Seite 1 von 2
Software für Diskussionsforen verrät Hashes von Passwörtern
Verfasst: 31.07.2003 18:28
von Magician
Hallo,
sorry wenn dies schonmal gepostet wurde ich habe in der Suche-Funktion nichts passendes gefunden.
Habe wegen dem Heise Artikel nach phpbb gesucht und folgendes gefunden:
Software für Diskussionsforen verrät Hashes von Passwörtern [Update]
http://www.heise.de/newsticker/data/dab-23.06.03-000/
Verfasst: 31.07.2003 18:39
von Henne
Und was willst du uns damit sagen?
Verfasst: 31.07.2003 18:48
von NS-6
Meine Meinung nach will er damit behaubten das phpBB nicht sicher ist.
Verfasst: 31.07.2003 19:07
von BrahmA
Sicher? Was ist das schon?
Verfasst: 31.07.2003 19:46
von Magician
Hatte nur eben nach phpbb gesucht und den Beitrag gefunden.
Beim kopieren war was rausgeschnitten meine Frage war gar nicht dabei. Sorry!
Wird der Fehler im 2.06 behoben sein?
Verfasst: 31.07.2003 20:52
von Jensemann
> Meine Meinung nach will er damit behaubten das phpBB nicht sicher ist.
Wenn überhaupt etwas sicher ist, dann das nichts sicher ist.
> Wird der Fehler im 2.06 behoben sein?
Davon kannst du erstmal ausgehen.
Ok, eine weitere Sicherheitslücke in phpBB, mal wieder code injection die nur auftritt wenn register_globals = On, vielleicht solltet ihr mal dazu übergehen register_globals = Off zu machen. Es ist natürlich ein phpBB Problem, das aber nur auftritt wenn einer so hirnverbrand ist register_globals = On zu verwenden. Mit so einem setting kann man fast nie aussschliessen das irgendwie sql injection möglich ist, hier darf mal wieder phpBB die unfähigkeit der PHP programmierer und die unfähigkeit der user ausbaden die es installieren.
Wenn euer Hoster euch nicht erlaubt register_globals = Off zu setzen, dann schreibt ihm ne mail das er es für euch setzen soll, da Ihr nicht mit den Potienzellen Sicherheitslücken leben könnt. (ja das meine ich ernst).
Testet vorher eure anderen webs ob sie register_globals = On benötigen, wenn ja behebt die probleme. phpBB arbeitet problemlos ohne register_globals daher gibt es keinen grund diese unsichere Einstellung die nur der Rüclkwärts Compat dient beizubehalten.
Ich gehe davon aus das sehr viele diese Sicherhieslückenicht verstehen, daher erkläre ich es mal ein wenig verständlicher.
phpBB speichert das passwort in einem einweg verschlüsselungs verfahren, d.H. eine entschlüsselung ist nur mit _sehr_ hohem aufwand möglich. Durch diese sicherheitslücke kann man Zugriff auf die verschlüsselten passwörter erlangen.
Jens
Verfasst: 31.07.2003 21:26
von PhilippK
Das größte Sicherheitsloch sitzt sowieso meist
vor dem PC...
Gruß, Philipp
Verfasst: 31.07.2003 21:37
von Dwing
mehr dazu hier:
http://de.php.net/registerglobals
Was man auch machen kann (wenn der Hoster es erlaubt und man den Apache benutzt):
Eine .htaccess im Directory Root erstellen:
Verfasst: 31.07.2003 21:52
von Gast
wie kann ich herausfinden ob ich zur Zeit mit register_globals = on oder = off arbeite?
Verfasst: 31.07.2003 21:56
von Jensemann
phpinfo();