es machen, ich setzt kein Cent mehr auf dieses Forum
Das einzige, was mich halt sehr stört ist die betroffenheit meiner Community ... Er macht das Team und einzelne Benutzer, die was für unser Community tun schlecht und das im Öffentlichen Forum bzw im Chat -.- Zudem zahl ich monatlich Geld (hab ja ein Webspace) für dieses "Hobby" (Forum ^^) und er macht dieses Hobby schlecht -.- Ich hab ja auch schon mehrmals hier um Hilfe gebeten, diese wurde auch beantwortet (nochmals Danke), aber man kann mir leider nicht so helfen -..- Ich kann ihn weder per IP bannen noch sonst wie uas dem Forum ausschließen ... ich hab auch schon überlegt zum Anwalt zugehen, aber im moment ist ruhe ^^ Nur nervt es wirklich, sich den Allerwertesten für meine Community aufzureißen und dann macht das so ein dahergelaufender *pieeeeeeeeep* Kaputt und genauso geht es meinem Team (sind im übrigen teilweise Freude von mir, die ich aus derren Community mitnahm, dies gab auch stress mit der anderen Community -.-) Aber ich lass mir das nicht schlecht machen, ich weiß was meine Community für Qualitäten bietet, vondemher prallt es ab ^^ Aber wenn er sich noch einmal anmeldet, geh ich Rechtlich gegen ihn vor, hab ihm ja ein Ausdrückliches Hausverbot erteilt
(schade hier gibts kein Smilie in Teufelsgestalt ^^)Naja gut, dies ist kein Selbsthilfegruppen-Thema, wer vllt tipps hat, kann mir das ja per Pn mitteilen, ich will hier ja auch keine Leidesgeschichte erzählen (XD) bzw. das Thema stören
Meine Frage ist glaub ich beantwortet, danke dafür Also weiter gehts mit dem Thema: "Wie kann ich das Passwort in der Datenbank ändern?" ^^
Danke für die Antworten
Mfg NSF
Re: Passwort in der Datenbank
Falls die zwischenzeitliche Frage noch jemanden interessiert, woraus es sich ergibt, dass man das gespeicherte Passwort auch als Admin nicht entschlüsseln darf: Ich würde mal meinen, es ist § 202a StGB.FWT hat geschrieben:ich habe nur die aussage, dass es per gesetz verboten sei, aufgegriffen und wissen wollen wo das genau nachzulesen ist.
Das Passwort im Klartext ist ein Datum, keine Frage. Durch den Hash ist es auch gegen unberechtigten Zugang besonders gesichert, würde ich meinen. Fragt sich nur, ob der Admin unter irgendeinem Gesichtspunkt doch berechtigt ist, sich die Information zu verschaffen.§ 202a Ausspähen von Daten
(1) Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.
Da aber die Verschlüsselung bereits von den Autoren der Software eingebaut wurde und nach ihrem allgemein bekannten Grundprinzip das Passwort im Klartext auch dem Admin nicht anzeigt, würde ich meinen, dass ein solcher Zugriff nicht durch einen besonderen Zulassungstatbestand gedeckt ist und damit "unberechtigt" iSv § 202a StGB erfolgt.
Das sähe natürlich anders aus, wenn z.B. der Berechtigte (der User) dem Admin ausdrücklich gestattet, sein Passwort im Klartext auszulesen, aber das wäre dann auch ein anderer Fall.
Im Übrigen setzt man sich mit einer solchen Passwortknack-Aktion verschärft der Strafbarkeit nach § 202 c StGB aus:
Denn es drängt sich natürlich der Verdacht auf, dass man mit den Passwörtern noch anderes im Sinn hat.§ 202c Vorbereiten des Ausspähens und Abfangens von Daten
(1) Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er
1. Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2) ermöglichen, oder
2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist,
herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.
Gruß
Sepp
Re: Passwort in der Datenbank
Hallo, bin hier zufällig drübergestolpert (mein eigentliches Problem: ich möchte die User und Passwörter aus der Datenbank für andere Anwendungen "zweckendfremden", hab das auch unter alten versionen geschaft, aber mit der neuen hashmethode komm ich nicht klar - wäre für jeden Hinweis dankbar 
)
So nun zum Thema: ich glaube nicht dass es illegal wäre, die Passwörter zu lesen. Gerade wenn es um das ausspähen von Daten geht vergesst ihr eine nicht unwichtige Kleinigkeit: als Administrator habe ich ja bereits Zugang zu allen besagten Daten. Mit oder ohne User-Passwort. Wenn der User sich mit seinem Passwort auf meiner Seite anmeldet, hat er das Recht dass ich seine Daten verantwoertungsbewusst behandele, nicht an dritte weitergebe, sicher speichere. Dass ich sein Passwort nicht lesen kann - das recht hat er nicht. Er kann ja nicht mal wissen ob ich es als hash oder direkt im Klartext speichere - nur weil hier phpBB zum Einsatz kommt? das kann ja auch modifiziert sein, das heißt gar nix. Natürlich ist eine Speicherung im Klartext weniger sicher - aber deshalb verboten?
--> Aber: natürlich ist es verboten, wenn ich dann etwa versuche mit seiner E-Mail-Adresse und dem Passwort sein E-Mail-Konto zu knacken, das ist klar.
Dennoch: das reine lesen ist sicher nicht verboten, denn es handelt sich ja nur um das passwort auf meiner Seite - niemand zwing den user auf allen Seiten das selbe PW zu verwenden. Und wie gesagt: die Daten habe ich schon, und berechtigt bin ich auch, als Admin, Zugang zu den Daten zu haben.
//edit mein persönliches problem (s.o.) hab ich soeben gelöst, hier der Beispielcode um phpBB3-Hashs zu verifizieren:
)So nun zum Thema: ich glaube nicht dass es illegal wäre, die Passwörter zu lesen. Gerade wenn es um das ausspähen von Daten geht vergesst ihr eine nicht unwichtige Kleinigkeit: als Administrator habe ich ja bereits Zugang zu allen besagten Daten. Mit oder ohne User-Passwort. Wenn der User sich mit seinem Passwort auf meiner Seite anmeldet, hat er das Recht dass ich seine Daten verantwoertungsbewusst behandele, nicht an dritte weitergebe, sicher speichere. Dass ich sein Passwort nicht lesen kann - das recht hat er nicht. Er kann ja nicht mal wissen ob ich es als hash oder direkt im Klartext speichere - nur weil hier phpBB zum Einsatz kommt? das kann ja auch modifiziert sein, das heißt gar nix. Natürlich ist eine Speicherung im Klartext weniger sicher - aber deshalb verboten?
--> Aber: natürlich ist es verboten, wenn ich dann etwa versuche mit seiner E-Mail-Adresse und dem Passwort sein E-Mail-Konto zu knacken, das ist klar.
Dennoch: das reine lesen ist sicher nicht verboten, denn es handelt sich ja nur um das passwort auf meiner Seite - niemand zwing den user auf allen Seiten das selbe PW zu verwenden. Und wie gesagt: die Daten habe ich schon, und berechtigt bin ich auch, als Admin, Zugang zu den Daten zu haben.
//edit mein persönliches problem (s.o.) hab ich soeben gelöst, hier der Beispielcode um phpBB3-Hashs zu verifizieren:
Code: Alles auswählen
<?
function _hash_encode64($input, $count, &$itoa64)
{
$output = '';
$i = 0;
do
{
$value = ord($input[$i++]);
$output .= $itoa64[$value & 0x3f];
if ($i < $count)
{
$value |= ord($input[$i]) << 8;
}
$output .= $itoa64[($value >> 6) & 0x3f];
if ($i++ >= $count)
{
break;
}
if ($i < $count)
{
$value |= ord($input[$i]) << 16;
}
$output .= $itoa64[($value >> 12) & 0x3f];
if ($i++ >= $count)
{
break;
}
$output .= $itoa64[($value >> 18) & 0x3f];
}
while ($i < $count);
return $output;
}
function _hash_crypt_private($password, $setting, &$itoa64)
{
$output = '*';
// Check for correct hash
if (substr($setting, 0, 3) != '$H$')
{
return $output;
}
$count_log2 = strpos($itoa64, $setting[3]);
if ($count_log2 < 7 || $count_log2 > 30)
{
return $output;
}
$count = 1 << $count_log2;
$salt = substr($setting, 4, 8);
if (strlen($salt) != 8)
{
return $output;
}
/**
* We're kind of forced to use MD5 here since it's the only
* cryptographic primitive available in all versions of PHP
* currently in use. To implement our own low-level crypto
* in PHP would result in much worse performance and
* consequently in lower iteration counts and hashes that are
* quicker to crack (by non-PHP code).
*/
if (PHP_VERSION >= 5)
{
$hash = md5($salt . $password, true);
do
{
$hash = md5($hash . $password, true);
}
while (--$count);
}
else
{
$hash = pack('H*', md5($salt . $password));
do
{
$hash = pack('H*', md5($hash . $password));
}
while (--$count);
}
$output = substr($setting, 0, 12);
$output .= _hash_encode64($hash, 16, $itoa64);
return $output;
}
function phpbb_check_hash($password, $hash)
{
$itoa64 = './0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz';
if (strlen($hash) == 34)
{
return (_hash_crypt_private($password, $hash, $itoa64) === $hash) ? true : false;
}
return (md5($password) === $hash) ? true : false;
}
if ($_GET['sub']=="ok") {
if (phpbb_check_hash($_GET['pw'],$_GET['hash']))
echo "Stimmt"; else echo "Stimmt nicht";
}
?>
<form>
<input type=text name=pw>
<input type=text name=hash>
<input type=submit name=sub value=ok>
</form>-
Chrysler_Viper
- Mitglied
- Beiträge: 20
- Registriert: 04.06.2007 13:41
Re: Passwort in der Datenbank
GENAU DAS WONACH ICH GESUCHT HABE!flukus hat geschrieben:Hallo, bin hier zufällig drübergestolpert (mein eigentliches Problem: ich möchte die User und Passwörter aus der Datenbank für andere Anwendungen "zweckendfremden", hab das auch unter alten versionen geschaft, aber mit der neuen hashmethode komm ich nicht klar - wäre für jeden Hinweis dankbar
So nun zum Thema: ich glaube nicht dass es illegal wäre, die Passwörter zu lesen. Gerade wenn es um das ausspähen von Daten geht vergesst ihr eine nicht unwichtige Kleinigkeit: als Administrator habe ich ja bereits Zugang zu allen besagten Daten. Mit oder ohne User-Passwort. Wenn der User sich mit seinem Passwort auf meiner Seite anmeldet, hat er das Recht dass ich seine Daten verantwoertungsbewusst behandele, nicht an dritte weitergebe, sicher speichere. Dass ich sein Passwort nicht lesen kann - das recht hat er nicht. Er kann ja nicht mal wissen ob ich es als hash oder direkt im Klartext speichere - nur weil hier phpBB zum Einsatz kommt? das kann ja auch modifiziert sein, das heißt gar nix. Natürlich ist eine Speicherung im Klartext weniger sicher - aber deshalb verboten?
--> Aber: natürlich ist es verboten, wenn ich dann etwa versuche mit seiner E-Mail-Adresse und dem Passwort sein E-Mail-Konto zu knacken, das ist klar.
Dennoch: das reine lesen ist sicher nicht verboten, denn es handelt sich ja nur um das passwort auf meiner Seite - niemand zwing den user auf allen Seiten das selbe PW zu verwenden. Und wie gesagt: die Daten habe ich schon, und berechtigt bin ich auch, als Admin, Zugang zu den Daten zu haben.
//edit mein persönliches problem (s.o.) hab ich soeben gelöst, hier der Beispielcode um phpBB3-Hashs zu verifizieren:Code: Alles auswählen
<? function _hash_encode64($input, $count, &$itoa64) { $output = ''; $i = 0; do { $value = ord($input[$i++]); $output .= $itoa64[$value & 0x3f]; if ($i < $count) { $value |= ord($input[$i]) << 8; } $output .= $itoa64[($value >> 6) & 0x3f]; if ($i++ >= $count) { break; } if ($i < $count) { $value |= ord($input[$i]) << 16; } $output .= $itoa64[($value >> 12) & 0x3f]; if ($i++ >= $count) { break; } $output .= $itoa64[($value >> 18) & 0x3f]; } while ($i < $count); return $output; } function _hash_crypt_private($password, $setting, &$itoa64) { $output = '*'; // Check for correct hash if (substr($setting, 0, 3) != '$H$') { return $output; } $count_log2 = strpos($itoa64, $setting[3]); if ($count_log2 < 7 || $count_log2 > 30) { return $output; } $count = 1 << $count_log2; $salt = substr($setting, 4, 8); if (strlen($salt) != 8) { return $output; } /** * We're kind of forced to use MD5 here since it's the only * cryptographic primitive available in all versions of PHP * currently in use. To implement our own low-level crypto * in PHP would result in much worse performance and * consequently in lower iteration counts and hashes that are * quicker to crack (by non-PHP code). */ if (PHP_VERSION >= 5) { $hash = md5($salt . $password, true); do { $hash = md5($hash . $password, true); } while (--$count); } else { $hash = pack('H*', md5($salt . $password)); do { $hash = pack('H*', md5($hash . $password)); } while (--$count); } $output = substr($setting, 0, 12); $output .= _hash_encode64($hash, 16, $itoa64); return $output; } function phpbb_check_hash($password, $hash) { $itoa64 = './0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz'; if (strlen($hash) == 34) { return (_hash_crypt_private($password, $hash, $itoa64) === $hash) ? true : false; } return (md5($password) === $hash) ? true : false; } if ($_GET['sub']=="ok") { if (phpbb_check_hash($_GET['pw'],$_GET['hash'])) echo "Stimmt"; else echo "Stimmt nicht"; } ?> <form> <input type=text name=pw> <input type=text name=hash> <input type=submit name=sub value=ok> </form>
DANKE!
