phpBB Boards sind sie wirklich sicher |
||
---|---|---|
#0
| ||
14.11.2002, 08:33
mony70
zu Gast
|
||
|
||
14.11.2002, 10:31
Ehrenmitglied
Beiträge: 831 |
||
|
||
17.11.2002, 12:35
mony70
zu Gast
Themenstarter |
#3
Folgende Mail bekam ich vom Webmaster. Ich staune nicht schlecht da ich lediglich bei zwei Anbietern das gleiche Passwort benutzt habe.
Ich würde Ihm gerne Beweisen das man doch drankommt aber leider weiss ich nicht wie. Hallo, Nur zur Information. An die Daten bei Surf4€uros kann niemand zugreifen. Ich habe Ihnen bereits in erster Mail mitgeteilt, dass es leichtsinnig ist, bei mehreren Anbietern das gleiche Passwort zu verwenden. Im übrigen sind die Passworte in unserer Datenbank verschlüsselt abgelegt und können nicht ausgelesen werden. Sie müssen den Fehler also bei sich selbst suchen nicht bei uns! Sie haben mit bereits in einer anderen Mail mitgeteilt bei mehreren anderen Anbietern das gleiche Passwort zu verwenden. Auch bei den anderen Usern im Forum hat sich herausgestellt, dass diese User Ihren Account leichtfertig aufs Spiel gesetzt haben!!!! |
|
|
||
17.11.2002, 13:00
Ehrenmitglied
Beiträge: 831 |
#4
Verschlüsselte Passwörter können mit Programmen wie John the Ripper behandelt werden.
Schick ihm mal die beiden Exploitz ... Code
__________ http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de |
|
|
||
17.11.2002, 13:01
Ehrenmitglied
Beiträge: 831 |
#5
Bei dem bin ich mir nicht sicher da er für 2.0.1 ist , wobei das board von s4€ 2.0.2 hat ... könnte gehen , könnte auch sein das die in der zw.zeit ein update gemacht haben.
Code
Ich werde mit absicht nicht darauf eingehen wie diese Exploitz genutzt werden! Sollte es doch einer machen, so bitte auf eigene Gefahr Wobei ich der meinung bin, das die meisten sowieso nicht wissen was sie damit anfangen sollen ähm mony70 : was ich anmerken wollte, die wahrscheinlichkeit das dein passwort erarten wurde, da du es in anderen systemen auch verwendet hast ist wahrscheinlicher, als das jemand bei so einem großen board dein account mit nem exploitz angreift, wobei ich extra mal sage das keines der beiden exploitz dir Zugriff auf dein Passwort gibt! Only Admin-Status ... und ein Admin im phpBB2 darf 'normalerweiße' dein passwort nicht sehen können hoffe dir geholfen zu haben sollte es für dich zuviel an Infos sein , so vergiss es und lass es auf sich beruhen ... mit freundlichen Grüßen poiin2000 @ admin p.s. Habe 2. Postings erstellt da der Text im ersten zu lang war ... wie lang darf der Text (Zeichen) max. sein? __________ http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de |
|
|
||
17.11.2002, 20:15
mony70
zu Gast
Themenstarter |
#6
Hallo
Erstmal Dankeschön. Ich weiss schon das das Skripte sind. Ich denke auch das das Passwort erraten ist, aber mehr wie Buchstaben und Zahlen kombinieren kann man ja auch nicht tuen. Mich wundert nur das es mittlerweile ziemlich häufig bei s4e vorkommt man brauch nur mal auf das Board zu schauen. Und was mich noch wundert ist das der Webmaster meine alte Mail wieder aktiviert hat ich mir ein neues Passwort vergeben habe und ich kam schon wieder nicht drauf . In der Zwischenzeit hatte der jenige meinen Account einer anderen Person übertragen. Ich denke so schnell kann man ein neues Passwort nicht erraten. Aber man kann so schnell E-Mails abfangen oder ? 90% aller Fehler sitzen 60 cm vor dem Bildschirm "Nobody is perfect" |
|
|
||
18.11.2002, 22:42
Ehrenmitglied
Beiträge: 831 |
#7
Emails abfangen ...
hmm naja ... nix gegen dich ... aber wir wollen doch ned realitätsfremd werden oder? Gibts es jemanden in deinem Umfeld der an den PC kann? Benutzt du ne art Autologin per cockie oder so? Ansonsten würde ich mir mal nen wirklich gutes Passwort besorgen Es sollte beinhalten : Zahlen Buchstaben (klein + groß) keine Wörter Sonderzeichen wie &"§% usw ... min. 9 Zeichen Das Passwort sollte keinen Zusammenhang mit dir haben! mfg p2k __________ http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de |
|
|
||
19.11.2002, 07:59
Ehrenmitglied
Beiträge: 2283 |
#8
Ein gutes Passwort hilft aber auch nicht, wenn der ominöse Fremde Zugriff auf die DB hat. Nach den Schilderungen sieht mir das fast so aus.
R. __________ powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ... |
|
|
||
20.11.2002, 16:35
Ehrenmitglied
Beiträge: 831 |
#9
Wenn derjenige Zugriff auf die DB hat, muss er das passwort erstmal entschlüsseln
das dauert aber dementsprechend lang bei guten passen mfg p2k __________ http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de |
|
|
||
Gestern bekam ich auf einmal kein Login mehr. Ich nichts anderes zu tuen mich sofort mit dem Admin in Verbindung gesetzt.
Nach einigen Mail waren wir dann der Meinung das jemand an mein Passwort gekommen ist.
Der Admin schickte mir per Mail folgende Aussage:
Hallo,
Ich verstehe nicht, wie man so leichtsinnig sein kann und überall das
gleiche Passwort verwenden!
Besonders dann, wenn man sich bei jedem Wald und Wiesen Anbieter
anmelden muss.
Sie als User sind selbst für Ihre Zugangsdaten verantwortlich und müssen
diese entsprechend schützen.
Ich werde die Mailadresse wieder herstellen und dies auch nur
Ausnahmsweise. Sollte Ihnen Ihr Account nochmals abhanden kommen, werden
wir nicht nochmals so vorgehen.
Ich fand raus das Surf4€ ein phpBB Board fürs Forum benutzt und habe da mal gehört das man so ziemlich schnell an die Benutzernamen und Passwörter kommen kann.
Bevor ich dem Admin ein paar saftige Worte zurücksende wollte ich mich erstmal schlau machen.
Und vor allen Dingen was mich sauer macht ist das er meine Mailadresse in den Userdaten wiederherstellen will. Woher weiss er so genau das ich auch wirklich der User bin.
Ich danke euch Vorraus für Infos