Passwort Änderungen

Offen für Allerweltsthemen
Antworten
Benutzeravatar
Archon
Beiträge: 1631
Registriert: Mo 20.Okt, 2003 23:24
Wohnort: Erde
Kontaktdaten:

Passwort Änderungen

Beitrag von Archon »

Heisst das das ich nun Innerhalb von 21Tagen mein Passwort ändern muss.
Oder das ich nun Alle 21 Tage mein Passwort Ändern muss?
[center]Ein Pessimist ist ein Optimist mit erfahrung
BildBild
What Magic the Gathering Color are you? [/center]
Inventarnummer: A1-B69
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

Alle 21 Tage.

Ich weis, kann schnell lästig werden, aber der Vorfall von phpbb.de zeigt, daß das Thema mal wieder extrem wichtig geworden ist.
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Twins

Beitrag von Twins »

Ich finde alle 21 Tage ist extrem übertrieben, alle zwei Monate würde doch auch reichen, oder? Ich meine auf phpBB.de wurde der Account eines Admins gehackt, wenn dieser ein unsicheres Passwort hat, können die User noch so sichere PWs haben.

Und außerdem kann man ja alle 21 Tage einfach das gleiche Passwort nochmal eingeben, das System merkt das ja nicht.
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

Zum einen ist das nicht übertrieben, da ein schwaches Passwort leider Tür und Tor öffnet.
Die Dauer ist mit 21 Tagen auf meinen Boards sogar noch sehr human, ich kenne da noch viel strengere Systeme ;)

phpbb.de wurde dagegen allerdings wohl doch nicht durch ein unsicheres Passwort, sondern durch ein fehlerhaftes eigenes Modul gehackt, welches $_GET-Variablen verwendet, die nicht extra abgesichert wurden (Link zur offiziellen Erklärung: http://www.phpbb.de/viewtopic.php?p=954013#954013 ).

Also eine Lücke, die der CT abfangen kann, da er ALLE Variablen prüft. Egal, wo und wie sie herkommen!
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Benutzeravatar
Archon
Beiträge: 1631
Registriert: Mo 20.Okt, 2003 23:24
Wohnort: Erde
Kontaktdaten:

Beitrag von Archon »

Na dann hoff ich einfach mal das der mich dann in 21 Tagen beim Login Auffordert ein Neues PW zu machen. ^^ Wenn ich selber dran denken muss dann wird das Lästig ^^
[center]Ein Pessimist ist ein Optimist mit erfahrung
BildBild
What Magic the Gathering Color are you? [/center]
Inventarnummer: A1-B69
Benutzeravatar
KeineAhnung
Beiträge: 349
Registriert: Di 29.Mai, 2007 17:35
Wohnort: NRW
Kontaktdaten:

Beitrag von KeineAhnung »

[quote="oxpus";p="84702"]Zum einen ist das nicht übertrieben, da ein schwaches Passwort leider Tür und Tor öffnet.
Die Dauer ist mit 21 Tagen auf meinen Boards sogar noch sehr human, ich kenne da noch viel strengere Systeme ;)

phpbb.de wurde dagegen allerdings wohl doch nicht durch ein unsicheres Passwort, sondern durch ein fehlerhaftes eigenes Modul gehackt, welches $_GET-Variablen verwendet, die nicht extra abgesichert wurden (Link zur offiziellen Erklärung: http://www.phpbb.de/viewtopic.php?p=954013#954013 ).

Also eine Lücke, die der CT abfangen kann, da er ALLE Variablen prüft. Egal, wo und wie sie herkommen![/quote]
alle...

ich dachte der prüft nur $_SERVER['QUERY_STRING']....

und da gibts ja auch noch POST ^^

öhm ich weis soll kein spam sein aber irgendwie passt es zum thema ein sicherheits script das eure eigenen srcipte naja nich 100% schutz aber halt kleine programmiersicherheits lücken deckt

Code: Alles auswählen

<?php

if (!isset($_SESSION) || !is_array($_SESSION))
{
    $_SESSION = array();
}
if (!isset($_GET) || !is_array($_GET))
{
    $_GET = array();
}
if (!isset($_POST) || !is_array($_POST))
{
    $_POST = array();
}
$sn = session_name();
if (isset($_GET[$sn]))
if (strlen($_GET[$sn]) != 32)
unset($_GET[$sn]);
if (isset($_POST[$sn]))
if (strlen($_POST[$sn]) != 32)
unset($_POST[$sn]);
if (isset($_COOKIE[$sn]))
if (strlen($_COOKIE[$sn]) != 32)
unset($_COOKIE[$sn]);
if (isset($PHPSESSID))
if (strlen($PHPSESSID) != 32)
unset($PHPSESSID);
foreach ($_GET as $key => $val)
{
    $_GET[$key] = htmlspecialchars($val);
}
foreach ($_GET as $key => $val)
{
    $_GET[$key] = strtolower($val);
}
if (get_magic_quotes_gpc() == 0)
{
    foreach ($_GET as $key => $val)
    {
        $_GET[$key] = addslashes($val);
    }
}
$_GET = preg_replace('(\/|\.\.|"|\'|\x00|.ht(.*)|(.*).php|<?php|\?>|%20cmd|cmd%20|fopen|fwrite|password|union%20|%20union|union|union=|script|update|img|src)', '', $_GET);
$_GET = str_replace('%00', '', $_GET);
$_SERVER['QUERY_STRING'] = strtolower($_SERVER['QUERY_STRING']);
$_SERVER['QUERY_STRING'] = preg_replace('(\/|\.\.|"|\'|\x00|.ht(.*)|(.*).php|<?php|\?>|%20cmd|cmd%20|fopen|fwrite|password|union%20|%20union|union|union=|<script|update)', '', $_SERVER['QUERY_STRING']);
$_SERVER['QUERY_STRING'] = htmlspecialchars($_SERVER['QUERY_STRING']);
$_SERVER['QUERY_STRING'] = str_replace('%00', '', $_SERVER['QUERY_STRING']);
if (get_magic_quotes_gpc() == 0)
{
    $_SERVER['QUERY_STRING'] = addslashes($_SERVER['QUERY_STRING']);
}

?>
sieht viell ein bisschen an einer stelle wie der stand alone tracker aus nur das habe ich echt nicht geklaut, er war sozusagen nur mein vorbild ;D

und hier noch ein code der viell nüztlich ist wenn man alle sonderzeichen aus $_GET filtern will :D

Code: Alles auswählen

<?php

foreach($_POST as $k => $v)
{
$s = str_split($v);
$_POST[$k] = null;
foreach($s as $c=>$vv)
{
if(preg_match("/[^a-zA-Z0-9.]/i", $vv))
{
unset($s[$c]);
}
}
foreach($s as $muh)
{
$_POST[$k] .= $muh;
}
}

?>
wenn das hier nciht passend ist dann einfach löschen soll nur als kleine sicherheitsstütze dienen ;)
Benutzeravatar
Overhead
Beiträge: 205
Registriert: Do 13.Sep, 2007 14:37

Beitrag von Overhead »

@ Oxpus

wenn der CT das checkt - dann gäbe es doch kein Problem - daher verstehe ich Deine Sorge nicht und die rigorose Einstellung der PW.

btw Das captcha des CT ist schlimmer wie Augenkrebs

cu Overhead
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

@Overhead
Der CT prüft auf Schlüssenwörter, aber nicht, ob ein Passwort zu schwach ist ;)
Das wird an anderer Stelle eingestellt und daher habe ich genau das jetzt auch getan.
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Twins

Beitrag von Twins »

Ich dachte bei phpBB.de sind Experten am Werk und dann nicht mal der CrackerTracker, der diesen Angriff verhindert hätte? Schwach! Hoffentlich wird man dort in Zukunft etwas schlauer und baut den CT ein.
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

[quote="Twins";p="84722"]Ich dachte bei phpBB.de sind Experten am Werk und dann nicht mal der CrackerTracker, der diesen Angriff verhindert hätte? Schwach! Hoffentlich wird man dort in Zukunft etwas schlauer und baut den CT ein.[/quote]
Das Team von phpbb.de ist eindeutig gegen den CT, da er, nach deren Meinung, Fehler nur "verdeckt" und daher alle Scripte besser selber auf Sicherheit geprüft werden sollten.
Was aber dort scheinbar kaum einer berücksichtigt, ist das Logging, daß, bei genauer Betrachtung, wertvolle Hinweise auf mögliche Schwachstellen in den einzelnen Scripten liefert, um sie beheben zu können.

Aus diesem Grund muss ich dann auch mal anmerken, daß man noch so sauber programmieren kann, wie man will, irgendwo schleicht sich immer mal ein Fehler ein, bzw. in dem Fall eine nicht berücksichtigte Konvertierung und Absicherung des $_GET-Arrays und somit fiel das Board insgesamt auf die Nase.

Für mich also absolut keine ziehende Argumente, gegen den CT zu sein, denn der hätte dieses wohl verhindert, da die Variablen $_GET und $_POST in die "langen" Superglobals übernommen werden und damit, selbst wenn diese in der common.php nicht geschützt wären, auf Inhalte durch den CT geprüft und damit ggf. blockiert wären.

Aber was solls, man ist eben anderer Meinung und daher ist das Thema durch.
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Benutzeravatar
smarty
Beiträge: 128
Registriert: So 17.Jul, 2005 15:13

Beitrag von smarty »

nun gut, sowas kann immer passieren und läßt sich nimmer rückgängig machen.

Was ich an der ganzen Geschichte mit den div. Hacks etwas komisch finde, ist das Statement von Woltlab.


Ich zitiere kurz:
Soweit wir das bisher recherchieren konnten, kannte der Hacker das Passwort eines Administrators und konnte sich so Zugang zur Administrationsoberfläche verschaffen. Wir vermuten, dass der Hacker das Passwort des Administrators über den Hack einer anderen Seite, wo das gleiche Passwort verwendet wurde, erfahren hat. Es handelt sich also nicht um einen Fehler in der Forensoftware.
Jetzt stellen sich mir 2 Fragen:
1. wie man unter 85895 registrierten Benutzern ausgerechnet einen Admin von wbb findet.
Welcher Admin betroffen ist wurde nicht gesagt.
Usersuche bei phpBB.de konnte ich z.B. keinen Marcel Werk (alle möglichen Varianten probiert) finden.

2. nichts für Ungut, aber ein Admin, der sein Adminpasswort aus dem eigenen Supportforum für einen Useracc im einem anderen Forum verwendet, der gehört nunmal bestraft.

Insgesamt finde ich die Angelegenheit etwas merkwürdig ;)
Benutzeravatar
shadowrider
Beiträge: 473
Registriert: Mi 18.Aug, 2004 12:56
Wohnort: Schelklingen-Schmiechen
Kontaktdaten:

Beitrag von shadowrider »

hätte einen Vorschlag, um die Passwortänderung komfortabler zu gestalten

wenn das Passwort abgelaufen ist, öffnet sich beim Anmelden automatisch ein neues Fenster:

Text:Passwort abgelaufen

Eingabefeld: neues Passwort eingeben

Eingabefeld: Passwort bestätigen

Button: Absenden
chrsla
Beiträge: 297
Registriert: Mi 03.Okt, 2007 23:09

Beitrag von chrsla »

Da ich nichts passendes im Forum hier gefunden habe und es am ehesten zu dieser Passwortänderung passt schreibe ich das hier rein

Also bei deinem phpBB 3 Entwicklungsforum komme ich seit der Passwortänderungspflicht (man was für ein langes Wort) nicht mehr rein. Hab sogar versucht mir ein neues Passwort zu kommen zu lassen.

Sprich auf Passwort vergessen geklickt da ich echt nicht mehr weiß welches Passwort nun stimmt.

Doch mein problem ist nun das ich noch nicht einmal mehr ne Mail bekomme um den Account neu zu aktivieren oder so.

Kannst du Oxpus da mal nachschauen???
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

Du hast eine PN...
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Antworten