Seite 1 von 1

phpBB "Sicherheitsloch"

Verfasst: 12.04.2007 21:14
von CC84
Da ich in den letzten Tagen trotz Captcha selber Opfer von Spam geworden bin und auch die Mods hier keine Abhilfe gebracht haben, habe ich mir mein eigenes Capcha geschrieben und bin dabei auf eine eklatante Sicherheitslücke gestoßen.

phpBB sieht es nicht vor, dass Captchacodes verworfen werden. Das heisst man kann zu einem COde beliebig viele Bilder erstellen. Wenn also eine OCR software auch nicht beim ersten mal klappt. So füttert man sie einfach mit 10, 100 oder gar 1000 Bildern und bildet dann seine Meinung per einfacher Statistik. Zudem kann man auf diese Weise auch unbekannte Capchas antrainieren.

Hier sollte dringend etwas gemacht werden.

Gruß

CC

Verfasst: 12.04.2007 21:25
von Bl00dyT!G3R
Wie wurde denn gespammt? Als anonymer User Posts erstellt?
Versuche doch im AdminCP bei Forum unter "Befugnisse" einzustellen, dass man nur als Registrierter User posten kann, bzw nur als Registrierter die Foren überhaupt sehen können... Sollte helfen!

Verfasst: 12.04.2007 21:40
von BraveEagle
Das hat doch gar nichts mit dem Thema zu tun Bl00dyT!G3R

Verfasst: 12.04.2007 22:01
von Bl00dyT!G3R
Wieso? ich sehe das bei ihm gespammt wurde. Ob Captcha oder nicht, man kann doch erstmal anhand der Grundeinstellungen einen Vorschlag machen, wie er den Spam eindämmen kann. Aber gut, wenn das hier nicht erwünscht ist: Ich entschuldige mich für meinen Post, der anscheinend nicht Themenbezogen ist.

Verfasst: 12.04.2007 22:06
von CC84
bloody ich bin in der Lage mein eigenes Captcha zu schreiben, meinste nicht, ich bin in der Lage das phpBB richtig zu konfigurieren?

Wenn ich sage, dass trotz captcha gespammt wurde, dann hat jemand das Captcha wohl umgangen.

Um es also nochmal klar zu sagen: Ein Bot hat sich angemeldet (umgehung des Captchas) und dann gepostet.

Und eben weil ich mein eigenes Captcha geschrieben habe, ist mir aufgefallen, dass es Leuten die versuchen das Captcha automatisch zu erkennen es recht einfach gemacht wird.

Gruß

CC

Verfasst: 13.04.2007 00:12
von Bl00dyT!G3R
Ok CC84, da hst du schon recht. Auch hier will ich mich für meine primitiven Beiträge entschuldigen!

Verfasst: 13.04.2007 02:07
von gn#36
Ich würde das nicht "Sicherheitslücke" sondern eher "Schwäche" nennen denke ich, und es ist auch nicht die einzige. Die Buchstaben sind immer die gleichen, selbst wenn sie in ihrer Position im Bild variieren und leicht mit einem Rauschen geändert werden, die Buchstaben sind weder gedreht noch verzerrt, es gibt keine Sonderzeichen. Im Prinzip muss man beim phpBB Captcha nur Punkte unterhalb gewisser Heligkeitsstufen ausfiltern und dann muss man den Rest nur noch Verbinden für die Form eines Buchstabens.

Verfasst: 13.04.2007 06:47
von CC84
gn#36 hat geschrieben:Ich würde das nicht "Sicherheitslücke" sondern eher "Schwäche" nennen denke ich, und es ist auch nicht die einzige. Die Buchstaben sind immer die gleichen, selbst wenn sie in ihrer Position im Bild variieren und leicht mit einem Rauschen geändert werden, die Buchstaben sind weder gedreht noch verzerrt, es gibt keine Sonderzeichen. Im Prinzip muss man beim phpBB Captcha nur Punkte unterhalb gewisser Heligkeitsstufen ausfiltern und dann muss man den Rest nur noch Verbinden für die Form eines Buchstabens.
Die Art des Capchas kann man ja noch relativ einfach ändern. Da gibts ja genug Mods zu. Aber das von mir beschriebene Verhalten kann nicht gändert werden und damit ist nahezu jedes Capcha, läd man es nur oft genug, zu identifizieren.

Verfasst: 13.04.2007 06:58
von Dennis63
Bugs bitte direkt an die Entwickler melden: www.phpbb.com/bugs . Dort ist direkt der Bugtracker, der die BUGs sammelt und verwaltet.

Ob sich jedoch jemand um so eine Schwäche in der 2er Software kümmert, während die 3er Software bereits im späten Beta-Stadium ist, ist eine andere Frage.

Grüße
Dennis

Verfasst: 13.04.2007 11:08
von CC84
ok mache ich. Je nachdem kann es aber ja auch sein, dass in der 3er Verison der selbe Fehler wieder gemacht wird.