phpBB.de

Hi,
ich hab ein Forum von phpBB
und wollte fragen wie ich da in der Signatur des HTML aktivieren kann...


MfG

Dazu musst du im Adminbereich unter Allgemeines -> Konfiguration HTML aktivieren und die entsprechenden Tags definieren.
http://phpbb.de/doku/doku.php#kapitel_3_2_2_1
HTML ist allerdings ein Sicherheitsrisiko. Du kannst für (fast) alles auch BB-Code nutzen.

Leuchte hat geschrieben:Dazu musst du im Adminbereich unter Allgemeines -> Konfiguration HTML aktivieren und die entsprechenden Tags definieren.
http://phpbb.de/doku/doku.php#kapitel_3_2_2_1
HTML ist allerdings ein Sicherheitsrisiko. Du kannst für (fast) alles auch BB-Code nutzen.

Was genau stellt denn das Sicherheitsrisiko dar ? Kann mir jemand ein paar Beispiele aufzählen, da meine Foren User unbedingt in ihrer Signatur HTML haben wollen.

Es steht ja...

Das Benutzer ihre Seite mit gefährlichen HTML-Code zerstören.

Und das kann man machen...

Erlaubte HTML-Tags - Wenn HTML erlaubt ist, können Sie hier die Tagsfestlegen, die verwendet werden dürfen. Dies verhindert, daß Benutzer ihre Seite mit gefährlichen HTML-Code zerstören. Sei müssen nur den Basis-Tag eingeben, zum Beispiel für den Gebrauch von <span color="red">Roter Text</span> genügt es, wenn Sie span in die Liste eingeben.

Jo schön und welche Tags sind alle gefährlich und welche nicht ?

Alles was Java, Java-Script oder ählich enthält kann "Potenziell Gefährlich" sein. Man kann z.B. damit nen Popup in die Signatur einbauen, Umleitungen programmieren oder Bilder über wichtige Teile des Forums legen.

Über den "a" Tag kann man Cookies und somit die MD5 Hashes der User auslesen. Mehr dazu hier: http://www.phpbb.com/phpBB/viewtopic.php?t=127525

Und über diverse Fehler im IE kann man sogar fremde EXEs starten. Das ist jedoch kein BUG des phpBBs sondern eins vom Internetexplorer. Wenn Du aber alle Tags erlaubst, kann man problemlos EXEs starten. Hier ist nen Demo: http://193.99.144.71/security/dienste/b ... 5_22.shtml


Grüße
Dennis

Sagen wir es mal so, wenn man täglich oder alle paar Tage ein wichtiges Backup vom Forum macht, sollte der Ausfall oder Missbrauch von HTML geringer sein bzw. nicht so schmerzvoll. Also ich habe HTML in der Signatur aktiviert und keine Einschränkungen gemacht, in der Hoffnung das es niemand für dumme oder sinnlose Sachen verwendet. Links, Bilder, Animierte Avatare etc. sollte man dann problemlos nutzen können zumindest in der Signatur.

Besitzt das phpBB eigentlich Schutzmechanismen gegen Hacken, bruteforce attacks etc?

Sorcio hat geschrieben:Also ich habe HTML in der Signatur aktiviert und keine Einschränkungen gemacht, in der Hoffnung das es niemand für dumme oder sinnlose Sachen verwendet.

Gib mal Link...

Wenn dann doch jemand "sinnlose Sachen" verwendet, ist's zu spät...

Ja, aber mal Hand aufs Herz, wer ist sich denn sicher, das wenn man HTML deaktiviert hat auch 100% sicher ist? Niemand?

Also wenn man wo rein oder dran will, dann schafft man das immer. Daher mache ich mir keine so großen Umstände.

Zudem würde es euch nichts bringen mein Forum zu zerstören....habe heute nen BU gemacht und daher ist der Schaden eher gering und untragisch.

Aber phpBB hat keinen eigenen Schutz gegen BF, Hacking, KEYLOGGING?

BF und Hacking sind normalerweise Serversache, hier ist das phpBB so sicher wie der Server, auf dem es läuft.
Gegen Keylogging kannst du serverseitig nichts machen... da genügt es schon, einen Keylogger-Stecker (ab ca. 15 Euro) in deine Tastatur zu stecken.