Seite 4 von 6
Verfasst: Mo 16.Jan, 2006 23:24
von diegoriv
@Sk.....
Du hast sowieso autologin aktiviert, weil diese groß-klein-wechslerei würde mir sämtliche Finger brechen
nichts für ungut.
Ich hoffe, ich verbreite da keinen Schwachsinn. Ich möchte die großartige Arbeit von cback nicht verunstalten:
Jedenfalls hab ich 2 Kleinigkeiten in der login.php angepasst:
inder Zeile, wo die Variable ct_logintry = 1 gesetzt wird, da erhöhe ich um 1
und weiter oben bei der Abfrage nach selbiger habe ich
durch
ersetzt.
Ich lasse also 0 und 1 zu.
Meiner Meinung nach bleibt sich das völlig wurscht, weil wenn einer dieser ScriptKiddys (eigentlich ein schönes Vokalbel) aktiv wird, dann ändert es nichts daran, ob der VisCode beim ersten oder 15. Fehlversuch sich dazuschaltet. Die Sperre von 2.0.19 wird umschifft - Das ist der wesentliche Punkt.
j.
Verfasst: Mo 16.Jan, 2006 23:28
von SkYfiGhTeR
Hi,
nein - AutoLogIn habe ich nicht aktiviert. *g* Habe mich da dran gewöhnt und bekomme den so schon schneller hin als alles klein zu schreiben, außerdem tipp ich meist das S ein und dann Pfeil nach unten und "Enter" und dann ist der ganze Name...Autovervollständigungen sind an.
AutoLogIn mag ich nicht so. *g*
Ja..also eigentlich keine schlechte Sache und wirklich die Sicherheit "verschlechtern" tut es ja auch nicht...wenn da nicht igrendwelche Bedenken oder so seitens cback kommen, dann überlege ich mir das auch mal, ob ich's nicht auf zwei Versuche mache, falls wirklich mal ein Vertipper dabei ist und man dann trotzdem noch ohne VisCode rein kommt, wenn beim 2. Versuch dann das PW korrekt ist.
Grüße
SkYfiGhTeR
Verfasst: Mo 16.Jan, 2006 23:31
von diegoriv
Besser wir warten das ok von cback ab, weil ich bin eher der Bastler als der Wissende *outing*
Verfasst: Mo 16.Jan, 2006 23:31
von oxpus
Oh man *stöhn* noch schneller und CBack arbeitet mit Lichtgeschwindigkeit
Wie immer supi Arbeit und ich kann mich nur wiederholen: Du setzt Ideen einfach immer wieder genial um!
Verfasst: Di 17.Jan, 2006 06:40
von tom10
Sehr schön, sehr schön ! Danke Cback !
Was ich bei mir gerade festgestellt habe:
Ich gebe beim 1. versuch ein falsches Password ein --->
Dann kommt die Seite mit "sie haben ein falschen benuternamen...blabla"
Nun gebe ich wieder ein falschen Benutzernamen ein --->
Und nun kommt die Seite mit dem Visuellen Code....
Und ich kann ein 3tes mal die login daten eingeben wie gesagt nun mit dem Visuellen Code.
Genau so finde ich es gut!
Ich dachte es käme schon nach dem 1. versuch die sache mit dem Visuellen Code....und von daher sauch der vorschlag nach einer 2ten Möglichkeit das Password nochmal einzugeben. Aber wie gesagt so wie es momentan bei mir ist finde ich es gut gelöst.
Verfasst: Di 17.Jan, 2006 12:21
von diegoriv
[quote="tom10 - Di 17.Jan, 2006 06:40";p="52223"]Sehr schön, sehr schön ! Danke Cback !
Was ich bei mir gerade festgestellt habe:
Ich gebe beim 1. versuch ein falsches Password ein --->
Dann kommt die Seite mit "sie haben ein falschen benuternamen...blabla"
Nun gebe ich wieder ein falschen Benutzernamen ein --->
Und nun kommt die Seite mit dem Visuellen Code....
Und ich kann ein 3tes mal die login daten eingeben wie gesagt nun mit dem Visuellen Code.
Genau so finde ich es gut!
Ich dachte es käme schon nach dem 1. versuch die sache mit dem Visuellen Code....und von daher sauch der vorschlag nach einer 2ten Möglichkeit das Password nochmal einzugeben. Aber wie gesagt so wie es momentan bei mir ist finde ich es gut gelöst.[/quote]
Soweit ich das verstanden habe, ist es beim zweiten Versuch völlig egal, ob du ein richtiges oder falsches PW eingibst. Du kommst in jedem Fall zum VisCode. Dort musst du dann alle drei Felder korrekt nochmal ausfüllen.
Das ist auch vielleicht noch der gaaanz kleine Schönheitsfehler an dieser Lösung, aber immer noch viel besser, als wenn man bei jedem einloggen den VisCode abtippen müsste.
Verfasst: Di 17.Jan, 2006 15:22
von cback
@diegoriv:
Deine Lösung ist auch OK und 2 mal macht bei Brute Force auch nichts, wer beim 2. Versuch schon Dein Passwort weiß das wär schlecht.
Ansonsten muss das so gelöst werden mit dem Code, da die Loginseite erst wissen muss wer kommt. Was ich vorher sagte. Bevor Du Deinen Nick eingegeben hast und Absenden klickt weiß CTracker noch nicht wer sich da anmelden will. Erst nachdem das geschehen ist schaut er nach, ob schon ein Fehlerversuch bei dem User vorlag. Wenn nein, dann loggt er ein, wenn doch zeigt er halt den Code an und verhindert den Login.
Genauso wies sein sollte und auch die einzige Möglichkeit sowas beim Login umzusetzen, denn auf der Loginseite weiß das Skript logischerweise nicht wer kommt.
Und kommt nicht mit Cookies oder IP, denn BruteForce Attacken löschen meist die Cookies nach jedem Versuch und rotieren ihre IP
Verfasst: Di 17.Jan, 2006 17:11
von tom10
Nur mal so von mir weiter gesponnen.....(weil ich es noch immer nicht so ganz verstanden hab)
Ist es also egal was ich beim 2ten Versuch eingebe... es kommt immer noch ein 3ter Versuch ?!?
Und wenn man die 2te Eingabemöglichkeit gleich weg lassen würde und dafür die mit dem visuellen Code nehmen würde und alle weiteren dann eben auch mit dem Visuellen code?
Schlag mich bitte nicht.....aber da kann man sich doch (wie es jetzt ist) das 2 Eingabefenster schenken ?!?
Verfasst: Di 17.Jan, 2006 17:13
von cback
Nö.
Erster Login schlägt fehl, Forum weiß danach nicht mehr wer kommen will. Würde sich nun also ein anderer User einloggen käme die Visuelle Bestätigung ja nicht, nur wenn der es wieder versucht der vorher schon falsch eingegeben habt.
Bedenkt bitte:
Skript muss wissen WER sich einloggen will
Weiß er vorher noch nicht
Verfasst: Di 17.Jan, 2006 17:24
von tom10
Ich hab gerade nochmal bei mir getestet.
Ich gebe irgend was sinnloses als Benutzernamen ein und auch beim Password --> Da kommt gleich die Visuelle Bestätigung... (Klar, kann und soll sie auch)
2ter Test: Ich gebe ein richtigen Nick ein und ein falsches Password-->
Da kommt (sie haben falsches password usw. eingegeben) (ist klar und richtig so)
Und nun kommt nochmal ein Eingabefenster ohne visuellen Code -->
Jetzt gebe ich die richtigen Zugangsdaten ein und dachte ich lande nun eingeloggt im forum, aber es kommt das 3te mal ein eingabefenster mit dem visuellen Code...
Sollte ich nicht eigentlich nachdem ich die richtigen zugangsdaten eingegeben habe eingeloggt werden ?
Verfasst: Di 17.Jan, 2006 17:41
von cback
Nein wenn Du ein falschen Login erzeugt hast vorher natürlich nicht, sonst hätte ein BruteForcer ja die Möglichkeit den Schutz auszutricksen wenn er immer wieder die login.php aufruft.
Verfasst: Di 17.Jan, 2006 18:01
von tom10
Aha, schon verwirrend irgend wie das ganze....
Verfasst: Di 17.Jan, 2006 19:15
von oxpus
Nochmal in chonologischer Reihenfolge:
- User meldet sich an
- Anmeldung schlägt fehl (Passwort falsch)
- Script merk (erst jetzt!!!!!) wer sich falsch angemeldet hat
- Account wird gesperrt
- Login erscheint erneut (es ist nun bekannt, wer sich anmelden wollte)
- Anmeldung durch User erfolgt (User wird mitgeführt. Und genau hier kann der auch von Scripts ausgelesen werden!!!!!)
- Login erscheint nun zum 3. Mal, aber jetzt mit Visual Confirmation, um fehlerhafte Anmeldung zu vermeiden, die korrekte Anmeldung zu bestätigen und Eindringlinge weiterhin abzufangen.
- Account wird entsperrt und der User angemeldet.
Soweit jetzt klarer?
Erscheint auf den ersten Blick lästig, aber nur so kann man falsche Anmeldungen wirksam abfangen und dem User mit der VC gezielt und sicher anmelden.
Oder die VC wäre halt immer an
Im Original müsste man sich halt einfach nochmal anmelden.
Der Ctracker verlangt hier aber einfach nochmal eine Bestätigung, die kein Script oder Wurm erledigen kann. Halt: Schotten dicht!
Verfasst: Mi 18.Jan, 2006 06:09
von tom10
Alles klar. Nun verstehe ich die Problematik ! Danke nochmal für die Erklärung.
Verfasst: Di 11.Apr, 2006 21:08
von cback
Version 4.1.2 veröffentlicht.
Paketdownload siehe bitte aller erster Post dieses Topics. Dort befindet sich auch der Downloadlink. Im Downloadpaket liegt eine Updateanleitung dabei, ist sehr schnell gemacht das Update. Dank Modularer Bauweise muss nur eine Datei ersetzt und das DB Update ausgeführt werden.
Verfasst: Di 11.Apr, 2006 21:26
von oxpus
Und schon sind wie wieder aktuell.
Danke Cback!
Verfasst: Di 11.Apr, 2006 21:32
von cback
Bitte, gern geschehen.
Verfasst: Mi 12.Apr, 2006 04:24
von skittles
@cback
Gibts deinen Ctracker auch fürs wbb?
ich frage aus 2 gründen!
1. habe ich es durch Zufall gesehen, und wollte sichergehen dass da keine Copyright verletztung statt findet.
Siehe Footer
http://www.german-torrent-division.de.vu/ bzw
http://www.radiosunlight.de/
2. tät ich ihn selber gerne mal einbauen bei mir!
Über eine Antwort würde ich mich freuen! Liegt ja zu 50% auch in deinem Interesse *ggg*
Verfasst: Mi 12.Apr, 2006 08:15
von oxpus
Verfasst: Mi 12.Apr, 2006 10:20
von Titus
es gibt die CT-portierung von
http://birc-script.de/wbb2/index.php
und ein ähnliches system von
www.wbb-security.de
vom umfang recht identsich mit dem phpBB CT (was man in der basic version so sieht)
und natürlich den standalone wie oxpus schon geschrieben hat
Verfasst: Mi 12.Apr, 2006 13:37
von skittles
Danke für die antworten!
:-)
Verfasst: Mi 12.Apr, 2006 17:54
von tom10
Recht vielen Dank für das Update Cback! Habs gleich eingebaut!
Verfasst: Mi 12.Apr, 2006 18:32
von cback
[quote="skittles";p="57680"]@cback
Gibts deinen Ctracker auch fürs wbb?
ich frage aus 2 gründen!
1. habe ich es durch Zufall gesehen, und wollte sichergehen dass da keine Copyright verletztung statt findet.
Siehe Footer
http://www.german-torrent-division.de.vu/ bzw
http://www.radiosunlight.de/
2. tät ich ihn selber gerne mal einbauen bei mir!
Über eine Antwort würde ich mich freuen! Liegt ja zu 50% auch in deinem Interesse *ggg*[/quote]
Das ist eine erlaubte Portierung, der Link zu CBACK.de ist ja auch noch intakt. Es gibt mittlerweile Portierungen auf WBB, VBulletin und UBB.
Verfasst: Mi 12.Apr, 2006 20:28
von skittles
Wußte ja nicht dass du "fremdgehst"
*lol*
cback erobert die Welt!
Verfasst: Mi 12.Apr, 2006 20:48
von oxpus
Öh, falsch: Die Welt GEHÖRT bereits Cback