Du bist nicht angemeldet.

Ist mein Forum sicher ?

pem

Fortgeschrittener

  • »pem« ist der Autor dieses Themas

Beiträge: 169

  • Private Nachricht senden

1

Donnerstag, 10. Oktober 2002, 22:45

Ist mein Forum sicher ?

Hi.

Ich schütze mein ACP (AdminControlPanel) mit einem zwanzig stelligem Passwort was ich alle 24h ändere und mit einem Passwort-Generator generiere, bin ich damit Sicher, dass niemand in mein ACP kann, ausser durch eine Sicherheitslücke in der Software ???

Mfg

hotelgigant / pem

TheNobody Style

alter Sack, aber Chef :D

Beiträge: 4 678

Vorname: Andreas

  • Private Nachricht senden

2

Donnerstag, 10. Oktober 2002, 23:12

RE: Ist mein Forum sicher ?

ein bissel paranoid wa? :D
Signatur von »TheNobody Style«

Investorman

Erleuchteter

Beiträge: 3 610

  • Private Nachricht senden

3

Donnerstag, 10. Oktober 2002, 23:17

RE: Ist mein Forum sicher ?

Zitat

Original von hotelgigant
Ich schütze mein ACP [...] mit einem zwanzig stelligem Passwort was ich alle 24h ändere ...

1. Wieso 20-stellig?
2. Wieso alle 24h ändern?
3. Wieso ist ein kleines Forum so wichtig?
4. Wieso erzählst Du uns das?

[BRÜLL weiter ON] :D
Signatur von »Investorman« ______________________________

Investorman.com || Webmasterrecht.de || Recht interessant - Die Linksammlung zum Internetrecht

pem

Fortgeschrittener

  • »pem« ist der Autor dieses Themas

Beiträge: 169

  • Private Nachricht senden

4

Donnerstag, 10. Oktober 2002, 23:20

Hi.

Naja, wenn man dauernd auf fast jedem Wbb-FanBoard, davon leißt das schon wieder jemand gehackt wurde, macht man sich schon seine gedanken. Deshalb denke ich überhaupt nicht, das ich paranoid bin, sondern vorsorglich. Denn ich mach das nicht erst wenn ich das erstemal gehackt wurde, sondern schon vorher.

Mfg

hotelgigant / pem

pem

Fortgeschrittener

  • »pem« ist der Autor dieses Themas

Beiträge: 169

  • Private Nachricht senden

5

Donnerstag, 10. Oktober 2002, 23:32

Hi.

So, jetzt noch die Antworten für Investorman:

Zu 1.) Umso länger, um so schwerer zu eraten oder um so länger muss ein Programm probieren, bis es das Passwort gefunden hat. Ich glaube aber nicht, das es schnell geht ein 20 stelliges Passwort rauszubekommen, was aus zahlen und Buchstaben(Groß- und Kleinschreibung) besteht.

Zu 2.) Umso länger man das selbe Passwort, umso gefährlicher wird es, dass jemand das Passwort rausbekommt.

Zu 3.) Es ist deshalb wichtig weil, es mein erstes Forum ist und ich nicht will, dass es gleich am Anfang gehackt wird.

Zu 4.) Weil ich z.B. wissen wollte, was ihr davon haltet.

Jetzt hab ich noch eine algemeine Frage, wie lang sind eure Passwörter im Schnitt ?

Mfg

hotelgigant

Snoop

Profi

Beiträge: 1 187

  • Private Nachricht senden

6

Donnerstag, 10. Oktober 2002, 23:42

Ich finde mehrfach gesicherte Bereiche besonders effektiv. Z.B. den Admin-Bereich zusätzlich mit einer .htaccess schützen - oder den Acount nach 5 Fehlern sperren lassen und dann nur noch per Emergency-Acount reaktivierbar oder ähnliches... gleichzeitig alle Fehlversuche bzw. Versuche mitloggen (inkl. IP und Zeit...) und bei Einbruchversuch (Admin-Login Fehler...) - automatisch mail an dich. Dann kannste die logs auswerten und an den Provider des Angreifers schicken. Sehr cool sind auch Fake-Admin-Bereiche... unter /admin/ einfach nen Login einbauen, die aber quasi nie zu einem Eintritt leitet... nur einfach immer mitlogged, wer da versucht reinzukommen. Das kann dann auch zu interessanten Logs führen, die für den Provider wieder spannend werden ;)

Ein 20-stelliges Password ist schon ziemlich sicher - aber imho auch etwas zu paranoid. Vor allem, wenn es alle 24 Stunden geändert wird. 20 Stellen zu knacken ist mit Brute-Force schon ziemlich zeitaufwändig.

Eine Sicherheitslücke im Script zu finden, ist da in der Regel für nen Hacker einfacher. Insb. wenn es nen Standard-Script ist, wie nen gängiges Forum. Da gibt es ja genügend Foren ;) - im Netz, wo sich diverse Leute austauschen können... gerade was so gefakte POST-Anfragen angeht...
Diese Geschichte macht es auch Brute-Force immer so einfach - daher plädiere ich ja für das Acount-Sperren. Das machts dann nämlich wieder scher. Am besten sperrt man den Account, ohne dass der Angreifer es merkt ;) ... dann zerbeißt der sich weiter dran, ohne reinzukommen und hört mit hoher Wahrscheinlichkeit irgendwann auf :)
Signatur von »Snoop« The use of COBOL cripples the mind; its teaching should, therefore, be
regarded as a criminal offence.
-- Edsger W. Dijkstra, SIGPLAN Notices, Volume 17, Number 5 (11.05.1930 - 07.08.2002)

pem

Fortgeschrittener

  • »pem« ist der Autor dieses Themas

Beiträge: 169

  • Private Nachricht senden

7

Donnerstag, 10. Oktober 2002, 23:48

Hi.

Mein Forum ist einmal mit .htcaccess geschützt und einmal durch den Login im Forum. Wie kann ich das denn mitloggen, wenn jemand versucht reinzukommen ? Und wie kann ich mir eine Mail schicken lassen, wenn jemand das falsche Passwort eingeben hat ?

Mfg

hotelgigant / pem

TheNobody Style

alter Sack, aber Chef :D

Beiträge: 4 678

Vorname: Andreas

  • Private Nachricht senden

8

Freitag, 11. Oktober 2002, 00:03

pem, man kann es ja wirklich übertreiben.
mein Passwort liegt in einer Grössenordnung von ca 15 Zeichen. Ich hab das mal durchchecken lassen. Rein theoretisch würdest du mit Brute-Force ca 20 Jahre brauchen, um das rauszukriegen.
Eigentlich sagt man, dass Passwörter so alle halbe Jahre geändert werden sollten.

Auch kannst du dir sicher sein, dass das Passwort meist die kleinste Schwachstelle ist. Hier hat sich auch mal jemand zum Admin gemacht, trotz aller Sicherheit.
Signatur von »TheNobody Style«

pem

Fortgeschrittener

  • »pem« ist der Autor dieses Themas

Beiträge: 169

  • Private Nachricht senden

9

Freitag, 11. Oktober 2002, 00:08

Hi.

Na ja, das mit dem zum Admin machen soll ja angeblich jetzt im Wbb 2.0 behoben sein. Ich selber hab ja ein Wbb2 und damit noch keine Probleme gehabt. Ich hätte da noch eine Frage, wie könnte sich jemand zum Admin machen, wenn das ACP mit .htcaccess geschützt ist und man so nicht ins ACP kann, auch wenn man das Passwort des Admins rausbekommen hat und das .htcaccess Passwort solang ist, wie dein Passwort ?

Mfg

hotelgigant / pem

Cybermorphix

Schüler

Beiträge: 84

  • Private Nachricht senden

10

Dienstag, 29. Oktober 2002, 22:36

jaja, und wer denkt an XSS?

Hat hier eigentlich irgendjemand mal an xss gedacht?
Snoop hat es ein wenig angedeutet, aber in vielen der häufig verwendeten Boards haben ein paar XSS-Löcher, da muss man dann das Admin-Passwort gar nicht kennen bzw. kann es dann eh auslesen...

so far
cybermorphix, der auch mal wieder vorbeischaut
Signatur von »Cybermorphix« Video meliora proboque deteriora seqor. - Ich sehe das Gute, aber ich folge dem schlechterem.

Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »Cybermorphix« (2. November 2002, 00:45)

Alex

EM2004 - Tippgott

Beiträge: 1 535

  • Private Nachricht senden

11

Freitag, 1. November 2002, 19:03

Cybermorphix, meinst du XSS oder XXS? Und was bedeutet das?

Meine Passwords sind genau 8 Zeichen lang, da es dann super passt, manche Sachen erlauben maximal 8 Zeichen, manche brauchen mindestens 8. Noch dazu hab ich genau 7 Pwds von dieser Länge ;) und hab noch keines vergessen :D
Signatur von »Alex« Man muss nichts sehen, um zu sehen, dass man nichts sieht, aber man muss etwas sehen, um zu sehen, was man nicht sieht.

Cybermorphix

Schüler

Beiträge: 84

  • Private Nachricht senden

12

Samstag, 2. November 2002, 00:47

blöde tippfehler :-\

ich hab 2 mal xss und 1 mal xxs geschrieben *g*
ich meine cross site scripting (CSS, aber das wird ja bereits für style sheets verwendet, deshalb verwendet man xss). Dabei handelt es sich um Fehler in Scripts, die man ausnützen kann, um Funktionen auszuführen, zu den en man sonst nicht in der Lage ist ;)

mfg
cyber
Signatur von »Cybermorphix« Video meliora proboque deteriora seqor. - Ich sehe das Gute, aber ich folge dem schlechterem.

TheNobody Style

alter Sack, aber Chef :D

Beiträge: 4 678

Vorname: Andreas

  • Private Nachricht senden

13

Samstag, 2. November 2002, 04:37

RE: blöde tippfehler :-\

[q=pem]Ich selber hab ja ein Wbb2 und damit noch keine Probleme gehabt.[/q]
könnte vielleicht daran liegen, dass keiner sich die Mühe macht, dein Board zu hacken ...

[q=pem]Ich hätte da noch eine Frage, wie könnte sich jemand zum Admin machen, wenn das ACP mit .htcaccess geschützt[/q]
soweit ich weiss, ging da mal was mit nem gefakten Formular ...

aber genaues weiss ich da auch nicht ...
Signatur von »TheNobody Style«

Snoop

Profi

Beiträge: 1 187

  • Private Nachricht senden

14

Samstag, 2. November 2002, 13:41

Man muss ja gar nicht unbedingt Admin sein, um irgendeinen Schaden anrichten zu können.

Da http verbindungslos ist, kann man hervorragend POST Anfragen "faken" - auch Server/Referer sind ja fakebar ... und damit kann man zunächst einige lustige Dinge ausprobieren... nicht zuletzt halt ein BruteForce Angriff starten ... wenn das keiner mitbekommt und das Script das auch niemanden meldet, dass da jemand versucht 20 mal die Sekunde reinzukommen, dann ist das eher schlecht. Eine .htaccess Abfrage lässt sich fast genauso bombardieren.

Bei einem entsprechend langem Password, kann das natürlich dauern - wichtig ist auch das Mixen von Groß/Kleinbuchstaben bzw. das Verwenden von Phantasienamen. Da viele Tools erstmal nen Dictionary bemühen, bevor sie mit BruteForce Kombinationen anfangen.

Das alles sind primäre Angriffsmöglichkeiten - viel interessanter für einen Angreifer sind jedoch häufig Fehlerquellen in der Software selbst (nicht deklarierte Variablen, die überschrieben werden können; Eingabefehler, die zu unvorhergesehenen Ergebnissen führen, etc...). Bei entsprechend sauberer Programmierung sollte das ziemlich schnell passé sein - dennoch kann man immernoch versuchen Passwörter zu knacken - und daher denke ich ja, dass ne Account-Sperre da am sinnigsten ist.
Signatur von »Snoop« The use of COBOL cripples the mind; its teaching should, therefore, be
regarded as a criminal offence.
-- Edsger W. Dijkstra, SIGPLAN Notices, Volume 17, Number 5 (11.05.1930 - 07.08.2002)

Lesezeichen: