Seite 1 von 1
Passwort Änderungen
Verfasst: Di 05.Feb, 2008 18:43
von Archon
Heisst das das ich nun Innerhalb von 21Tagen mein Passwort ändern muss.
Oder das ich nun Alle 21 Tage mein Passwort Ändern muss?
Verfasst: Di 05.Feb, 2008 21:25
von oxpus
Alle 21 Tage.
Ich weis, kann schnell lästig werden, aber der Vorfall von phpbb.de zeigt, daß das Thema mal wieder extrem wichtig geworden ist.
Verfasst: Mi 06.Feb, 2008 16:54
von Twins
Ich finde alle 21 Tage ist extrem übertrieben, alle zwei Monate würde doch auch reichen, oder? Ich meine auf phpBB.de wurde der Account eines Admins gehackt, wenn dieser ein unsicheres Passwort hat, können die User noch so sichere PWs haben.
Und außerdem kann man ja alle 21 Tage einfach das gleiche Passwort nochmal eingeben, das System merkt das ja nicht.
Verfasst: Mi 06.Feb, 2008 17:47
von oxpus
Zum einen ist das nicht übertrieben, da ein schwaches Passwort leider Tür und Tor öffnet.
Die Dauer ist mit 21 Tagen auf meinen Boards sogar noch sehr human, ich kenne da noch viel strengere Systeme
phpbb.de wurde dagegen allerdings wohl doch nicht durch ein unsicheres Passwort, sondern durch ein fehlerhaftes eigenes Modul gehackt, welches $_GET-Variablen verwendet, die nicht extra abgesichert wurden (Link zur offiziellen Erklärung:
http://www.phpbb.de/viewtopic.php?p=954013#954013 ).
Also eine Lücke, die der CT abfangen kann, da er ALLE Variablen prüft. Egal, wo und wie sie herkommen!
Verfasst: Mi 06.Feb, 2008 18:36
von Archon
Na dann hoff ich einfach mal das der mich dann in 21 Tagen beim Login Auffordert ein Neues PW zu machen. ^^ Wenn ich selber dran denken muss dann wird das Lästig ^^
Verfasst: Mi 06.Feb, 2008 19:43
von KeineAhnung
[quote="oxpus";p="84702"]Zum einen ist das nicht übertrieben, da ein schwaches Passwort leider Tür und Tor öffnet.
Die Dauer ist mit 21 Tagen auf meinen Boards sogar noch sehr human, ich kenne da noch viel strengere Systeme
phpbb.de wurde dagegen allerdings wohl doch nicht durch ein unsicheres Passwort, sondern durch ein fehlerhaftes eigenes Modul gehackt, welches $_GET-Variablen verwendet, die nicht extra abgesichert wurden (Link zur offiziellen Erklärung:
http://www.phpbb.de/viewtopic.php?p=954013#954013 ).
Also eine Lücke, die der CT abfangen kann, da er ALLE Variablen prüft. Egal, wo und wie sie herkommen![/quote]
alle...
ich dachte der prüft nur $_SERVER['QUERY_STRING']....
und da gibts ja auch noch POST ^^
öhm ich weis soll kein spam sein aber irgendwie passt es zum thema ein sicherheits script das eure eigenen srcipte naja nich 100% schutz aber halt kleine programmiersicherheits lücken deckt
Code: Alles auswählen
<?php
if (!isset($_SESSION) || !is_array($_SESSION))
{
$_SESSION = array();
}
if (!isset($_GET) || !is_array($_GET))
{
$_GET = array();
}
if (!isset($_POST) || !is_array($_POST))
{
$_POST = array();
}
$sn = session_name();
if (isset($_GET[$sn]))
if (strlen($_GET[$sn]) != 32)
unset($_GET[$sn]);
if (isset($_POST[$sn]))
if (strlen($_POST[$sn]) != 32)
unset($_POST[$sn]);
if (isset($_COOKIE[$sn]))
if (strlen($_COOKIE[$sn]) != 32)
unset($_COOKIE[$sn]);
if (isset($PHPSESSID))
if (strlen($PHPSESSID) != 32)
unset($PHPSESSID);
foreach ($_GET as $key => $val)
{
$_GET[$key] = htmlspecialchars($val);
}
foreach ($_GET as $key => $val)
{
$_GET[$key] = strtolower($val);
}
if (get_magic_quotes_gpc() == 0)
{
foreach ($_GET as $key => $val)
{
$_GET[$key] = addslashes($val);
}
}
$_GET = preg_replace('(\/|\.\.|"|\'|\x00|.ht(.*)|(.*).php|<?php|\?>|%20cmd|cmd%20|fopen|fwrite|password|union%20|%20union|union|union=|script|update|img|src)', '', $_GET);
$_GET = str_replace('%00', '', $_GET);
$_SERVER['QUERY_STRING'] = strtolower($_SERVER['QUERY_STRING']);
$_SERVER['QUERY_STRING'] = preg_replace('(\/|\.\.|"|\'|\x00|.ht(.*)|(.*).php|<?php|\?>|%20cmd|cmd%20|fopen|fwrite|password|union%20|%20union|union|union=|<script|update)', '', $_SERVER['QUERY_STRING']);
$_SERVER['QUERY_STRING'] = htmlspecialchars($_SERVER['QUERY_STRING']);
$_SERVER['QUERY_STRING'] = str_replace('%00', '', $_SERVER['QUERY_STRING']);
if (get_magic_quotes_gpc() == 0)
{
$_SERVER['QUERY_STRING'] = addslashes($_SERVER['QUERY_STRING']);
}
?>
sieht viell ein bisschen an einer stelle wie der stand alone tracker aus nur das habe ich echt nicht geklaut, er war sozusagen nur mein vorbild ;D
und hier noch ein code der viell nüztlich ist wenn man alle sonderzeichen aus $_GET filtern will
Code: Alles auswählen
<?php
foreach($_POST as $k => $v)
{
$s = str_split($v);
$_POST[$k] = null;
foreach($s as $c=>$vv)
{
if(preg_match("/[^a-zA-Z0-9.]/i", $vv))
{
unset($s[$c]);
}
}
foreach($s as $muh)
{
$_POST[$k] .= $muh;
}
}
?>
wenn das hier nciht passend ist dann einfach löschen soll nur als kleine sicherheitsstütze dienen
Verfasst: Mi 06.Feb, 2008 20:18
von Overhead
@ Oxpus
wenn der CT das checkt - dann gäbe es doch kein Problem - daher verstehe ich Deine Sorge nicht und die rigorose Einstellung der PW.
btw Das captcha des CT ist schlimmer wie Augenkrebs
cu Overhead
Verfasst: Do 07.Feb, 2008 09:31
von oxpus
@Overhead
Der CT prüft auf Schlüssenwörter, aber nicht, ob ein Passwort zu schwach ist
Das wird an anderer Stelle eingestellt und daher habe ich genau das jetzt auch getan.
Verfasst: Do 07.Feb, 2008 11:32
von Twins
Ich dachte bei phpBB.de sind Experten am Werk und dann nicht mal der CrackerTracker, der diesen Angriff verhindert hätte? Schwach! Hoffentlich wird man dort in Zukunft etwas schlauer und baut den CT ein.
Verfasst: Do 07.Feb, 2008 12:39
von oxpus
[quote="Twins";p="84722"]Ich dachte bei phpBB.de sind Experten am Werk und dann nicht mal der CrackerTracker, der diesen Angriff verhindert hätte? Schwach! Hoffentlich wird man dort in Zukunft etwas schlauer und baut den CT ein.[/quote]
Das Team von phpbb.de ist eindeutig gegen den CT, da er, nach deren Meinung, Fehler nur "verdeckt" und daher alle Scripte besser selber auf Sicherheit geprüft werden sollten.
Was aber dort scheinbar kaum einer berücksichtigt, ist das Logging, daß, bei genauer Betrachtung, wertvolle Hinweise auf mögliche Schwachstellen in den einzelnen Scripten liefert, um sie beheben zu können.
Aus diesem Grund muss ich dann auch mal anmerken, daß man noch so sauber programmieren kann, wie man will, irgendwo schleicht sich immer mal ein Fehler ein, bzw. in dem Fall eine nicht berücksichtigte Konvertierung und Absicherung des $_GET-Arrays und somit fiel das Board insgesamt auf die Nase.
Für mich also absolut keine ziehende Argumente, gegen den CT zu sein, denn der hätte dieses wohl verhindert, da die Variablen $_GET und $_POST in die "langen" Superglobals übernommen werden und damit, selbst wenn diese in der common.php nicht geschützt wären, auf Inhalte durch den CT geprüft und damit ggf. blockiert wären.
Aber was solls, man ist eben anderer Meinung und daher ist das Thema durch.
Verfasst: Fr 08.Feb, 2008 02:32
von smarty
nun gut, sowas kann immer passieren und läßt sich nimmer rückgängig machen.
Was ich an der ganzen Geschichte mit den div. Hacks etwas komisch finde, ist das Statement von
Woltlab.
Ich zitiere kurz:
Soweit wir das bisher recherchieren konnten, kannte der Hacker das Passwort eines Administrators und konnte sich so Zugang zur Administrationsoberfläche verschaffen. Wir vermuten, dass der Hacker das Passwort des Administrators über den Hack einer anderen Seite, wo das gleiche Passwort verwendet wurde, erfahren hat. Es handelt sich also nicht um einen Fehler in der Forensoftware.
Jetzt stellen sich mir 2 Fragen:
1. wie man unter 85895 registrierten Benutzern ausgerechnet einen Admin von wbb findet.
Welcher Admin betroffen ist wurde nicht gesagt.
Usersuche bei phpBB.de konnte ich z.B. keinen Marcel Werk (alle möglichen Varianten probiert) finden.
2. nichts für Ungut, aber ein Admin, der sein Adminpasswort aus dem eigenen Supportforum
für einen Useracc im einem anderen Forum verwendet, der gehört nunmal bestraft.
Insgesamt finde ich die Angelegenheit etwas merkwürdig
Verfasst: Di 19.Feb, 2008 11:27
von shadowrider
hätte einen Vorschlag, um die Passwortänderung komfortabler zu gestalten
wenn das Passwort abgelaufen ist, öffnet sich beim Anmelden automatisch ein neues Fenster:
Text:Passwort abgelaufen
Eingabefeld: neues Passwort eingeben
Eingabefeld: Passwort bestätigen
Button: Absenden
Verfasst: So 16.Mär, 2008 17:32
von chrsla
Da ich nichts passendes im Forum hier gefunden habe und es am ehesten zu dieser Passwortänderung passt schreibe ich das hier rein
Also bei deinem phpBB 3 Entwicklungsforum komme ich seit der Passwortänderungspflicht (man was für ein langes Wort) nicht mehr rein. Hab sogar versucht mir ein neues Passwort zu kommen zu lassen.
Sprich auf Passwort vergessen geklickt da ich echt nicht mehr weiß welches Passwort nun stimmt.
Doch mein problem ist nun das ich noch nicht einmal mehr ne Mail bekomme um den Account neu zu aktivieren oder so.
Kannst du Oxpus da mal nachschauen???
Verfasst: So 16.Mär, 2008 20:59
von oxpus
Du hast eine PN...