Seite 1 von 8
Wie sicher ist phpBB?!
Verfasst: 02.06.2003 20:16
von Reality
Immer wieder höre ich, das phpbb gehackt wurde, auch war ich mal Augenzeuge in einem Board.
Vielleicht ist hier ja einer von euch Hacker.
Könnt ihr mir sagen, wie sicher es ist und ob jemand schon geschafft hat die aktuelle Version 2.0.4 zu cracken?(aus irgendeinem Forum)
Gruss Reality
Verfasst: 02.06.2003 20:23
von Schumi
Die Möglichkeit besteht nur, wenn dein Forum durch extrem viele Mods auch eine Angriffsfläche bietet. Die meißten Gründe für gehackte Foren sind:
- Passwort des Admins eraten oder altes Cookie benutzt
- anderweitig Zugrif zum Server erhalten
- unaktuelle Version von phpBB
Verfasst: 03.06.2003 11:19
von Reality
Schumi hat geschrieben:Die Möglichkeit besteht nur, wenn dein Forum durch extrem viele Mods auch eine Angriffsfläche bietet. Die meißten Gründe für gehackte Foren sind:
- Passwort des Admins erraten oder altes Cookie benutzt
Wenn sich also jemand in meinem Computer hackt und sich mein Cookie kopiert, dann ist er Admin, wenn ich das richtig verstehe.
Gruss Reality
Verfasst: 03.06.2003 13:49
von The Lord of Programming
Ich glaube, das geht nur, wenn du einstellst, dass du dich automatisch bei jedem Besuch einloggst. Dann wird das Passwort im Cookie (wahrscheinlich verschlüsselt)gespeichert und beim Besuch automatisch eingegeben.
Aber mal ne andere Frage: Theoretisch könnte sich doch da einer hinsetzen und mit einem Crackprogramm alle Pw-kombinationen durchprobieren lassen(vielleicht mit ein paar Millionen Kombinationen pro Sekunde).
Verfasst: 03.06.2003 13:53
von Angela Goldig
ich hab den hack Password Protected Forums drin. da wird der account nach 3 vergeblichen login versuchen geblockt.
Verfasst: 03.06.2003 14:15
von The Lord of Programming
Wird der dann für immer geblockt?
Verfasst: 03.06.2003 14:19
von Angela Goldig
das kann man alles im acp einstellen
Benutzer bei falschem Login blockieren
Wenn ein Benutzer wiederholt ein falsches Passwort eingibt wird sein Account für eine Weile blockiert. Lege fest, wie oft ein Benutzer ein falsches Passwort übermitteln darf bis sein Account blockiert wird.
Zeit für Accountblockierung
Anzahl der Minuten, die ein Useraccount blockiert ist, wenn öfter als in "Benutzer bei falschem Login blockieren" angegeben, ein falsches Passwort übermittelt wurde"
Passwortkomplexität
Benutzerpassworte müssen aus Buchstaben und Zahlen bestehen
Passwort unterschiedlich vom Benutzernamen
Passworte werden nicht akzeptiert, wenn sie identisch mit dem Benutzernamen sind.
Kleinste Passwortlänge
Valid range is [ 1 - 32 ]
das alles ist im acp einstellbar und man kann einen user auch manuell blocken.
Verfasst: 03.06.2003 14:25
von The Lord of Programming
ööh was is acp
Verfasst: 03.06.2003 14:31
von Angela Goldig
admincontrolpanel
Verfasst: 03.06.2003 14:40
von The Lord of Programming
Und is des bei phpBB dabei, oder muss man sich das erst installieren?