Der neueste Benutzer ist jtfoe1974

Sicherheit des Webservers, der Server und rund um phpBB
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

Auch sollte immer die 0 (Null) eindeutig von einem O (Ohhhh) unterschieden werden können!
Wird auch oft übersehen...
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Benutzeravatar
AmigaLink
Beiträge: 5843
Registriert: Mi 03.Mär, 2004 09:05
Wohnort: NRW
Kontaktdaten:

Beitrag von AmigaLink »

Die 0 (null) wird vom Visual Confirmation, genau aus dem grund, nicht benutzt. ;) :D
[center].: Web Relax .::. Essen mit Freude .::. AmigaLink.de :.
______________________________________

Kein Support per PM, ICQ oder eMail!!!
[/center]
modbo
Beiträge: 1344
Registriert: Mo 13.Dez, 2004 11:18
Kontaktdaten:

Beitrag von modbo »

[quote="modbo - Sa 18.März, 2006 10:06";p="56228"]Ich hab zu diesem Mod noch die Frage im Zusammenhang mit dem CTracker bei Amiga gestellt:
http://www.amigalink.de/phpbb2/viewtopic.php?t=541[/quote]
Auch hier noch einmal vielen Dank. Funktioniert und ergibt jetzt wieder ein einheitliches Bild :cool:
Benutzeravatar
Christian_N
Beiträge: 1787
Registriert: Sa 19.Feb, 2005 21:48
Wohnort: Frankfurt am Main
Kontaktdaten:

Beitrag von Christian_N »

Also erstmal danke, im Test-Board scheint es zu funktionieren. :)
Dann wollt ich mal sagen das phpBB selbst nicht von eine Sicherheitslücke ausgeht, siehe Beitrag: http://www.phpbb.de/viewtopic.php?t=116047

Also das es ein CAPTCHA problem ist daran denke die noch nicht, also kann man davon ausgehen das die auch in der version 2.0.20 dagegen nichts von Haus aus unternommen haben dann ;)

Also danke dann nochmal hier für den MOD :)
Meine Projekte: Chantals - Fanpage .::. phpBB Projekt
Benutzeravatar
AmigaLink
Beiträge: 5843
Registriert: Mi 03.Mär, 2004 09:05
Wohnort: NRW
Kontaktdaten:

Beitrag von AmigaLink »

Also das es ein CAPTCHA problem ist daran denke die noch nicht, also kann man davon ausgehen das die auch in der version 2.0.20 dagegen nichts von Haus aus unternommen haben dann ;)
PhilippK ist nicht das Sprachrohr der phpBB-Group, sondern nur der Admin eines Offiziellen Partnerboards!
Der Beitrag sagt somit nichts darüber aus, ob und was die phpBB-Group zu diesem Thema unternimmt. Sondern soll lediglich darauf hinweisen das es wichtig ist die aktelle phpBB Version einzusetzen und wie man die BOT-Registrierungen ein wenig eindämmen kann!

Aber mal abgesehen davon, glaube ich auch nicht das die phpBB-Group schon beim 2.0.20 ein neues CAPTCHA rausbringen wird.
[center].: Web Relax .::. Essen mit Freude .::. AmigaLink.de :.
______________________________________

Kein Support per PM, ICQ oder eMail!!!
[/center]
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

Aber mal abgesehen davon, glaube ich auch nicht das die phpBB-Group schon beim 2.0.20 ein neues CAPTCHA rausbringen wird.
Das glaube ich auch eher weniger.
Ich denke, daß das CAPTCHA im phpBB 3 angepasst wird, vielleicht mit einer uns noch nicht eingefallenen genialeren Version.
Bleibt abzuwarten...
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Benutzeravatar
Christian_N
Beiträge: 1787
Registriert: Sa 19.Feb, 2005 21:48
Wohnort: Frankfurt am Main
Kontaktdaten:

Beitrag von Christian_N »

Genau abwarten und tee trinken, die beta von phpBB3 soll ja nun endlich jetzt bald raus kommen tun jetzt nur mit die tägliche CVS noch paar fehler beheben und dann kommt die erste öffentliche Beta raus :), in der CVS ist es jedenfalls noch dieselbe wie auch in phpBB2
Meine Projekte: Chantals - Fanpage .::. phpBB Projekt
Benutzeravatar
AmigaLink
Beiträge: 5843
Registriert: Mi 03.Mär, 2004 09:05
Wohnort: NRW
Kontaktdaten:

Beitrag von AmigaLink »

Ich denke, daß das CAPTCHA im phpBB 3 angepasst wird, vielleicht mit einer uns noch nicht eingefallenen genialeren Version.
Ich weiss nicht. CAPTCHAs sind echt ein Thema für sich.
Wenn man sich im Netz mal ein wenig umsieht, gibt es Tausende von ansätzen die auf den ersten Blick genial erscheinen. Aber bei näherer Betrachtung auch extreme nachteile aufwerfen.
Eine Universallösung wird es somit niemals geben!
In bezug auf das phpBB ist es ein Bereich bei dem IMHO MODs die Idealste Lösung darstellen. Somit ist Eigeninitiative angesagt bzw. (da nicht jeder PHP kann) eine schöne Auswahl an unterschiedlichen CAPTCHA MODs gefragt. :mad:
Vorallem weil die phpBB-Group ihre Lösung nicht von Serverumgebungen anhängig machen darf bzw. wird.

Ich werde meinen so Universel wie möglich gestalten und in zukünftigen Versionen noch die ein oder andere Variante einbauen (hab noch ein paar nette ideen). Aber es ist nunmal ein Image-CAPTCHA das auf die abfrage einer zufälligen Zeichenfolge zielt ...
[center].: Web Relax .::. Essen mit Freude .::. AmigaLink.de :.
______________________________________

Kein Support per PM, ICQ oder eMail!!!
[/center]
Benutzeravatar
Christian_N
Beiträge: 1787
Registriert: Sa 19.Feb, 2005 21:48
Wohnort: Frankfurt am Main
Kontaktdaten:

Beitrag von Christian_N »

Also ich muss ja sagen auf meine momentanen Seite ist noch keiner drauf (da ist noch die VB von phpBB drin nicht die von AmigaLink), womöglich liegt es auch daran das bei mir nur die Pflichtfelder sind bei der anmeldung wie, Username, Passwort, wiederholen, E-Mail, Straße, Hausnummer, Vorname, Nachname, PLZ, Ort.
Die andere Felder wie Homepage, ICQ, YIM, Signatur, etc. werde ausgeblendet und sind erst in Profil bearbeiten zum ausfüllen dort.
Und da ein SpamBot ja der sinn hat werbung zu posten, müsste er sich bei mir anmelden mit richtige daten, den die daten werden erst von uns geprüft ob die straße usw. gibt oder es eine fakeadresse ist und dann nach allem freigeschaltet (freischaltung durch admin), nachdem der freigestellt ist müsste der Bot ins Profil bearbeiten um die angaben zu machen und dann erst beitrag schreiben.

Nee glaub das hat der Bot noch net gelernt die werden ja so programmiert das die pflichtfelder ausgefüllt werden wie Benutzername, Passwort 2x, E-Mail und das www-feld so wie es von phpBB vorgegeben ist, da der Bot aber schon beim www-feld bei mir scheidert und auch überhaupt da mehr pflicht ist denk ich mal wird erstmal ich auch so ruhe habe auf die momentanen seite.

Sicher ist es auch hilfreich die freiwillige angaben einfach auszublenden bei der anmeldung das die nur beim bearbeiten des Profils angezeigt werden, den die idee des Bots ist nunmal werbung zu machen für ne Homepage und wenn das Feld nicht vorhanden ist bei der anmeldung so kann der Bot es nicht ausfüllen.

Oder seh ich das ganze falsch?
Meine Projekte: Chantals - Fanpage .::. phpBB Projekt
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

Er kann es versuchen.
Wenn er eben keinen Erfolg hat, wird er folglich auch nicht posten können.
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Benutzeravatar
AmigaLink
Beiträge: 5843
Registriert: Mi 03.Mär, 2004 09:05
Wohnort: NRW
Kontaktdaten:

Beitrag von AmigaLink »

die idee des Bots ist nunmal werbung zu machen für ne Homepage und wenn das Feld nicht vorhanden ist bei der anmeldung so kann der Bot es nicht ausfüllen
Doch er kann!
Der BOT füllt ja nicht das Formular aus, wie es ein Mensch macht. Er Postet die Daten direkt und so werden sie (bei herkömmlich ausgeblendeten Feldern) auch übernommen.
Es sei denn du hast die Änderungen vorgenommen die Larsneo auf phpbb.de vorgeschlagen hat!

Aber alleine die Tatsache das du nicht das Original phpbb-CAPTCHA verwendest, schützt dich vorerst schonmal sehr gut. :)

Im übrigen ist mein MOD von CBack ins ORION übernommen worden :cool: und was noch viel wichtiger (Interessanter) ist, ich Arbeite an der nächsten Version. :D
Ihr dürft gespannt sein, denn es kommen noch ein paar nette Features dazu. :mad:
[center].: Web Relax .::. Essen mit Freude .::. AmigaLink.de :.
______________________________________

Kein Support per PM, ICQ oder eMail!!!
[/center]
Benutzeravatar
Christian_N
Beiträge: 1787
Registriert: Sa 19.Feb, 2005 21:48
Wohnort: Frankfurt am Main
Kontaktdaten:

Beitrag von Christian_N »

Wie postet direkt? Über die Adress-URL? Dann müsst ja aber doch eine Lücke es im phpBB sein wenn man über die Adress-URL sich so ohne weiteres anmelden kann?

Die Änderungen die Larsneo auf phpbb.de vorgeschlagen hat, hab ich noch nicht gemacht.

Auch wenn ich das Orion nicht verwenden ist es aber nett von cBack das er dies mit reingemacht hat, wer weiss vielleicht hast auch noch das vergüngen das Stefan von phpBB2.de den einbaut in phpBB Plus könnte gut möglich sein :D

Doch ich verwende noch das Original phpbb-CAPTCHA auf der momentane Seite, den bin zu faul da noch irgendwelche änderrungen vorzunehmen, werd nur phpBB/CrackerTracker updates dort noch vornehme wenn neue versionen raus kommen.

Da ich momentan ja die Seite komplett neu aufbaue und in der neue an der ich bin, ist jedenfalls dein MOD drin der dort mit die Testanmeldung und so ohne feststellbare probleme lief :)

Auf die neue Version mit zusätzliche Features sind wir alle sehr gespannt schon :D
Meine Projekte: Chantals - Fanpage .::. phpBB Projekt
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

Wie postst man direkt?
Ganz einfach: In dem man alle Daten per POST an den Zielserver übergibt.
Das ist keine Lücke, sondern "normal".
Man muss dann eben Anti-Spam-MODs installieren, die Registrierung notfalls auf ADMIN stellen und auch alle bekannten Spam-Usernamen verbieten/bannen.
Keine andere Chance...
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Benutzeravatar
AmigaLink
Beiträge: 5843
Registriert: Mi 03.Mär, 2004 09:05
Wohnort: NRW
Kontaktdaten:

Beitrag von AmigaLink »

Version 1.1.0 des Advanced Visual Confirmation ist soeben erschienen. :p
[center].: Web Relax .::. Essen mit Freude .::. AmigaLink.de :.
______________________________________

Kein Support per PM, ICQ oder eMail!!!
[/center]
Benutzeravatar
Christian_N
Beiträge: 1787
Registriert: Sa 19.Feb, 2005 21:48
Wohnort: Frankfurt am Main
Kontaktdaten:

Beitrag von Christian_N »

Na super gestern erst auf die momentane Seite nachdem ich den auf die Testseite ne zeitlang liefen lies eingebaut und schon kann ich Updaten *lach*
Hab auch auf die momentane Seite (www-button) ein große tag in der ankündigung an dir ausgesproche für diesen MOD, den ich auch hier nochmal ausspreche möchte.
Finds ja nicht schlimm das die neue drausse is im gegenteil finds sogar wichtig immer die auf bugs zu prüfen gleich zu updaten, mir gings nur da ich den erst eingebaut hab gestern, einfach ne zufall, hätt ich es gewusst hätt ich auch die installation lieber gleich heut gemacht *gg*

Naja nochmal danke für den tollen MOD, werd ihn mir mal gleich runterladen :)

EDIT: Hab den MOD update und scheint auch alle neue funktionen soweit ich testen konnten zu gehn...
Ausser bei das mit die Darstellung - kann ich kein unterschied zwischen PNG und JPG (mit 95%) feststellen... was ist eigentlich besser PNG oder JPG? sind JPG oder PNG Grafiken in der Regel kleiner und somit Traffic schonender? Und bei welche Einstellung von den beide ist die Leserbarkeit besser, muss ich halt mal frage da ich kein unterschied festgestellt habe.

Aber mit dem Zufällige das scheint soweit zu funktionieren :)

EDIT2: Hab noch beim Login erstmal ein Zusatzsatz geschrieben

Code: Alles auswählen

Der <b>visuelle Bestätigungscode</b> unterscheidet sich zwischen Groß und Kleinschreibung. Wir haben <u>NUR</u> Großbuchstaben von A-Z und Zahlen von 1-9 drin. Also kleine Buchstaben (a-z) und auch die 0 (Null) sind <u>NICHT</u> vorhanden um ggf. Verwechslungen auszuschließen!
Nur die frage ist, ob es so ok ist oder es nicht so gut ist den hinweiss bekannt zu geben, da sonst auch die Spam-Bots wissen das nur A-Z (groß) und 1-9 erlaubt ist oder kann man den hinweiss drauf lassen?
Zuletzt geändert von Christian_N am Do 30.Mär, 2006 23:33, insgesamt 2-mal geändert.
Meine Projekte: Chantals - Fanpage .::. phpBB Projekt
Benutzeravatar
AmigaLink
Beiträge: 5843
Registriert: Mi 03.Mär, 2004 09:05
Wohnort: NRW
Kontaktdaten:

Beitrag von AmigaLink »

Christian_N hat geschrieben:Ausser bei das mit die Darstellung - kann ich kein unterschied zwischen PNG und JPG (mit 95%) feststellen... was ist eigentlich besser PNG oder JPG? sind JPG oder PNG Grafiken in der Regel kleiner und somit Traffic schonender? Und bei welche Einstellung von den beide ist die Leserbarkeit besser, muss ich halt mal frage da ich kein unterschied festgestellt habe.
Advanced Visual Confirmation im ACP hat geschrieben:Das JPEG Format hat eine höhere Kompression als PNG und kann, anhand der Qualitätseinstellung (max 95%), einen direkten einfluss auf die Lesbarkeit ausüben.
Also wenn du JPG mit 95%iger Qualität benutzt, dann kannst du natürlich keinen Unterschied feststellen. Ausser vielleicht daß das JPG etwas klarer als das PNG ist. :)

Das JPG Format hat (wie bereits im ACP beschrieben) eine höhere Kompression als das PNG Format. Bei einer Qualität von 75% wird das Menschliche Auge keinen nennenswerten Unterschied zum gleichem Bild im PNG Format feststellen. Und das obwohl das JPG Bild eine wesentlich kleinere Datei ist. :)
Das alleine ist bereits ein Grund das JPG Format zu verwenden (Traffic). Der zweite grund ist, das du mit geringerer Qualität nicht nur die Dateigröße verringerst, sondern auch noch das Bild ein wenig verzerrst. Stell mal zum Testen 10% ein und du wirst feststellen das der Code zwar noch Lesbar ist, aber das Bild im ganzem unklar und die Farben sogar verschwommen. Insbesondere das Vordergrundgitter wirkt oftmals (je nach verwendeten Farben) als hätte es farbige Schatten.
Der Sinn ist somit, es dem BOT evtl. noch ein wenig schwerer zu machen. :)
[center].: Web Relax .::. Essen mit Freude .::. AmigaLink.de :.
______________________________________

Kein Support per PM, ICQ oder eMail!!!
[/center]
Titus
Beiträge: 235
Registriert: Fr 18.Mär, 2005 22:23

Beitrag von Titus »

ich geb das hier mal so weiter :D

version im Plus ist 1.1.0
Reliable hat geschrieben:Open lang_admin_captcha.php

Find, in line 12-13

Code: Alles auswählen

$lang['VC_active'] = 'Visual Confirmation is activ!';
$lang['VC_inactive'] = 'Visual Confirmation is not activ!';
The e is missing in active.

Code: Alles auswählen

$lang['VC_active'] = 'Visual Confirmation is active!';
$lang['VC_inactive'] = 'Visual Confirmation is not active!';

Code: Alles auswählen

$lang['random_font_per_letter_explain'] = 'Each letter uses an random font.';
Should be

Code: Alles auswählen

$lang['random_font_per_letter_explain'] = 'Each letter uses a random font.';
hr

Code: Alles auswählen

$lang['foreground_lattice_color'] = 'Littice color';
Should be

Code: Alles auswählen

$lang['foreground_lattice_color'] = 'Lattice color';
Zuletzt geändert von Titus am Fr 14.Apr, 2006 10:47, insgesamt 1-mal geändert.
Benutzeravatar
AmigaLink
Beiträge: 5843
Registriert: Mi 03.Mär, 2004 09:05
Wohnort: NRW
Kontaktdaten:

Beitrag von AmigaLink »

Da haben sich ja ein paar hübsche kleine Fehlerchen eingeschlichen. ^6
Werde das mal, in der nächsten Version, beheben. :)

Nebenbei bemerkt, wusste ich garnicht das mein MOD nun auch im phpBBplus integriert ist. :eek:
[center].: Web Relax .::. Essen mit Freude .::. AmigaLink.de :.
______________________________________

Kein Support per PM, ICQ oder eMail!!!
[/center]
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

Siehste mal :D
So schnell kanns gehen...
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Benutzeravatar
Christian_N
Beiträge: 1787
Registriert: Sa 19.Feb, 2005 21:48
Wohnort: Frankfurt am Main
Kontaktdaten:

Beitrag von Christian_N »

Na wie ich vermutet hatte und in Beitrag #62 es schrieb :D
Den jedes gutes premodded Board tut SICHERHEIT groß schreiben sicher und bauen dann solche sache nunmal mit ein :D
Meine Projekte: Chantals - Fanpage .::. phpBB Projekt
Titus
Beiträge: 235
Registriert: Fr 18.Mär, 2005 22:23

Beitrag von Titus »

der hack ist sehr gut und da das phpbb standardcaptcha incl CT-login im plus an bis zu 3 stellen zum einsatz kommt nur logisch diesen einzusetzen um die schutzfunktion weiter zu gewährleisten
Antworten