hört sich sehr wirr an ist aber wichtig
Wo werden die Adminrechte gespeichert?
Forumsregeln
Auch wenn hier der Support für phpBB 2 weiterhin aufrecht erhalten bleibt, weisen wir darauf hin, dass das phpBB 2 nicht mehr offiziell unterstützt und weiterentwickelt wird!
Auch wenn hier der Support für phpBB 2 weiterhin aufrecht erhalten bleibt, weisen wir darauf hin, dass das phpBB 2 nicht mehr offiziell unterstützt und weiterentwickelt wird!
-
Bootenks
- Beiträge: 1836
- Registriert: Sa 29.Mai, 2004 23:36
- Wohnort: G?rlitz (?stlichste Stadt Deutschlands)
Wo werden die Adminrechte gespeichert?
Genau das frag ich mich, Hintergrund der sache ist dass ich verhindern will, dass wenn sich einer einloggt durch zufall eine IP zugewiesen wird die früher mal ein Admin war. Auch wenn eurer Meinung das nicht geht, würde ich gern auf Nummer sicher gehen. Also wie verhinderich dass das ein user beim einloggen per zufall die admin konsole betreten kann in dem er den link sieht und die rechte hat weilein vorheriger admin sich icht korrekt gelöscht hat oder so...
hört sich sehr wirr an ist aber wichtig
hört sich sehr wirr an ist aber wichtig
-
oxpus
- Administrator
- Beiträge: 28735
- Registriert: Mo 27.Jan, 2003 22:13
- Wohnort: Bad Wildungen
- Kontaktdaten:
Wenn Du die neueste phpBB-Version hast, musst Du Dir darüber keine ernsthaften Gedanken machen.
Die Rechte des Admins sind im Feld user_level hinterlegt. Nur darauf wird geprüft, ob der Benutzer, der das ACP betreten will, auch user_level == ADMIN ist, sprich, ob er den Administrationslevel hat. Alle anderen User werden (abgesehen bei Super Mod oder Junior Admin) gnadenlos abgelehnt.
Was Du meinst, mit gestohlener SID:
Damit alleine kann man sich nicht zum Admin machen! Es wird dazu auch auf user_level abgefragt und da ist beim "Einbrecher" keine "1" für Admin eingetragen! Also auch im ACP und gerade da ist ja Sicherheit gang groß geschrieben.
Fazit:
Dieses kleine Feld hat entscheidende Auswirkungen. Es ist von aussen (vorausgesetzt eben das phpBB ist aktuell) fast unmöglich daran was zu ändern und in das ACP einzubrechen. Die SID ist nur ein zusätzlicher Faktor. Beides muss eben passen, eins davon reicht nicht.
Wenn Du aber mal einen User in der Datenbank mit user_level = 1 sehen solltest: Ruhe bewahren, Level sofort auf "0" ändern und überlegen, welcher Mod ggf. eine Sicherheitslücke aufgetan hat (Der Birthday Mod ist da ein Kandidat für, wenn der falsch eingebaut wurde).
Dann kann man immer noch in Ruhe den Fehler suchen.
Tip zum Schluss:
Installiere mal den Admin/Mod-Logger (auch hier unter Downloads). Damit kannst Du festhalten, was alle Admins und Mods gemacht haben und ggf. auch eine evtl. Schwachstelle in Deinem Board finden.
Die Rechte des Admins sind im Feld user_level hinterlegt. Nur darauf wird geprüft, ob der Benutzer, der das ACP betreten will, auch user_level == ADMIN ist, sprich, ob er den Administrationslevel hat. Alle anderen User werden (abgesehen bei Super Mod oder Junior Admin) gnadenlos abgelehnt.
Was Du meinst, mit gestohlener SID:
Damit alleine kann man sich nicht zum Admin machen! Es wird dazu auch auf user_level abgefragt und da ist beim "Einbrecher" keine "1" für Admin eingetragen! Also auch im ACP und gerade da ist ja Sicherheit gang groß geschrieben.
Fazit:
Dieses kleine Feld hat entscheidende Auswirkungen. Es ist von aussen (vorausgesetzt eben das phpBB ist aktuell) fast unmöglich daran was zu ändern und in das ACP einzubrechen. Die SID ist nur ein zusätzlicher Faktor. Beides muss eben passen, eins davon reicht nicht.
Wenn Du aber mal einen User in der Datenbank mit user_level = 1 sehen solltest: Ruhe bewahren, Level sofort auf "0" ändern und überlegen, welcher Mod ggf. eine Sicherheitslücke aufgetan hat (Der Birthday Mod ist da ein Kandidat für, wenn der falsch eingebaut wurde).
Dann kann man immer noch in Ruhe den Fehler suchen.
Tip zum Schluss:
Installiere mal den Admin/Mod-Logger (auch hier unter Downloads). Damit kannst Du festhalten, was alle Admins und Mods gemacht haben und ggf. auch eine evtl. Schwachstelle in Deinem Board finden.
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!