phpBB.de

also mir ist gerade aufgefallen, als ich mal so aus spaß www.phpbb.de/admin aufgerufen habe , dass phpbb.de nicht den normalen phpBB 2 Admin login verwenden sondern einfach per .htacess schützen.

meine frage ist jetzt: warum?
wenn phpBB2 doch sicher ist, warum dann dieser Schutz.


Wenn das offizielle deutsche Forum der phpBB 2 Foren Software nun nicht das phpBB 2 eigene Admin Loginsystem nutzen, dann heißt das im Klartext doch für alle User, dass der normale Login nicht sicher ist.

Denn wenn sogar das offizielle deutsche Supportforum der Forensoftware nicht mehr auf die Sicherheit ihrer eigenen Forensoftware vertraut, wer kann dies dann noch.



P.S.
Das klingt jetzt nach einer Anschuldigung, aber dies soll es keines Falls sein, mir ist es total egal, wie phpbb.de sich schützt, ich frage mich einfach nur wieso

Hier wird von allen Seiten schon seit Ewigkeiten empfohlen, den admin-Ordner zusätzlich per htaccess zu schützen.

Lies dir mal das hierdurch!

trotzdem müsste doch die forensoftware auch ohne eine .htacess sicher sein, versuchs mal bei irgendwelchen foren. ruf einfach www.testboard.tld/admin auf, bei 99 % der boards wirst du keine .htacess finden, auch bei großen boards mit tausenden usern häufig nicht

Es spricht aber doch trotzdem nichts dagegen, den Adminordner zusätzlich zu sichern, oder?

Auf die Gefahr hin, dass es sich etwas altklug anhört: Nichts ist wirklich sicher, auch phpBB nicht.

Auch phpBB ist nicht 100% sicher und der Schutz per .htacess bringt nochmal etwas zusätzlich Sicherheit... und so schwer zu "installieren" ist es ja nun nicht.

stimmt auch wieder, schaden kanns nicht

Wie bereits gesagt wurde, ist dies ein zusätzlicher Schutz, denn für den Fall daß z.B. kurzfristig eine neue Sicherheitslücke in phpBB gefunden wird oder jemand an das Passwort eines Admins gelangen sollte, wird der mögliche Schaden begrenzt.

localhost hat geschrieben:also mir ist gerade aufgefallen, als ich mal so aus spaß www.phpbb.de/admin aufgerufen habe , dass phpbb.de nicht den normalen phpBB 2 Admin login verwenden sondern einfach per .htacess schützen.

Und das weißt Du natürlich, weil Du das Paßwort kanntest und die darauffolgende Seite gesehen hast.

localhost hat geschrieben:... dann heißt das im Klartext doch für alle User, dass der normale Login nicht sicher ist.

Ich wette, Du hast irgendwann mal eingestellt, daß die Meldung "Achtung Sie senden Daten über eine unsicherer ..." oder so ähnlich nicht mehr angezeigt wird. Oder meldest Du dich über https an?