Welcome, Guest. Please Login or Register.
November 01, 2024, 01:31:51 AM
Home Help Search Log in Register
News: If you are still using YaBB SE, please consider upgrading to SMF as soon as possible.

YaBB SE Community  |  German User Help  |  Hilfe zu YaBB SE  |  Sicherheit « previous next »
Pages: [1] Reply Ignore Print
Author Topic: Sicherheit  (Read 1903 times)
blar
Jr. Member
**
Posts: 62


just be noob :D

ICQ - 60591109
Sicherheit
« on: June 23, 2002, 02:50:45 AM »
Reply with quote

Also einige Sachen gefallen mir gar ned und das sollte schnell ausgebessert werden!

  • Beim Login mit Falschen Passwort wird das Falsche ausgegeben. Schlecht wenn grad wer zuschaut und man nur einen Buchstabendreher drin hat. Noch dazu wird das falsche Passwort mitgeloggt.
  • MySQL Passwort wird im Adminbereich angezeigt
  • Forumadmin sollte auf bestimmte Sachen keinen Zugriff haben (zb MySQL Daten) weil Forumadmin nicht immer auch der Serveradmin is
  • Forum teilweise sehr langsam....

Vielleicht wäre eine MultiForum funktion gut. Da ich 2 Foren auf den gleichen Webserver habe musste ich YabbSE 3 mal installieren. ich werd hoffentlich nicht der einzige sein, der sich das wünscht...
Logged
andrea
Global Moderator
YaBB God
*****
Posts: 4400


Peace on Earth

WWW
Re:Sicherheit
« Reply #1 on: June 23, 2002, 06:04:44 AM »
Reply with quote

Zum Thema Sicherheit kannst Du den FAQ hier lesen:
http://www.yabb.info/community/index.php?board=169;action=display;threadid=10017

Wenn Du mit dem Admin User einen Login Fehler verursacht hast, kannst Du den Error Log Eintrag löschen, dann ist das falsche (oder richtige) Passwort nicht mehr dort sichtbar.

Die Sichtbarkeit der MySql Daten im Admin Menu ist harmlos, vorausgesetzt Du verwendest für den DB Zugriff separate Passwörter (steht auch im FAQ). Nur wenn die Datenbank externen Zugriff erlauben würde, wären diese Passwortdaten kritisch, das ist jedoch bei den meisten Foren nicht der Fall.

Wenn Du einen zweiten Mitglied Admin Rechte gibst,  dann sollte Dir bewusst sein, dass ein zufälliges Verstellen der DB Info noch das harmloseste ist, was er mit Fehlmanipulationen anrichten könnte. Er könnte nämlich auch Mitglieder, ganze Foren inkl. Posts löschen u.v.m. was viel schlimmer wäre...
« Last Edit: June 23, 2002, 06:29:16 AM by andrea » Logged

Gagus
Jr. Member
**
Posts: 73


WWW
Re:Sicherheit
« Reply #2 on: June 23, 2002, 07:22:09 AM »
Reply with quote

Ich habe auf meinem Webserver 3x YaBB SE installiert, aber unter verschiedene Domains und auch habe ich nicht bei jedem die gleich mods drauf, deshalb nehme ich auch in kauf das ich YaBB SE 3x neu installieren musste.

Wenn der MySQL-server saulahm ist ist ja natürlich auch das Forum langsam, das kenne ich nur zu gut bei strato, das war die foren letztens mal 2 Tage kaum zu ereichen :-\

Noch was zur Sicherheit, ich glaub ich habe das schon mal angesprochen, aber eine sicherheitslücke ist auch die Reminder.php, denn da kann jeder das passwort des anderen ändern.... zwar bekommt schon nur das registrierte Mitglied das passwort zugeschickt, aber es gibt genügent Witzbolde im Internet was sich daraus einen spass machen und vielen Leuten die passwörter ändern, ich musste wegen so einem Witzbold die Reminder.php löschen.....
« Last Edit: June 23, 2002, 07:58:16 AM by Gagus » Logged

Bye
Gagus
andrea
Global Moderator
YaBB God
*****
Posts: 4400


Peace on Earth

WWW
Re:Sicherheit
« Reply #3 on: June 23, 2002, 08:41:46 AM »
Reply with quote

Quote from: Gagus on June 23, 2002, 07:22:09 AM... eine sicherheitslücke ist auch die Reminder.php, denn da kann jeder das passwort des anderen ändern....
Du hast recht das kann lästig sein, wenn es missbraucht wird, aber eine *Sicherheitslücke* ist das *nicht*.
Logged

Gagus
Jr. Member
**
Posts: 73


WWW
Re:Sicherheit
« Reply #4 on: June 23, 2002, 08:51:29 AM »
Reply with quote

sicherheitslücke ist es j nicht... aber es ist ziemlich lästig, wie wäre es eigentlich damit, das das Passwort nicht gleich geändert wird, sondern man einen Mail erhält mit einem bestätigungslink und erst danach wird das Password geändert?
Logged

Bye
Gagus
andrea
Global Moderator
YaBB God
*****
Posts: 4400


Peace on Earth

WWW
Re:Sicherheit
« Reply #5 on: June 23, 2002, 06:23:22 PM »
Reply with quote

Quote from: Gagus on June 23, 2002, 08:51:29 AMsicherheitslücke ist es j nicht... aber es ist ziemlich lästig, wie wäre es eigentlich damit, das das Passwort nicht gleich geändert wird, sondern man einen Mail erhält mit einem bestätigungslink und erst danach wird das Password geändert?
Eben. Da dieser Thread das Thema "Sicherheit" hat, gehört das Thema "Bestätigungslink" als neue Diskussion in einen neuen Thread. Besser ins Mods Forum.
Logged

Pages: [1] Reply Ignore Print 
YaBB SE Community  |  German User Help  |  Hilfe zu YaBB SE  |  Sicherheit « previous - next »
 


Powered by MySQL Powered by PHP YaBB SE Community | Powered by YaBB SE
© 2001-2003, YaBB SE Dev Team. All Rights Reserved.
SMF 2.1.4 © 2023, Simple Machines
Valid XHTML 1.0! Valid CSS

Page created in 0.054 seconds with 20 queries.