phpBB.de

Verfasst: **16.02.2005 14:35**

Hallo,

ich habe ein phpBB-Forum am Laufen (mittlerweile in Version 2.0.11, vorher 2.0.6). Da ich nicht genau weiss, ob beim Angriff die Daten ausgespäht wurden, möchte ich jetzt gerne die User dazu anhalten, unbedingt ihre Passwörter zu ändern, um das Sicherheitsrisiko für den Server zu verringern.

Wie kann ich das anstellen? Ich kann zwar die User höflich darum bitten, habe dann aber keine Garantie dafür, dass die Passwörter auch wirklich geändert wurden. Ich habe einen Dump der Datenbank, der alle bisherigen User-Passwörter verschlüsselt (MD5) enthält. Ich will keinesfalls die Passwörter knacken, dh ich will nicht wissen, welche Passwörter die User benutzen, sondern ich möchte einfach mithilfe des verschlüsselten Passwortes feststellen können, ob der User das Passwort geändert hat. Reicht dazu der Vergleich des neuen MD5-verschlüsselten Passwortes mit dem alten MD5-verschlüsselten Passwort?

Gibt es eine Möglichkeit über die Forensoftware (bspw. Sperren des Zuganges bis zur Passwortänderung) die Passwortänderung zu erzwingen?

Grüsse
schuelsche

Verfasst: **16.02.2005 18:58**

Bau diesen Mod ein, mit dem kannst du angeben wie alt ein Passwort sein darf bis ein User mit einem Popup darauf hingewiesen wird es zu ändern: http://mods.db9.dk/viewtopic.php?t=555

Grüße Mario

Verfasst: **16.02.2005 19:20**

die zig geht bei mir nicht

Wäre echt eine interessante sache

Verfasst: **17.02.2005 07:32**

Leider kann ich das zip nicht downloaden:

Code: Alles auswählen

Not Found
The requested URL //admin/mods/protect_user_account_1.2.9em_193.zip was not found on this server.

Apache/1.3.28 Server at mods.db9.dk Port 80

Woher kann ich dieses MOD bekommen??

Grüsse
schuelsche

Verfasst: **17.02.2005 08:35**

Hier gibt es eine alternative Downloadmöglichkeit: http://www.phpbbhacks.com/download/880

Grüße Mario

Verfasst: **17.02.2005 09:43**

Hallo,

danke für den Hinweis. Habe das MOD jetzt eingefügt.
Aber ich habe ein Problem:
Im Adminstrationspanel kann man ja unter User admin -> Management - Eingabe des Usernamens ganz unten einen Haken setzen bei "Force user to change password on next logon ?". Wenn dieser Haken einmal gesetzt ist, lässt er sich nicht mehr entfernen.

In der Datei, die hierfür geändert wurde (ich nehme an templates/subSilver/admin/user_edit_body.tpl) wird nur geschrieben:

Code: Alles auswählen

<!-- Start add - Protect user account MOD -->
<tr> 
  <td class="row1"><span class="gen">{L_FORCE_NEW_PASSWD} ?</span><br /><span class="gensmall">{L_FORCE_NEW_PASSWD_EXPLAIN}</span></td>
  <td class="row2"> 
	<input type="checkbox" name="force_new_passwd" {FORCE_NEW_PASSWD_CHECKED}>
	</td>
</tr>
...

Wie kann ich denn den Haken wieder rausholen??

Grüsse
schuelsche

Verfasst: **17.02.2005 10:55**

Und kann mir jemand für diese Option vielleicht mal ein Beispiel geben:

Code: Alles auswählen

// Start add - Protect user account MOD
//
// If you wish to give the user the option of using the admin
// made password for X days, substitude "0" value in the secound
// line below with a value of secounds + current time the password
// will be valid
//
$force_new_passwd = ( isset( $HTTP_POST_VARS['force_new_passwd']) ) ? ( ( $HTTP_POST_VARS['force_new_passwd'] ) ? TRUE : 0 ) : 0;
$force_new_passwd_sql = ( $force_new_passwd ) ? ", user_passwd_change='0'" : (($this_userdata['user_passwd_change']) ? "" : ", user_passwd_change='".time()."'");
// End add - Protect user account MOD

Ich habe bswp. schon eingegeben:

Code: Alles auswählen

$force_new_passwd_sql = ( $force_new_passwd ) ? ", user_passwd_change='3600'" : (($this_userdata['user_passwd_change']) ? "" : ", user_passwd_change='".time()."'");

Aber wie muss ich das konkret bei "time" eintragen??

Grüsse
schuelsche

PS: obige Frage besteht weiterhin

phpBB.de

Passwortänderung erzwingen

Passwortänderung erzwingen