phpBB.de

hi,

habe phpbb2 2.0.19 installiert.

leider werden DENNOCH "fake" logins/accounts erstellt .. deren mails mit .ru
enden.

..scheint so, als umgehen/hacken die sich durch die Visual Confirmation.

meine frage: sie scheinen eine sicherheitslücke im phpbb zu nutzen...
"wie kann ich diese schliessen?"

mfg

enforcer33 hat geschrieben:meine frage: sie scheinen eine sicherheitslücke im phpbb zu nutzen...
"wie kann ich diese schliessen?"

Ich habe alle Email-Adressen die auf .ru enden gesperrt (also *.ru verboten).

..hmm wiegenau macht ich das?

leider verwenden die auch andere endungen als .ru aber maybe kannst du mir genauer sagen, wie ich nur .ru sperren kann...

(normal: @blabla.ru -- aber sperrt das alle .ru endugen dann auch?)



ich würde aber auch gerne wissen, wie die das schaffen das v.c. zu umgehen..damit ich endlich meine ruhe hab!

das sicherheitsloch kann doch gestopft werden...

btw: hat vbulletin auch diese probleme?

Ich hab irgendwo mal gelesen, daß man das VC-Bildchen einfach auf irgendwelchen Erotik-Seiten einblendet und von den Usern als Zugang zum Anschauen der Bilder das Abtippen des Codes verlangt.

Ru-Adressen kannst Du bannen, in dem Du im ACP auf Bannen gehst und dort unter verbotene Email-Adressen *.ru eingibst. Es kann sein, dass das so nicht funktioniert, dann gibst Du erst mal nur irgend eine Email-Adresse ein und änderst dann über phpMyAdmin die gebannte Adresse in *.ru

Ich verstecke außerdem meine Zero-Poster aus der öffentlichen Mitgliederliste und Statistik, so daß ich sogar ohne Visual Confirmation auskomme. Siehe http://www.phpbb.de/viewtopic.php?p=641059#641059

enforcer33 hat geschrieben:aber sperrt das alle .ru endugen dann auch?

Ja, das sperrt alle, also auch normale User die eine Russische Email-Adresse verwenden. Musst Du halt abwägen wieviele das sind. Bei mir ist es nicht so tragisch, weil der User im Falle des Falles dann auch als Gast posten kann.

Ich habe die Ru-Adressen gesperrt weil ich welche dabei hatte, die nicht nur den Email-Bestätigungs-Code besucht haben sondern dann auch noch im Forum gepostet.

das sicherheitsloch kann doch gestopft werden...

aber nicht durch den einsatz von captcha, siehe *hier*

also...vielen dank für die antworten...

ich werd diesen zero-poster mod gleich mal einbasteln...

wäre nur schön, wenn man denen mal "ganz" zu leibe rückt...
maybe gibs da mal nen update zu phpbb...

also...zwechs frage: hat vbulletin auch diese probleme ...scheint auch dann wohl so zusein..

eine logische frage wäre auf jeden besser, kommt aber drauf an, ob der user dann die antwort "richtig" schreiben kann