Seite 8 von 12
Verfasst: 06.02.2006 14:36
von jasc
KB:htaccess
verbotener Benutzername
Verfasst: 18.02.2006 20:47
von Thomas W.
vor einiger Zeit bekam doch ein Admin von einem Forum eine Abmahnung weil ein Benutzer einen Registrierten Begriff als Name verwendete (war das bei Ironsports?)
...
Türlich könnte ich jetzt suchen und probieren
bin aber sicher das es bei euch Leutz gibt die die Antwort parat haben, bevor sie die Frage zuende gelesen haben:
ich möchte beim Registrieren über der Usernamenauswahl einen Text haben.. vielleicht sogar verankert in lang_xyz der so lautet:
Verbot der Verwendung eines geschützten Namens :
Aus aktuellem Anlass weisen wir ausdrücklich daraufhin, dass die Verwendung eines geschützten Names als Benutzername verboten ist !
Wenn Sie sich nicht sicher sind, dann schauen Sie auf die Seite
http://publikationen.dpma.de/qry_tm_beg.do und geben dort im Feld 'Wiedergabe der Marke' Ihren gewünschten Namen ein und wählen im Feld 'Markenform' Wortmarke aus.
Sollte er geschützt sein, dürfen Sie diesen Namen nicht als Benutzernamen verwenden !
wenn man schon dabei ist... der Link im Text bitte gleich auch als anklickbar
ach ja... so ein Text (oder ähnlich) wäre auch bei den Avataren ganz wichtig
Thomas
gesucht, gefunden
Verfasst: 19.02.2006 11:22
von Thomas W.
also ich hab mich mal auf die Suche gemacht
in lang_german\lang_main.php
findeCode: Alles auswählen
$lang['Items_required'] = 'Mit * markierte Felder sind erforderlich';
und
ersetze mit
Code: Alles auswählen
$lang['Items_required'] = '<h2>Achtung Verbot der Verwendung eines geschützten Namens : </h2><br><br>
<h1>Aus aktuellem Anlass ist hiermit ausdrücklich darauf hingewiesen, <br>
dass die Verwendung eines geschützten Names als Benutzername verboten ist! <br>
Wenn Du dir nicht sicher bist, dann schaue auf die Seite http://publikationen.dpma.de/qry_tm_beg.do <br>
und gebe dort im Feld -Wiedergabe der Marke- Deinen gewünschten Namen ein <br>
und wähle im Feld -Markenform- Wortmarke aus.<br>
Sollte er geschützt sein, darfst Du diesen Namen nicht als Benutzernamen verwenden !</h1>
<br> <br><br>Mit * markierte Felder sind erforderlich ...';
wenn es einer schöner kann nur zu.. ich habe es z.B. nicht geschafft den Link als Link einzubinden
Thomas
Verfasst: 19.02.2006 11:50
von kjwargan
Damit es als Link sichtbar ist, gehört es so
Code: Alles auswählen
$lang['Items_required'] = '<h2>Achtung Verbot der Verwendung eines geschützten Namens : </h2><br><br><h1>Aus aktuellem Anlass ist hiermit ausdrücklich darauf hingewiesen, <br>dass die Verwendung eines geschützten Names als Benutzername verboten ist! <br>Wenn Du dir nicht sicher bist, dann schaue auf die Seite <a href="http://publikationen.dpma.de/qry_tm_beg.do" Target="_blank">dpma</a> <br>und gebe dort im Feld -Wiedergabe der Marke- Deinen gewünschten Namen ein <br>und wähle im Feld -Markenform- Wortmarke aus.<br>Sollte er geschützt sein, darfst Du diesen Namen nicht als Benutzernamen verwenden !</h1><br> <br><br>Mit * markierte Felder sind erforderlich ...';
Verfasst: 19.02.2006 11:59
von Thomas W.
suuper, danke... auch wenn ich das mit den drei -"- nicht verstehe.. ich dachte die treten immer paarweise auf
genauso habe ich mittlerweile nachhgelesen, daß der Fall gegen
ironsport in einer
negativen Feststellungsklage beendet wurde...
nichts desto trotz....
Vorsicht ist besser
Thomas
Verfasst: 19.02.2006 12:02
von kjwargan
Thomas W. hat geschrieben:suuper, danke... auch wenn ich das mit den drei -"- nicht verstehe.. ich dachte die treten immer paarweise auf
Schaust du hier:
http://www.jgiesen.de/javascript/HTML/index.htm
Edit: Ich hatte ein " übersehen, schon geändert
Verfasst: 07.04.2006 10:58
von walti
also wenn ich zusammenfasse
die Verzeichnisse /admin /db /includes und /language mit htacces schützen
die config.php auch
dann kann ich die doch in eins der Verzeichnisse legen ? zbs admin
und muß eine neue config.php mit dem Eintrag
<?php
require('/admin/config.php');
?>
erstellen und das ganze ist gesichert.
habe ich das so richtig verstanden ?
und wie was ist das mit dem cracker tracker ???
Verfasst: 04.05.2006 12:08
von thompson
ich hatte gestern aus dem attachment mod im odner files ein shell script in einem ordner.
könnte ich sowas mit einer htaccess im ordner verhindern ?
können die leute dann noch dateien hochladen ?
Verfasst: 28.05.2006 18:14
von IPB_Flüchtling
Auf folgende zwei Threads zum Thema Sicherheit sollte m.E. auch hier in dieser umfangreichen Zusammenfassung aufmerksam gemacht werden:
http://www.phpbb.de/viewtopic.php?t=119855
http://www.phpbb.de/viewtopic.php?t=120083
Außerdem würde mich interessieren, ob dieser Passwort-Generator noch seinen Zweck erfüllt:
http://www.phpbb.de/diverses/htpasswd.php
Sieht so eine MD5-Verschlüsselung aus? Die Crypt-Verschlüsselung, die man z.B. auf
dieser Seite testen kann, liefert ganz anders aussehende Ergebnisse.
Ein Beispiel - das Wort
test verschlüsselt:
Crypt (SELFHTML): 48qT3YyIsYfy2
MD5?? (PHPBB.de): $1$gSCVI9R.$BOFB.3249SlYDGoyMjR3d0
LG, IPB_Flüchtling
Verfasst: 14.10.2006 02:39
von mgutt
mein Vorschlag für eine .htaccess im Root:
Code: Alles auswählen
<Files config.php>
Deny from all
</Files>
DirectoryIndex index.htm index.php index.html
# error redirect www.maxrev.de
ErrorDocument 400 http://www.maxrev.de/
ErrorDocument 401 http://www.maxrev.de/
ErrorDocument 402 http://www.maxrev.de/
ErrorDocument 403 http://www.maxrev.de/
ErrorDocument 404 http://www.maxrev.de/
ErrorDocument 500 http://www.maxrev.de/
# allow register globals
php_flag register_globals off
# allow backslash escaping for Get / Post / Cookie
php_flag magic_quotes_gpc on
# forbid files without extensions
AcceptPathInfo off
RewriteEngine on
# security settings
RewriteCond %{QUERY_STRING} ^(.*)wget\%20 [OR]
RewriteCond %{QUERY_STRING} ^(.*)fetch\%20 [OR]
RewriteCond %{QUERY_STRING} ^(.*)echr(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)rush=\%65\%63\%68 [OR]
RewriteCond %{QUERY_STRING} ^(.*)rush=echo [OR]
RewriteCond %{QUERY_STRING} ^(.*)esystem(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)passthru(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)\.printf\( [OR]
RewriteCond %{QUERY_STRING} ^(.*)cmd [OR]
RewriteCond %{QUERY_STRING} ^(.*)\%27(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)"(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)\%22(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)`(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)\%60(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)\%25(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)=http://(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)=http\%3A\%2F\%2F(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)=ftp://(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)=ftp\%3A\%2F\%2F(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)=https://(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)=https\%3A\%2F\%2F(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)alert\(document(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)union(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)UNION(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)SQL_INJECTION(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)phpbb_root_path=(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)configdir(.*) [NC,OR]
RewriteCond %{QUERY_STRING} ^(.*)curl(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)lynx(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)w3\%20(.*) [OR]
RewriteCond %{HTTP_COOKIE}% s:(.*):\%22test1\%22\%3b [OR]
RewriteCond %{QUERY_STRING} .*'.* [OR]
RewriteCond %{HTTP_USER_AGENT} ^lwp.* [OR,NC]
RewriteCond %{HTTP_USER_AGENT} ^Python* [NC]
RewriteRule ^.*$ http://127.0.0.1/ [R,L]
Wäre so eine Rule nicht auch sinnvoll um komplette Shells zu unterbinden: (%3F muss ich nicht noch extra sperren oder?)
Schließlich ist .txt ja die einzige Alternative zu .php zum ausführen von Scripten und könnte so gut unterbunden werden.