phpBB.de

Hallo zusammen,

aufgrund einer Diskussion in einem anderen Forum: Klick wollte ich mal nachfragen wie sicher denn die Verschlüsselungstechnik hier und in anderen Forensystemen ist, und ob es schon Leuten gelungen ist das PW zu hacken?

Vielen Dank und liebe Grüße

Sascha

KB:md5 - da steht das wesentliche drin.

Gruß, Philipp

WIKI hilft

auch wenn MD5 zwischenzeitlich als nicht mehr sicher erachtet wird und man eher zu SHA-1 tendiert so sehe ich die gefahr eines bruteforce angriffes auf das kennwort doch eher als gering an - gemeinhin bieten die 'normalen' webserver umgebungen (gerade beim shared hosting) wesentlich einfachere alternativen (von den jüngeren exploits in bezug auf den IE einmal ganz zu schweigen)
bis zur version 2.0.8 gab es übrigens beim phpBB2 ein exploit über das man unter gewissen umständen den md5-hash des benutzerkennwortes anzeigen konnte (*klick*).
letzendlich zeigt sich aber wieder einmal, wie wichtig es ist, auf aktuellem stand zu bleiben - sowohl beim phpBB als auch beim vbulletin gab es in der vergangenheit securityfixes und es obliegt dem anwender diese auch einzuspielen

mir ist bislang weder für phpBB (noch für mein eigentliches projekt postnuke) kein fall bekannt bei dem für ein defacement das kennwort via bruteforce gehackt werden musste - in aller regel beschränken sich die angriffe eher auf session hijacking bzw. klassische SQL-injektionen (und eher recht selten auch XSS angriffe) oder aber schlichtweg angriffe auf die zugrundeliegende architektur (php/mysql/webserver).