Dr.Death hat geschrieben:Bisher ist uns noch kein Script bekannt, welches das phpBB3 CAPTCHA lösen kann.... bzw. ihn den Foren die betreibe hat sich kein SPAM BOT einnisten können.
-> siehe unten.
Kellergeist2 hat geschrieben:Dr.Death hat geschrieben:Bisher ist uns noch kein Script bekannt, welches das phpBB3 CAPTCHA lösen kann.... bzw. ihn den Foren die betreibe hat sich kein SPAM BOT einnisten können.
Ich kenne auch zahlreiche Foren, welche von phpBB2 auf phpBB3 umgestellt haben.
Vorher hatten die meisten davon massive Probleme mit Bot-Anmeldungen, seit der Umstellung keinen einzigen mehr.
Bei einigen Foren habe ich dies sogar von dem jeweiligen Admin persönlich mitgeteilt bekommen.
Die gleiche Erfahrung habe ich auch mit meinen drei phpBB3-Foren machen können.
Keinerlei Bot-Anmeldungen.
Natürlich. Aber da kommen wir auch zu Boecki's Post:
Boecki91 hat geschrieben:Captchas sind doch gut.
Nehmen wir mal an so ein BFA läuft parallelisiert auf 1.000.000 Foren, wird das ganze schlau verteilt würde eine Zeitspanne von x Sekunden Sperre überhaupt nicht ins Gewicht fallen, weil der Server eh diese x Sekunden mit anderen Seiten beschäftigt ist. Die Ideale Methode für einen Flächenangriff, scheiß egal was angegriffen wird, Hauptsache Daten, klingt auch schon wenn man von x Millionen Foren y viele Userpasswörter geklaut hat
Bei Captchas ist es so das wir dem Angriffsserver etwas kosten, sogar etwas sehr wertvolles und zwar Rechenzeit, natürlich können jetzt einzelne Foren massiv angegriffen werden, die große Masse jedoch nicht.
Genau dort steht es ja. Um den Captcha zu lösen, brauch es sehr viel Rechenzeit (damit beschäftige ich mich ja
). Wenn jetzt jemand ein Exploit schreibt nur um dem phpBB 3 zu schaden, dann ist dem die BFA Methode egal. Dafür kann man auch andere Programme benutzen. Er versucht einfach Sicherheitslücken zu finden.
Eine BFA-Attacke auf einen phpBB 3-Forum ist gerade WEGEN, des Captchas eigentlich unütz. Nur jemand der es gezielt auf ein Forum abgesehen hat, wird sich die Mühe machen, etwas wirkliches zu programmieren was den Captcha austrickst. Und dieser jemand wird Script, woran er locker einige Wochen/Monate dran arbeiten muss, da er es auch noch in ein möglich Recourcenarmes Betriebssystem integrieren wird, da in dem Fall wohl kein Linux oder Windows benutzen wird, da diese beiden schon einiges an Rechenleistung verbrauchen, sondern eher ein eigenes Betriebsyystem aufbauen, was nur dieses eine Programm benutzt, und sich dabei einfach nen vorgefertigten Linux/etc. Kernel benutzen wird, da es mit Windows bzw. einem vollfunktionsfähigen Rechner aufgrund der Auslaustung eh ziemlicher schwachsinn wär, nicht auch noch veröffentlichen.
Man kann JEDE Technik umgehen. Es gibt auch Leute die schaffen es sich beim Millitär einzuhacken, und diese benutzen wohl bessere Techniken als ein Captcha.
Dies soll aber nicht heißen das phpBB 3 unsicher ist. Dieses Risiko gibt es bei jeder Software.
Und phpBB 3 hat die einer der besten Sicherheitsscripte aller Software.
Und der oben genannte Fall wir wohl selten bwz. nie passieren und wenn, dann ist es sehr unwahrscheinlich das ein unbedeutendes Forum genommen wird. Da muss der Hacker schon sehr wütend sein bzw. schon SEHR gut bezahl werden.
So Ende des Romans.
Robbi [Ich hoffe ihr habt alle was dazugelernt]
