Passwort Änderungen

Alle Fehler, Vorschläge und sonstige Anmerkungen kommen hier rein.
Antworten
Benutzeravatar
Archon
User
User
Beiträge: 2065
Registriert: Mo 20.Okt, 2003 22:24
Wohnort: Erde
Kontaktdaten:

Passwort Änderungen

Beitrag von Archon » Di 05.Feb, 2008 18:43

Heisst das das ich nun Innerhalb von 21Tagen mein Passwort ändern muss.
Oder das ich nun Alle 21 Tage mein Passwort Ändern muss?
[center]Ein Pessimist ist ein Optimist mit erfahrung
BildBild
What Magic the Gathering Color are you? [/center]
Inventarnummer: A1-B69

Benutzeravatar
oxpus
Administrator
Administrator
Beiträge: 29106
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus » Di 05.Feb, 2008 21:25

Alle 21 Tage.

Ich weis, kann schnell lästig werden, aber der Vorfall von phpbb.de zeigt, daß das Thema mal wieder extrem wichtig geworden ist.
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per ICQ, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per ICQ, Email or PM. Each unasked message will be ignored!

Twins

Beitrag von Twins » Mi 06.Feb, 2008 16:54

Ich finde alle 21 Tage ist extrem übertrieben, alle zwei Monate würde doch auch reichen, oder? Ich meine auf phpBB.de wurde der Account eines Admins gehackt, wenn dieser ein unsicheres Passwort hat, können die User noch so sichere PWs haben.

Und außerdem kann man ja alle 21 Tage einfach das gleiche Passwort nochmal eingeben, das System merkt das ja nicht.

Benutzeravatar
oxpus
Administrator
Administrator
Beiträge: 29106
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus » Mi 06.Feb, 2008 17:47

Zum einen ist das nicht übertrieben, da ein schwaches Passwort leider Tür und Tor öffnet.
Die Dauer ist mit 21 Tagen auf meinen Boards sogar noch sehr human, ich kenne da noch viel strengere Systeme ;)

phpbb.de wurde dagegen allerdings wohl doch nicht durch ein unsicheres Passwort, sondern durch ein fehlerhaftes eigenes Modul gehackt, welches $_GET-Variablen verwendet, die nicht extra abgesichert wurden (Link zur offiziellen Erklärung: http://www.phpbb.de/viewtopic.php?p=954013#954013 ).

Also eine Lücke, die der CT abfangen kann, da er ALLE Variablen prüft. Egal, wo und wie sie herkommen!
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per ICQ, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per ICQ, Email or PM. Each unasked message will be ignored!

Benutzeravatar
Archon
User
User
Beiträge: 2065
Registriert: Mo 20.Okt, 2003 22:24
Wohnort: Erde
Kontaktdaten:

Beitrag von Archon » Mi 06.Feb, 2008 18:36

Na dann hoff ich einfach mal das der mich dann in 21 Tagen beim Login Auffordert ein Neues PW zu machen. ^^ Wenn ich selber dran denken muss dann wird das Lästig ^^
[center]Ein Pessimist ist ein Optimist mit erfahrung
BildBild
What Magic the Gathering Color are you? [/center]
Inventarnummer: A1-B69

Benutzeravatar
KeineAhnung
User
User
Beiträge: 349
Registriert: Di 29.Mai, 2007 16:35
Wohnort: NRW
Kontaktdaten:

Beitrag von KeineAhnung » Mi 06.Feb, 2008 19:43

[quote="oxpus";p="84702"]Zum einen ist das nicht übertrieben, da ein schwaches Passwort leider Tür und Tor öffnet.
Die Dauer ist mit 21 Tagen auf meinen Boards sogar noch sehr human, ich kenne da noch viel strengere Systeme ;)

phpbb.de wurde dagegen allerdings wohl doch nicht durch ein unsicheres Passwort, sondern durch ein fehlerhaftes eigenes Modul gehackt, welches $_GET-Variablen verwendet, die nicht extra abgesichert wurden (Link zur offiziellen Erklärung: http://www.phpbb.de/viewtopic.php?p=954013#954013 ).

Also eine Lücke, die der CT abfangen kann, da er ALLE Variablen prüft. Egal, wo und wie sie herkommen![/quote]
alle...

ich dachte der prüft nur $_SERVER['QUERY_STRING']....

und da gibts ja auch noch POST ^^

öhm ich weis soll kein spam sein aber irgendwie passt es zum thema ein sicherheits script das eure eigenen srcipte naja nich 100% schutz aber halt kleine programmiersicherheits lücken deckt

Code: Alles auswählen

<?php

if (!isset($_SESSION) || !is_array($_SESSION))
{
    $_SESSION = array();
}
if (!isset($_GET) || !is_array($_GET))
{
    $_GET = array();
}
if (!isset($_POST) || !is_array($_POST))
{
    $_POST = array();
}
$sn = session_name();
if (isset($_GET[$sn]))
if (strlen($_GET[$sn]) != 32)
unset($_GET[$sn]);
if (isset($_POST[$sn]))
if (strlen($_POST[$sn]) != 32)
unset($_POST[$sn]);
if (isset($_COOKIE[$sn]))
if (strlen($_COOKIE[$sn]) != 32)
unset($_COOKIE[$sn]);
if (isset($PHPSESSID))
if (strlen($PHPSESSID) != 32)
unset($PHPSESSID);
foreach ($_GET as $key => $val)
{
    $_GET[$key] = htmlspecialchars($val);
}
foreach ($_GET as $key => $val)
{
    $_GET[$key] = strtolower($val);
}
if (get_magic_quotes_gpc() == 0)
{
    foreach ($_GET as $key => $val)
    {
        $_GET[$key] = addslashes($val);
    }
}
$_GET = preg_replace('(\/|\.\.|"|\'|\x00|.ht(.*)|(.*).php|<?php|\?>|%20cmd|cmd%20|fopen|fwrite|password|union%20|%20union|union|union=|script|update|img|src)', '', $_GET);
$_GET = str_replace('%00', '', $_GET);
$_SERVER['QUERY_STRING'] = strtolower($_SERVER['QUERY_STRING']);
$_SERVER['QUERY_STRING'] = preg_replace('(\/|\.\.|"|\'|\x00|.ht(.*)|(.*).php|<?php|\?>|%20cmd|cmd%20|fopen|fwrite|password|union%20|%20union|union|union=|<script|update)', '', $_SERVER['QUERY_STRING']);
$_SERVER['QUERY_STRING'] = htmlspecialchars($_SERVER['QUERY_STRING']);
$_SERVER['QUERY_STRING'] = str_replace('%00', '', $_SERVER['QUERY_STRING']);
if (get_magic_quotes_gpc() == 0)
{
    $_SERVER['QUERY_STRING'] = addslashes($_SERVER['QUERY_STRING']);
}

?>
sieht viell ein bisschen an einer stelle wie der stand alone tracker aus nur das habe ich echt nicht geklaut, er war sozusagen nur mein vorbild ;D

und hier noch ein code der viell nüztlich ist wenn man alle sonderzeichen aus $_GET filtern will :D

Code: Alles auswählen

<?php

foreach($_POST as $k => $v)
{
$s = str_split($v);
$_POST[$k] = null;
foreach($s as $c=>$vv)
{
if(preg_match("/[^a-zA-Z0-9.]/i", $vv))
{
unset($s[$c]);
}
}
foreach($s as $muh)
{
$_POST[$k] .= $muh;
}
}

?>
wenn das hier nciht passend ist dann einfach löschen soll nur als kleine sicherheitsstütze dienen ;)

Benutzeravatar
Overhead
User
User
Beiträge: 205
Registriert: Do 13.Sep, 2007 13:37

Beitrag von Overhead » Mi 06.Feb, 2008 20:18

@ Oxpus

wenn der CT das checkt - dann gäbe es doch kein Problem - daher verstehe ich Deine Sorge nicht und die rigorose Einstellung der PW.

btw Das captcha des CT ist schlimmer wie Augenkrebs

cu Overhead

Benutzeravatar
oxpus
Administrator
Administrator
Beiträge: 29106
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus » Do 07.Feb, 2008 09:31

@Overhead
Der CT prüft auf Schlüssenwörter, aber nicht, ob ein Passwort zu schwach ist ;)
Das wird an anderer Stelle eingestellt und daher habe ich genau das jetzt auch getan.
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per ICQ, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per ICQ, Email or PM. Each unasked message will be ignored!

Twins

Beitrag von Twins » Do 07.Feb, 2008 11:32

Ich dachte bei phpBB.de sind Experten am Werk und dann nicht mal der CrackerTracker, der diesen Angriff verhindert hätte? Schwach! Hoffentlich wird man dort in Zukunft etwas schlauer und baut den CT ein.

Benutzeravatar
oxpus
Administrator
Administrator
Beiträge: 29106
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus » Do 07.Feb, 2008 12:39

[quote="Twins";p="84722"]Ich dachte bei phpBB.de sind Experten am Werk und dann nicht mal der CrackerTracker, der diesen Angriff verhindert hätte? Schwach! Hoffentlich wird man dort in Zukunft etwas schlauer und baut den CT ein.[/quote]
Das Team von phpbb.de ist eindeutig gegen den CT, da er, nach deren Meinung, Fehler nur "verdeckt" und daher alle Scripte besser selber auf Sicherheit geprüft werden sollten.
Was aber dort scheinbar kaum einer berücksichtigt, ist das Logging, daß, bei genauer Betrachtung, wertvolle Hinweise auf mögliche Schwachstellen in den einzelnen Scripten liefert, um sie beheben zu können.

Aus diesem Grund muss ich dann auch mal anmerken, daß man noch so sauber programmieren kann, wie man will, irgendwo schleicht sich immer mal ein Fehler ein, bzw. in dem Fall eine nicht berücksichtigte Konvertierung und Absicherung des $_GET-Arrays und somit fiel das Board insgesamt auf die Nase.

Für mich also absolut keine ziehende Argumente, gegen den CT zu sein, denn der hätte dieses wohl verhindert, da die Variablen $_GET und $_POST in die "langen" Superglobals übernommen werden und damit, selbst wenn diese in der common.php nicht geschützt wären, auf Inhalte durch den CT geprüft und damit ggf. blockiert wären.

Aber was solls, man ist eben anderer Meinung und daher ist das Thema durch.
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per ICQ, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per ICQ, Email or PM. Each unasked message will be ignored!

Benutzeravatar
smarty
User
User
Beiträge: 128
Registriert: So 17.Jul, 2005 14:13

Beitrag von smarty » Fr 08.Feb, 2008 02:32

nun gut, sowas kann immer passieren und läßt sich nimmer rückgängig machen.

Was ich an der ganzen Geschichte mit den div. Hacks etwas komisch finde, ist das Statement von Woltlab.


Ich zitiere kurz:
Soweit wir das bisher recherchieren konnten, kannte der Hacker das Passwort eines Administrators und konnte sich so Zugang zur Administrationsoberfläche verschaffen. Wir vermuten, dass der Hacker das Passwort des Administrators über den Hack einer anderen Seite, wo das gleiche Passwort verwendet wurde, erfahren hat. Es handelt sich also nicht um einen Fehler in der Forensoftware.
Jetzt stellen sich mir 2 Fragen:
1. wie man unter 85895 registrierten Benutzern ausgerechnet einen Admin von wbb findet.
Welcher Admin betroffen ist wurde nicht gesagt.
Usersuche bei phpBB.de konnte ich z.B. keinen Marcel Werk (alle möglichen Varianten probiert) finden.

2. nichts für Ungut, aber ein Admin, der sein Adminpasswort aus dem eigenen Supportforum für einen Useracc im einem anderen Forum verwendet, der gehört nunmal bestraft.

Insgesamt finde ich die Angelegenheit etwas merkwürdig ;)

Benutzeravatar
shadowrider
User
User
Beiträge: 493
Registriert: Mi 18.Aug, 2004 11:56
Wohnort: Schelklingen-Schmiechen
Kontaktdaten:

Beitrag von shadowrider » Di 19.Feb, 2008 11:27

hätte einen Vorschlag, um die Passwortänderung komfortabler zu gestalten

wenn das Passwort abgelaufen ist, öffnet sich beim Anmelden automatisch ein neues Fenster:

Text:Passwort abgelaufen

Eingabefeld: neues Passwort eingeben

Eingabefeld: Passwort bestätigen

Button: Absenden

chrsla
User
User
Beiträge: 297
Registriert: Mi 03.Okt, 2007 22:09

Beitrag von chrsla » So 16.Mär, 2008 17:32

Da ich nichts passendes im Forum hier gefunden habe und es am ehesten zu dieser Passwortänderung passt schreibe ich das hier rein

Also bei deinem phpBB 3 Entwicklungsforum komme ich seit der Passwortänderungspflicht (man was für ein langes Wort) nicht mehr rein. Hab sogar versucht mir ein neues Passwort zu kommen zu lassen.

Sprich auf Passwort vergessen geklickt da ich echt nicht mehr weiß welches Passwort nun stimmt.

Doch mein problem ist nun das ich noch nicht einmal mehr ne Mail bekomme um den Account neu zu aktivieren oder so.

Kannst du Oxpus da mal nachschauen???

Benutzeravatar
oxpus
Administrator
Administrator
Beiträge: 29106
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus » So 16.Mär, 2008 20:59

Du hast eine PN...
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per ICQ, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per ICQ, Email or PM. Each unasked message will be ignored!

Antworten