Registriert seit: 25. Jun 2003
Ort: Thüringen
2.950 Beiträge
|
Re: [phpBB] Einbruch
5. Feb 2008, 11:45
Naja ganz so einfach ist die Sache aber nicht. Auch wenn zB. ein Statistiktool das Ausspionieren ermöglichte so muß man sich denoch fragen warum eine Serversoftware im Umgang mit Benutzerdaten so unsicher ist das man relativ einfach nach einem Diebstahl der Passwortdatenbank diese offline knacken kann. Es liegt also meiner Meinung nach sehr wohl an phpBB wenn meine Passwörter knackbar sind. Kryptographisch betrachtet weiß man schon seit vielen Jahren wie ein sicheres Loginsystem zu konstruieren ist ohne das man bei gestohlener Login Datenbank was damit anfangen könnte. Man könnte also zumindest "unterlassene Hilfestellung" unterstellen da phpBB nicht nach annerkannten Regeln die Accountdaten geschützt hat. Eine einfache Verschlüsselung der kompletten Daten und live Entschlüsselung während der Laufzeit mit einem Passwort im Speicher hätte schon einiges bewirkt, und das ist noch nichtmal eine kryptographisch sehr gute Lösung. Andererseits könnte man auch den Benutzern des Forums einen Vorwurf machen, immer nur ein Passwort pro Login benutzen und nicht immer das gleiche Passwort für verschiedene Logins. Das verhindert aber nicht das man an die eigene EMail Addresse und sonstwelche Benutzerinformationen rankommt, ergo sollte die phpBB Sicherheit erstmal verbessert werden.
Man muß immer davon ausgehen das der Server kompromittiert wird bzw. das der Server selber der Angreifer sein könnte.
Gruß Hagen
|