phpBB.de

Moin

Ist bekannt, das mit der aktuellen Version die Emailadressen der Mitglieder durch einen Angriff von außen mitgeloggt werden können?

Ich habe mir einige Beiträge zu Sicherheitslöchern angeschaut und da ich die aktuelleste Version habe, dürften die Bugs behoben sein. Mir wurde aber mitgeteilt das das wohl einfach zu machen ist. Das möchte ich natürlich verhindern.

Passwörter auf meine Datenbank dürfte auch relativ schwierig raus zu finden sein, da sie aus mehreren Zahlen und Buchstaben besteht und nicht gerade kurz ist.

Wer es nicht im Board posten möchte, ob das geht und was man dagegen tun kann, der kann mir auch gerne per PN eine Antwort schicken.

Danke für Infos.

KaptnIGLO hat geschrieben: Ist bekannt, das mit der aktuellen Version die Emailadressen der Mitglieder durch einen Angriff von außen mitgeloggt werden können?

Wie meinst du das jetzt genau? Weil wenn die Mitglieder ihre E-Mail-Adressen nicht gerade verstecken, kann sie natürlich jeder Außenstehende sehen, sofern er als Gast Zugriff auf die Foren hat.

@jasc

Ein Mitglied hatte die Emaildaten versteckt. Das ist auch richtig gemacht worden. Gäste können bei mir nur wenige Foren lesen, sonst nichts. Wenn ich mit nem normalen Testuser reingehe, dann sehe ich auch die Email nicht und als Gast auch nicht. Nun ist aber angeblich seine Adresse nur für diese Board eingerichtet worden und kein Außenstehender wußte von der Email.
Er ist sehr vorsichtig und hat nun Angst, weil jemand anderes der nicht im Board registriert ist ihn angeschrieben hatte.

Wennn man seine Daten versteckt, zeigt phpBB sie auch nicht an. Nur Admins sehen alle Daten, egal ob versteckt oder nicht.

Also könnte es nur sein das er am Anfang die Emailadresse öffentlich, wie sie vom Board als Standart im Profil angegeben hatte gelassen hat. Jemand hat sich z.B.: mit einem anderen Namen und neue Mailadresse registriert und eingeloggt und die offenen Emailadressen angeschaut, dann viel später bestimmte Mitglieder die in der Zwischenzeit die Emails versteckt hatten mit ner anderen Emailadresse angeschrieben.

Wenn Ihr mir sagt, das das zur Zeit technisch unmöglich ist, wenn alle Vorgehensweisen auf Adminseite getan worden sind, um das Board sicher zu machen, kann niemand Fremdes ohne direkten Zugang aufs Board (also der Normalfall User loggt sich ein und schaut Mitgliederliste) auf dem FTP und der Datenbank ihrgendwelche Daten ausspionieren.

Es gibt ja ein Posting in der Knowledge-Base, wie das sicher gemacht wird.

Öhm war das eine ernsthafte mail oder nur Spam, was dein Benutzer da bekommen hat? Weil ich bekomme auch Spam an eine E-Mail-Adresse, die ich nirgends angegeben habe .

@jasc

Nö, das war so ne Art Abwerbemail von einem Konkurenzboard, obwohl ich das schon oberpeinlich finde, wenn jemand auf solche Mittel zurückgreifen muß um Mitglieder zu halten, bzw. neu anzuwerben.

KaptnIGLO hat geschrieben:@jasc

Nö, das war so ne Art Abwerbemail von einem Konkurenzboard, obwohl ich das schon oberpeinlich finde, wenn jemand auf solche Mittel zurückgreifen muß um Mitglieder zu halten, bzw. neu anzuwerben.

Das finde ich ebenfalls äusserst frech.
Ich habe auf meinem Board nach fast einem Jahr Online-Zeit auch nur wenige User und noch weniger aktive, aber sowas wäre mir nie in den Sinn gekommen.