phpBB.de

phpBB.de - Die deutsche phpBB-Community
https://www.phpbb.de/community/

Sicherheitslücke Passwort

https://www.phpbb.de/community/viewtopic.php?t=177295

Seite 1 von 1

Sicherheitslücke Passwort

Verfasst: 17.09.2008 13:13
von BRotondi
Hallo allerseits

Registriere ich mich in einem phpBB-Forum, weiss ich, dass mein Passwort einsehbar ist.

a) via Begrüssungsmail (dieses kann man wenigstens sofort löschen)
b) via Administrator oder Code-Anpassung (Open Source)

Das Hauptproblem ist dabei, dass viele User das selbe Login+Kennwort für verschiedenste Foren benutzen. Gerät jemand in das Forum eines ihm nicht wohlgesinnten, können diese Angaben missbraucht werden.

Lösungsvorschlag mit Codeanpassung: Das Passwort darf nie sichtbar werden. Ein eindeutiger Geräte-ID verschlüsselt das Passwort bereits bei der Eingabe. Dieser Code darf natürlich nicht OpenSource sein.

Kein perfekte Lösung, da man dies immer auf die eine oder andere Weise umgehen kann. Ist es jedoch die Standardimplementation, wird phpBB schon mal in diesem Punkt viel sicherer.

Weiterhin gute Entwicklungen!
Bruno

Verfasst: 17.09.2008 13:36
von nickvergessen
Ich kann deine Gedanken gut nachvollziehen. Aber alles was eingegeben wird, kann man auch empfange/auslesen und somit neben der phpbb-Datenbanken auch noch in anderen. Gegen solch schweinische Admins kann man eigentlich nichts machen. Ansonsten gehören solche Vorschläge eher in den Bugtracker von phpBB.com da die phpBB entwickeln ;)

Verfasst: 17.09.2008 13:51
von BRotondi
Ja, 100%igen Schutz gibt's nicht. Aber mann kanns den Leuten ja erschweren :)

... ev. schreib' ich's mal noch auf englisch...

Beste Grüsse
Bruno

Verfasst: 17.09.2008 14:01
von PhilippK
Wobei es sicher sein düfte, das es keinen Closed-Source-Teil bei phpBB geben wird.

Gruß, Philipp

Verfasst: 17.09.2008 14:45
von larsneo
Das Hauptproblem ist dabei, dass viele User das selbe Login+Kennwort für verschiedenste Foren benutzen. Gerät jemand in das Forum eines ihm nicht wohlgesinnten, können diese Angaben missbraucht werden.
[...]
ergo sollte man das hauptproblem lösen, oder? wer in der heutigen zeit auf personenbezogene daten und kennwörter nicht ernst nimmt wird über kurz oder lang sowieso ein problem haben - und phpbb ist dabei sicherlich nicht das schwächste glied in der kette...
Lösungsvorschlag mit Codeanpassung: Das Passwort darf nie sichtbar werden.
hmmh - und wie gibt man dann kennwörter ein? ob ich als bad admin den POST abfange oder die verschlüsselung in der db auf klartext zurücksetze macht doch keinen wirklichen unterschied oder? auch single-sign-on loginssysteme ala openid sind dabei übrigens keine wirkliche hilfe (und bieten noch ganz angriffsflächen).
Alle Zeiten sind UTC+01:00
Seite 1 von 1

Powered by phpBB® Forum Software © phpBB Limited

Deutsche Übersetzung durch phpBB.de