Exploit

[DasFragezeichen]

Hallo,
es geht um Folgendes ...

Ihr kennt ja sicher den einen Bug mit den Cookies wo man den md5-Schlüssel des Passworts nur kennen muss und so sich einloggen kann ...

Zwar heißt es immer, dass man verschiedene Passwörter verwenden sollte, doch in der Schnelle habt ihr euch mal "irgendwo" registriert und das mit dem Passwort eurer Stamm-Community! Ärgerlich nur das ihr nun restlos aus dem Forum (mit 5000 Beiträgen) gesperrt werdet weil der Admin von "irgendwo" mal ein bisschen "ausprobiert" hat und auf eurem Namen (mit einem CGI - Proxy) gespammt!

Wäre es nicht möglich dies zu verhindern, indem man anstatt dem gewöhnlichen md5();, das in jedem Forum auftaucht, endlich mal einen unterschiedlichen Schlüssel je Forum zu machen ?

Also, per Zufallsgenerator wird eine Zahl zwichen z.B. 2 und 20 generiert (mit rand(); oder so) und dann gespeichert! Nun richtet sich das phpBB vollständig daran wie die generierte Zahl ist! So wie die Zahl ist so oft wird der eigentliche Schlüssel nochmal verschlüsselt

Also, bei sagen wir 5 mal entsteht aus dem Wort : "test" anstatt aus (wie üblicherweise in jedem Forum) :

Code: Alles auswählen

098f6bcd4621d373cade4e832627b4f6

Nun :

Code: Alles auswählen

fb469d7ef430b0baf0cab6c436e70375

Dann :

Code: Alles auswählen

25ab3b38f7afc116f18fa9821e44d561

Dann :

Code: Alles auswählen

2f6c2404198add983753e94fc24e752f

Und dann :

Code: Alles auswählen

739c5b1cd5681e668f689aa66bcc254c

Also, per Afrage und dann :

Code: Alles auswählen

md5(md5(md5(md5(md5($pass))))));

Somit ist es ein völlig anderer Schlüssel, aber das gleicher Passwort

Sry, falls es das schon gab oder so ...

[larsneo]

Ihr kennt ja sicher den einen Bug mit den Cookies wo man den md5-Schlüssel des Passworts nur kennen muss und so sich einloggen kann ...

passwörter haben schlichtweg in cookies nix verloren - unabhängig von der verwendeten verschlüsselungsmethode

[fanrpg]

Code: Alles auswählen

md5(md5(md5(md5(md5($pass))))));

?

Code: Alles auswählen

sha1(md5($pass));

Geht genauso gut. Und hat genug Zeilenlänge.
Den Schlüssel kannst du dann noch mit base kodieren:

Code: Alles auswählen

base64_decode(sha1(md5($pass)));

Dann soll da noch einer hinterkommen welcher Code jetzt wie genommen wurde.
Das ganze kann man dann noch per Zufall machen lassen das die eine andere Reihenfolge haben:

Code: Alles auswählen

$zufall = rand(1, 3);
if($zufall == 1)
{
$pass = base64_decode(sha1(md5($pass)));
}
else if($zufall == 2)
{
$pass = sha1(base64_decode(md5($pass)));
}
else
{
$pass = md5(sha1(base64_decode($pass)));
}

Man erhält auch jeweils 3 unterschiedliche Schlüssel. Die durch ver. Kodierungen gelaufen sind.

[DasFragezeichen]

Ihr kennt ja sicher den einen Bug mit den Cookies wo man den md5-Schlüssel des Passworts nur kennen muss und so sich einloggen kann ...

passwörter haben schlichtweg in cookies nix verloren - unabhängig von der verwendeten verschlüsselungsmethode

Sie sind es, aber in den Cookies als md5 ... Klar, kann man sein phpBB individuell anpassen und den Code anders generieren, aber wäre es nicht viel besser dies bei jedem Board zu tun anstatt das es nur erfahrene phpBBler tun ?

[Pyramide]

Seit 2.0.18 werden nicht mehr die Passwörter, sondern "autologin keys" im Cookie gespeichert.

[Christian_W]

... in der Schnelle habt ihr euch mal "irgendwo" registriert ...
... der Admin von "irgendwo" mal ein bisschen "ausprobiert" hat ...

Du hast Dich "irgendwo" registriert und der Admin von dort hat Dein PW auf einem anderen Board verwendet um dort zu spammen?

Dann ist es völlig unerheblich wo und wie die PWs gespeichert werden. Ein entsprechend motivierter Admin wird einfach die Verschlüsselung ausbauen und die PWs im Klartext speichern.
Du bist überall wo Du Dich anmeldest davon abhängig, dass dort mit Deinen Daten verantwortungsvoll umgegangen wird. Daher solltest Du niemals das selbe PW für zwei verschiedene Zwecke benutzen.

Gruß Christian