AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Thema durchsuchen
Ansicht
Themen-Optionen

[phpBB] Einbruch

Ein Thema von MrSpock · begonnen am 4. Feb 2008 · letzter Beitrag vom 7. Feb 2008
Antwort Antwort
Seite 2 von 3     12 3      
Benutzerbild von alcaeus
alcaeus

Registriert seit: 11. Aug 2003
Ort: München
6.537 Beiträge
 
#11

Re: [phpBB] Einbruch

  Alt 5. Feb 2008, 10:47
Zitat von Berlinermauer:
jaja, wenn man schon ein Board erstellt und das nicht fixxt/fixxen kann, dann sollte man es sicher machen.
jaja, wenn man schon keine Ahnung hat, sollte man einfach mal die Fresse halten. Is so.

Der Einbruch erfolgte durch eine andere Applikation als das phpBB selbst. Ich finds lustig, dass das phpBB die Ursache ist, sobald ein phpBB aufm Server laeuft. Schonmal dran gedacht, dass es auch ne Luecke in einer anderen Applikation sein koennte? Beim grossen Angriff auf phpbb.com vor 2 Jahren wars ein Statistik-Tool, das als Einfallstor diente. Wenn mir ein Statistik-Tool Shell-Zugriff aufm Server gibt, dann ist es ne Leichtigkeit an die Daten zu kommen....

Greetz
alcaeus
Andreas B.
Die Mutter der Dummen ist immer schwanger.
Ein Portal für Informatik-Studenten: www.infler.de
  Mit Zitat antworten Zitat
Benutzerbild von Matze
Matze
(Co-Admin)

Registriert seit: 7. Jul 2003
Ort: Schwabenländle
14.929 Beiträge
 
Turbo Delphi für Win32
 
#12

Re: [phpBB] Einbruch

  Alt 5. Feb 2008, 10:57
Hallo,

es ist richtig, dass es nicht am phpBB selbst lag.

Ich denke, Berlinermauer meint den Hashalgorithmus MD5, denn wenn man den Hash hat und weiß, dass es mit MD5 gehasht wurde, kann man günlige passwörter generieren. Daher meint er, solle man den Hashalgorithmus modifizieren, dass man anhand des Hashs nicht so leicht auf die Passwörter schließen kann.
Das hätte phpBB.de natürlich machen können, doch da würde ich phpBB keinen Vorwurf machen. Ich bin überzeugt davon, dass die meisten phpBB-Foren den Algorithmus nutzen, der beim phpBB standardmäßig dabei ist (vielleicht auch die DP?). Ein Fehler kann immer mal passieren, wir sind alle nur Menschen.

Und ich finde es schon toll, dass die Leute von phpBB.de diesen Angriff so schnell bemerkt haben (ich würde dies vermutlich nicht so schnell bemerken) und auch sofort alle registrierten Benutzer darüber informierten. Wer überall das gleiche Passwort nutzt, ist selbst Schuld und wenn er dies doch tut, so hat er nun die Möglichkeit, die Passwörter anzupassen, also ist doch alles in Ordnung. Es ist zusätzlich immer Sache des Benutzers, selbst auf die höchstmögliche Sicherheit zu achten.

Gruß
  Mit Zitat antworten Zitat
Benutzerbild von DGL-luke
DGL-luke

Registriert seit: 1. Apr 2005
Ort: Bad Tölz
4.149 Beiträge
 
Delphi 2006 Professional
 
#13

Re: [phpBB] Einbruch

  Alt 5. Feb 2008, 11:36
naja, das ganze zu salzen, ist ein nicht schwieriger patch, der bei jedem minor update mit maximal 10 zeilen in der upgrade.php eingeschlossen hätte werden können. da kann man den phpbblern also doch ein mittelschweres versäumnis unterstellen.

ich muss gleich mal schauen, wie das beim phpbb3 ist...
Lukas Erlacher
Suche Grafiktablett. Spenden/Gebrauchtangebote willkommen.
Gotteskrieger gesucht!
For it is the chief characteristic of the religion of science that it works. - Isaac Asimov, Foundation I, Buch 1
  Mit Zitat antworten Zitat
Benutzerbild von negaH
negaH

Registriert seit: 25. Jun 2003
Ort: Thüringen
2.950 Beiträge
 
#14

Re: [phpBB] Einbruch

  Alt 5. Feb 2008, 11:45
Naja ganz so einfach ist die Sache aber nicht. Auch wenn zB. ein Statistiktool das Ausspionieren ermöglichte so muß man sich denoch fragen warum eine Serversoftware im Umgang mit Benutzerdaten so unsicher ist das man relativ einfach nach einem Diebstahl der Passwortdatenbank diese offline knacken kann. Es liegt also meiner Meinung nach sehr wohl an phpBB wenn meine Passwörter knackbar sind. Kryptographisch betrachtet weiß man schon seit vielen Jahren wie ein sicheres Loginsystem zu konstruieren ist ohne das man bei gestohlener Login Datenbank was damit anfangen könnte. Man könnte also zumindest "unterlassene Hilfestellung" unterstellen da phpBB nicht nach annerkannten Regeln die Accountdaten geschützt hat. Eine einfache Verschlüsselung der kompletten Daten und live Entschlüsselung während der Laufzeit mit einem Passwort im Speicher hätte schon einiges bewirkt, und das ist noch nichtmal eine kryptographisch sehr gute Lösung. Andererseits könnte man auch den Benutzern des Forums einen Vorwurf machen, immer nur ein Passwort pro Login benutzen und nicht immer das gleiche Passwort für verschiedene Logins. Das verhindert aber nicht das man an die eigene EMail Addresse und sonstwelche Benutzerinformationen rankommt, ergo sollte die phpBB Sicherheit erstmal verbessert werden.

Man muß immer davon ausgehen das der Server kompromittiert wird bzw. das der Server selber der Angreifer sein könnte.

Gruß Hagen
  Mit Zitat antworten Zitat
Benutzerbild von alcaeus
alcaeus

Registriert seit: 11. Aug 2003
Ort: München
6.537 Beiträge
 
#15

Re: [phpBB] Einbruch

  Alt 5. Feb 2008, 23:02
Zitat von DGL-luke:
naja, das ganze zu salzen, ist ein nicht schwieriger patch, der bei jedem minor update mit maximal 10 zeilen in der upgrade.php eingeschlossen hätte werden können. da kann man den phpbblern also doch ein mittelschweres versäumnis unterstellen.
Nein, ist es nicht. Sobald die Passwoerter erstmal gespeichert sind, bringt nachtraegliches Salten nichts mehr; es sei denn du hashst das bereits gehashte Passwort nochmal mit Salt, was aber wiederum die permanente Anwesenheit von Update-Code erfordert bis jedes Mitglied sein Passwort neu eingegeben hat.

Zitat von DGL-luke:
ich muss gleich mal schauen, wie das beim phpbb3 ist...
AFAIK wird beim phpBB3 gesaltet.

Greetz
alcaeus
Andreas B.
Die Mutter der Dummen ist immer schwanger.
Ein Portal für Informatik-Studenten: www.infler.de
  Mit Zitat antworten Zitat
Daniel
(Co-Admin)

Registriert seit: 30. Mai 2002
Ort: Hamburg
13.920 Beiträge
 
Delphi 10.4 Sydney
 
#16

Re: [phpBB] Einbruch

  Alt 5. Feb 2008, 23:06
Ich werde innerhalb der nächsten sieben Tage noch sehr viel mehr zum Thema vBulletin schreiben, aber habe eben nachgesehen: Das vBulletin gibt jedem User sein eigenes "Salt" zum Passwort. Das stellt also schonmal eine Verbesserung dar.
Daniel R. Wolf
mit Grüßen aus Hamburg
  Mit Zitat antworten Zitat
Benutzerbild von DGL-luke
DGL-luke

Registriert seit: 1. Apr 2005
Ort: Bad Tölz
4.149 Beiträge
 
Delphi 2006 Professional
 
#17

Re: [phpBB] Einbruch

  Alt 5. Feb 2008, 23:54
Zitat von alcaeus:
Nein, ist es nicht. Sobald die Passwoerter erstmal gespeichert sind, bringt nachtraegliches Salten nichts mehr; es sei denn du hashst das bereits gehashte Passwort nochmal mit Salt, was aber wiederum die permanente Anwesenheit von Update-Code erfordert bis jedes Mitglied sein Passwort neu eingegeben hat.
oh, hast recht. sorry.
Lukas Erlacher
Suche Grafiktablett. Spenden/Gebrauchtangebote willkommen.
Gotteskrieger gesucht!
For it is the chief characteristic of the religion of science that it works. - Isaac Asimov, Foundation I, Buch 1
  Mit Zitat antworten Zitat
Daniel
(Co-Admin)

Registriert seit: 30. Mai 2002
Ort: Hamburg
13.920 Beiträge
 
Delphi 10.4 Sydney
 
#18

Re: [phpBB] Einbruch

  Alt 6. Feb 2008, 08:38
Das Ganze hat größere Auswirkungen:

(1) SMF-Portal.de :: "Benutzerdaten ausspioniert!"
http://www.smfportal.de/index.php?topic=2832.0
(Support-Forum zur Foren-Software "SimpleMachines")

(2) Woltlab.de :: "Einbruch in die Foren-Datenbank"
http://www.woltlab.de/forum/index.ph...hreadID=129164
(Offizielles Hersteller-Forum Foren-Software "Woltlab Burning Board")

Gemein bei Woltlab ist, dass auch die Datenbank des Support-Tickers geklaut wurde. Dort sind u.a. die Zugangsdaten (sei es FTP, SSH oder Admin-Zugänge) zu den Kundenservern hinterlegt, soweit diese für eine Support-Anfragen nötig waren.

und natürlich (3), der Einbruch bei phpBB.de, den MrSpock bereits berichtet hat.

Daniel R. Wolf
mit Grüßen aus Hamburg
  Mit Zitat antworten Zitat
Benutzerbild von Matze
Matze
(Co-Admin)

Registriert seit: 7. Jul 2003
Ort: Schwabenländle
14.929 Beiträge
 
Turbo Delphi für Win32
 
#19

Re: [phpBB] Einbruch

  Alt 6. Feb 2008, 08:44
Meine Güte.

Was auch verantwortungslos ist: Ich habe mich soeben bei der 1und1 und der SonyEricsson-Website eingeloggt und zuvor auf den Passwort-Vergessen-Link geklickt. Per E-Mail erhalte ich dann das Passwort, das ich damals eingegeben hatte, im Klartext!
Wenn da mal so etwas passiert, ist das ja noch schlimmer ...
Und das sind sicher nur 2 von ganz vielen Websites.
  Mit Zitat antworten Zitat
Benutzerbild von JasonDX
JasonDX
(CodeLib-Manager)

Registriert seit: 5. Aug 2004
Ort: München
1.062 Beiträge
 
#20

Re: [phpBB] Einbruch

  Alt 6. Feb 2008, 09:45
Zitat von Matze:
Was auch verantwortungslos ist: Ich habe mich soeben bei der 1und1 und der SonyEricsson-Website eingeloggt und zuvor auf den Passwort-Vergessen-Link geklickt. Per E-Mail erhalte ich dann das Passwort, das ich damals eingegeben hatte, im Klartext!
Das selbe ist mir gestern bei lokalisten.de passiert

Was aber die ganze Einbruchssache noch bedenklicher macht: Die erhaltenen Informationen werden zum Verkauf angeboten (Quelle und Verkaufsangebot)

greetz
Mike
Mike
Passion is no replacement for reason
  Mit Zitat antworten Zitat
Antwort Antwort
Seite 2 von 3     12 3      


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 04:43 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz