phpBB.de

Hi!

Wenn ich meinen Admin nach den Ausführungen hier im Board verstecke bleibt für mich noch eine Frage offen:

Wenn ich als Admin zum Beispiel unter den ersten 30 Usern einen Account einrichte (das Board ist nicht so stark frequentiert), dann kann doch jeder über die Memberlist und Sortierung nach Anmeldung schnell herausbekommen, welche ID nicht angezeigt wird.

Sind über die user_id also noch irgendwelche Angriffsmöglichkeiten gegeben?

Ich könnte natürlich auch eine ID = X (z.B. 2354) vergeben. Aber dann zählt ja auch jeder neue User erst ab dann weiter. Fällt also auch auf.

Hallo
Hier gibt es einen Tip zu deinem Problem. Admin verstecken: Wir haben X registrierte Benutzer






Grüße: Mahony

Danke Mahony! Das hat allerdings nur mit dem Thema zu tun, nicht aber mit der user_id-Problematik.

Registriere doch einfach einen neuen User ( z.B. ID 31 ) und mache diesen in der Benutzerverwaltung zum Admin.

Danach kannst du den alten Admin löschen.

Hm, ich habe mich wohl unklar ausgedrückt.

Mir geht es nur um einen Sicherheitsaspekt. Eine Logik bzgl. der user_id.

Kann ein Fremder über die user_id irgendwelche Dinge in einem Board veranstalten? Das ganze "Admin verstecken" wäre dann nämlich nutzlos, wenn ein Hacker über die Memberlist raus bekommen würde, "ah, da ist ein versteckter Admin, der die user_id=xyz hat".

Wie gesagt, selbst wenn der Admin in der Memberlist NICHT angezeigt wird, so kann man indirekt über den Umkehrschluss einer fehlenden user_id raten, dass es ein Admin ist.

Nein, anhand der user_id kann man nicht feststellen ob der entsprechende User Adminrechte hat.

Dazu müsste der "Hacker" direkten Zugriff auf Deine Datenbank haben.

( Es ist nur hinreichend bekannt, das die user_id 2 der Standard Admin ist )