phpBB.de

phpBB.de - Die deutsche phpBB-Community
https://www.phpbb.de/community/

Reg. User kann in Privaten Forum schreiben. Ist das möglich?

https://www.phpbb.de/community/viewtopic.php?t=78959

Seite 1 von 2

Reg. User kann in Privaten Forum schreiben. Ist das möglich?

Verfasst: 16.02.2005 23:31
von justalife
Nabend,
folgende seltsame Erscheinung hat sich zugetragen und ich möchte wissen ob das möglich ist bzw. was man dagegen machen kann:
phpbb 2.0.10

Ich habe allen Foren die Befügnis 'Privat [versteckt]' zugeteilt und nur einer Gruppe den Zugriff darauf gestattet. Nun hat es sich zugetragen, das ein User, ohne das er in der Gruppe war, in den privaten Bereich posten/lesen konnte.

Ist sowas auf normalem Weg möglich oder eine Sicherheitslücke? Weil bei anderen User war das nicht der Fall. Wie kann man sich dagegen schützen?

Danke

Verfasst: 16.02.2005 23:43
von Markus67
Hi ...

woher weisst du dass er darin lesen konnte ?

Markus

Verfasst: 16.02.2005 23:47
von justalife
weil er darin auch geschrieben hat (posten/lesen)

Verfasst: 16.02.2005 23:57
von Markus67
Hi ...

Hast du schonmal in den Forenbefugnissen nachgesehen ob das Forum wirklich auch Privat steht.

Hast du beim User mal nachgesehen ob er wirklich nur ein "normaler" User ist ?

Markus

Verfasst: 17.02.2005 00:02
von justalife
Ja ist es und ja ist er....

kann es daran liegen, dass ich die 2.0.10 nutze...ich werde morgen, oh, ist ja schon heute, updaten....aber warum dann nur bei dem einem User, der das konnte...

Verfasst: 17.02.2005 00:10
von Markus67
Hi ...

Update auf die 2.0.11 ist auf jeden Fall empfehlenswert, da eine Sicherheitslücke in der viewtopic entdeckt wurde die mit der neusten Version gefixt wird.
http://www.phpbb.de/viewtopic.php?t=70853

Markus

Verfasst: 17.02.2005 09:04
von Loewenherz
justalife hat geschrieben:kann es daran liegen, dass ich die 2.0.10 nutze...
Nein - sofern es nicht an oben genannter Sicherheitslücke liegt. Aber mir erscheint unwahrscheinlich, dass dies jemand für ein simples Posting nutzen würde. Hast du auch einen Account als normaler registrierter User zum Testen? Oder vielleicht einen Fehler in der fortgeschrittenen Version der Rechtevergabe gemacht?

Verfasst: 17.02.2005 09:29
von justalife
Ich hab das mal getestet. Das Problem ist, dass der frisch registrierte User gleich in die (geschlossene) Gruppe kommt ohne das er dort vom Gruppenleiter hinzugefügt werden muss...Das habe ich ja auch noch nie erlebt...

hm...ich muss dazu sagen, dass ich das Forum, da schon alle hacks drin waren, kopiert habe und nur ne neue DB angelgt habe...

Ich werde jetzt nochmal die Originalversion installieren, vielleicht lag es ja darn...

Verfasst: 17.02.2005 09:37
von Markus67
Hi ...

welche MOD's hast du denn eingebaut ?

Markus

Verfasst: 17.02.2005 09:43
von justalife
Farbgruppen und Custom Profiles Hack
Alle Zeiten sind UTC+01:00
Seite 1 von 2

Powered by phpBB® Forum Software © phpBB Limited

Deutsche Übersetzung durch phpBB.de