XxAnimusxX
Unregistered
|
RE: [WICHTIG] Angebliche Sicherheitslücke im Forum
Das kann nicht sein, denn der Logoutlink ist nicht gleich dem Loginkey, womit man sich tatsächlich mit einem Modaccount hätte einloggen können (über Cookies).
Mich würde es nämlich sehr interessieren, was genau der Typ als "Exploit" bezeichnet; das klauen von Cookiedaten sind lame....
jedenfalls habe ich mal den loginkey von allen teammitgliedern erneuert, wenn das so weiter andauern sollte, das ständig die daten unserer mods abhanden kommen, werde ich jede 24h den Loginkey ändern lassen, womit man sich täglich neu einloggen müsste...
|
|
12.09.2009 17:03 |
|
FrezoR
Unregistered
|
RE: [WICHTIG] Angebliche Sicherheitslücke im Forum
ICQ-Nummer: 482-393
Name: Phaser
Spitzname: Phaser
Das ist Targo der Bruder von Mr. Thou.
Animus? Ohne das ich mich ausgeloggt habe war ich eben nicht mehr Eingeloggt. Ich war hier im Thread und wollte dir dann eine PN schicken und auf einmal stand da ich sei nicht mehr eingeloggt o,O
|
|
12.09.2009 17:07 |
|
XxAnimusxX
Unregistered
|
RE: [WICHTIG] Angebliche Sicherheitslücke im Forum
Das Ändern der Loginkeys führt dazu, das ihr ausgeloggt seid, da die Daten in euren cookies nicht mehr mit dem Loginkey übereinstimmt, welches ja nun geändert wurde.
edit: toll nun geht er nicht bei icq on .......
|
|
12.09.2009 17:09 |
|
FrezoR
Unregistered
|
RE: [WICHTIG] Angebliche Sicherheitslücke im Forum
Könnte man nicht irgendwie einbauen das ein Mod Account automatisch gesperrt wird wenn die Anfangszahlen der IP abweichen?
|
|
12.09.2009 17:12 |
|
XxAnimusxX
Unregistered
|
RE: [WICHTIG] Angebliche Sicherheitslücke im Forum
Dann haste ne Proxy oder dein Anbieter bekommt ne schlechte Laune und wechselt den toplevel-bereich, was öfters vorkommen kann, und dein account wäre gesperrt...
Man kann es - wie es bei Kcheat der Fall ist - einbauen, das man ne Sicherheitsabfrage bekommt mit einer Frage/Antwort, die man selbst definiert hat, wenn sich die IP drastisch verändert.
Jedenfalls gehe ich davon aus, das er einfach den Loginkey von seinem Bruder geklaut hat und nun en bisl angeben möchte :D
|
|
12.09.2009 17:14 |
|
FrezoR
Unregistered
|
RE: [WICHTIG] Angebliche Sicherheitslücke im Forum
Könntest du so etwas bei uns auch einbauen? Würde ja die Sicherheit hier sehr steigern.
Also der Bruder von Mr. Thou hat zu seinen K-Cheat Zeiten auch schon mal seinen Account geklaut wenn ich mich richtig erinnere, der hat wohl spaß daran.
|
|
12.09.2009 17:16 |
|
XxAnimusxX
Unregistered
|
RE: [WICHTIG] Angebliche Sicherheitslücke im Forum
So Leute die Sache ist sowas abgesprochen, es lag wohl an irgendeinem misteriösen Hashklau, doch das System von MyBB ist sicher und es war KEINE Sicherheitslücke sondern einfach nur.... wie sage ichs bloß.... human resourcing :D
Phaser hat dies - und ich glaube ihm das auch - nur zu Veranschaulichung gemacht und hat mir erklärt worums ging:
Ein Moderator hat in einem Beitrag folgendes geschrieben: "Poste vernünftig oder Raus hier"
Das "Raus hier" wurde verlinkt mit dem Logoutlink des Moderators, welches auch den Logoutlink beinhaltet. Er meinte damit hätte ein guter Freund geschafft, sich einzuloggen - technisch gesehen nicht möglich, ich vermute es wurde anders gemacht.
Jedenfalls schreibe ich das neue Abfrage-System, womit es nicht ohne weiteres möglich sein wird, mit fremden Accounts online zu gehen - damit sind wir in zukunft zu ungefähr 98% sicher ^^
Phaser hat sich sehr kooperativ, freundlich und teilweise sogar bestürzt gezeigt - der bisher einzige user, der mich persönlich über ein sicherheitsproblem unterrichtet und es nicht ausnutzt ;)
Damit befreie ich Thou mal von der Sperre.
|
|
12.09.2009 19:49 |
|
FrezoR
Unregistered
|
RE: [WICHTIG] Angebliche Sicherheitslücke im Forum
Er hat es ausgenutzt! Er war mit dem Account von Mr. Thou im Teamforum o,O Ich kann dir gerne mal den ganzen Log zukommen lassen Animus.
|
|
12.09.2009 19:54 |
|
XxAnimusxX
Unregistered
|
RE: [WICHTIG] Angebliche Sicherheitslücke im Forum
Er hat mir erzählt das er in den Foren war, jedoch könnte er dies jetzt so oder so nicht mehr, da die Loginkeys seit Stunden geändert wurden.
|
|
12.09.2009 20:29 |
|