update auf 2.0.19

Sicherheit des Webservers, der Server und rund um phpBB
pepi
Beiträge: 431
Registriert: So 10.Apr, 2005 20:45
Wohnort: Lienz - Austria
Kontaktdaten:

Beitrag von pepi »

danke

werde alles wieder rückgänig machen denn bei mir ist es eh egal
da der Debug-Mode ausgeschaltet ist und die Fehlermeldungun nicht sichtbar sind

aber das mit dem eingeloggt bleiben funktioniert immer noch nicht ^1 ^1
gru? Pepi
SkYfiGhTeR
Beiträge: 153
Registriert: Do 28.Okt, 2004 09:01

Beitrag von SkYfiGhTeR »

Hi,

mal eine Sache wegen der neuen Funktion seit Version 2.0.19 mit der LogIn-Sperre nach bestimmter Anzahl von Fehlversuchen.

Genau die gleiche Sache ist es doch auch beim Protect User Account MOD von Niels oder? Wenn man den bisher eingebaut hatte auf seinem Board und dann genügend Fehl-LogIns getätigt wurden, wird der Account ja auch gesperrt.

Also im Prinzip genau die gleiche "Schwachstelle" bei diesem MOD, der zwar noch andere Sicherheitsrelevante Funktionen bietet, aber bei dieser Funktion, ist ein Forum dann bisher ja genauso "anfällig" für solche Attacken gewesen. Nur gab's die wahrscheinlich nicht, da das ja nicht standardmäßig und fest im Code von phpBB integriert ist, sondern nur zusätzlich eingebaut werden kann, stimmts?
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

Und daher hatte ich diese Funktion des MODs auch wieder ausgebaut.
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
SkYfiGhTeR
Beiträge: 153
Registriert: Do 28.Okt, 2004 09:01

Beitrag von SkYfiGhTeR »

Hi,

mhm...achso.

Dann wäre es doch aber eigentlich sinnvoller, wenn man bei der in phpBB direkt jetzt seit 2.0.19 integrierten Funktion eine mögliche Sperrung von Admin-Accounts ausnehmen würde, sodass diese nie gesperrt werden können. Und außerdem wäre es ja noch sinnvoll gewesen - wie beim Protect User Account MOD von Niels - die Möglichkeit hinzuzufügen, Benutzer wieder vor Ablauf der Sperrzeit zu entsperren, falls es eben durch Fremdeinwirkung zu einer Sperrung gekommen ist, oder?
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

Man könnte aber auch in der common.php oder page_header.php den Admin-Acount immer automatisch entsperren lassen. Wäre dann aber immer eine Abfrage je Seite mehr und ob das wirklich was nutzt...
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
SkYfiGhTeR
Beiträge: 153
Registriert: Do 28.Okt, 2004 09:01

Beitrag von SkYfiGhTeR »

Hi,

ja könnte man auch, aber wenn man irgendwie direkt festlegt, dass User mit bestimmter ID (also eben alle, die Administrator-Rechte haben dann die ID eintragen) nicht gesperrt werden können, dann würde das ja nicht immer eine Abfrage je Seite mehr geben und trotzdem würde ein Admin-Account dann nie gesperrt werden können.

Bringt dann zwar Usern nichts, die trotzdem noch gesperrt werden können, aber immerhin hat man als Admin dann die Möglichkeit, die Accounts zu entsperren.

Öhm...bzw. nein, die Möglichkeit hat man ja nicht mal, da bei phpBB eben keine Option mit im Update gewesen ist, im Falle einer Sperrung diese für einzelne User vorzeitig zu beenden. Das finde ich auch nicht soo gut irgendwie, das ist beim PUA MOD schon besser gemacht, also wenn eben überhaupt solch eine Funktion...

Edit: Tja, oder eben halt einfach abwarten...denn noch ist ja nirgends was passiert und bei kleineren Foren ist die Wahrscheinlich ja so und so geringer als bei größeren. Und vielleicht gibts ja noch vor ersten Ausnutzungen dieses neuen "Features" einen zusätzlichen Schutz bzw. eine Erweiterung von cback - fände ich übrigens auch super. ;)
Zuletzt geändert von SkYfiGhTeR am Fr 06.Jan, 2006 21:06, insgesamt 1-mal geändert.
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

CBack arbeitet bereits dran ;)
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
SkYfiGhTeR
Beiträge: 153
Registriert: Do 28.Okt, 2004 09:01

Beitrag von SkYfiGhTeR »

Hi,

jep freu ich mich schon drauf. ;)
Naja und bis dahin bzw. so schnell kommen da wie gesagt hoffentlich keine "Attacken" die das ausnutzen oder man setzt eben einfach die Sperrzeit auf 1 Minute oder so, dann ist es auch schon fast egal...so lange bis CBack eben fertig ist. :)

Und was sagt die phpBB Group eigentlich selbst dazu bzw. zu den aufgekommen Diskussionen wegen dieser Neuerung? Wird da mit der nächsten Version das Ganze wieder rausgenommen oder eher auch von phpBB noch verbessert bzw. sicherer gemacht? Oder kann man das nicht sagen bisher..
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

Ich habe noch nichts konkretes von denen vernommen, nur, daß diese Methode 1:1 auch im phpBB3 aktuell zu finden ist.
Aber ich denke, die werde dort noch nachlegen, weil diese Art der User-Sperrung einfach für die Katze ist!
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
SkYfiGhTeR
Beiträge: 153
Registriert: Do 28.Okt, 2004 09:01

Beitrag von SkYfiGhTeR »

Hi,

hui, wenn die so auch im phpBB3 aktuell zu finden ist bzw. zu finden wäre, dann wäre das ja gleich ein Punkt gewesen, der nicht so gut gewesen wäre. Also wenn es jetzt z.B. nicht schon mit 2.0.19 gekommen wäre und damit keine Reaktionen der User aufgekommen wäre, wäre es vll. so in phpBB3 gekommen. Dann ist es ja nochmal gut, dass es jetzt schon dazugekommen ist, denn dann kann man das für phpBB3 mal noch ein bischen überarbeiten. ;)
Antworten