PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Sicherheitslücke im BPS-Forum?



shg-pca-husum
10.11.2007, 15:03
Hallo,

heute fand ich dieses in den PN unseres SHG-Accounts:

http://img80.imageshack.us/img80/7044/pn1lz5.jpg

http://img99.imageshack.us/img99/5431/pn002ic0.jpg

Der angegebene Link führt dann dorthin:

http://img146.imageshack.us/img146/3313/pn003cx3.jpg


Da gibt es wohl ein ordentliches Sicherheitsloch zu stopfen.

Gruß Dieter
SHG Husum

Harro
10.11.2007, 16:56
Nicht Spaßig

Hallo, Dieter, bitte mach mich mal wieder schlau:


heute fand ich dieses in den PN unseres SHG-Accounts:

Was sind SHG-Accounts? PN gilt ja für persönliche Nachrichten oder besser private
Nachrichten. Was ist denn eigentlich der Unterschied im Forum zwischen E-Mail senden und eine private Nachricht senden? Haben nur SHGs die sog. Accounts?
Egal wie; auf jeden Fall ist das ein dicker Hund.

"Alt ist man, wenn man an der Vergangenheit mehr Freude hat als an der Zukunft"

Gruß Hutschi

shg-pca-husum
10.11.2007, 17:08
Nicht Spaßig

Hallo, Dieter, bitte mach mich mal wieder schlau:



Was sind SHG-Accounts? PN gilt ja für persönliche Nachrichten oder besser private
Nachrichten. Was ist denn eigentlich der Unterschied im Forum zwischen E-Mail senden und eine private Nachricht senden? Haben nur SHGs die sog. Accounts?
Egal wie; auf jeden Fall ist das ein dicker Hund.

"Alt ist man, wenn man an der Vergangenheit mehr Freude hat als an der Zukunft"

Gruß Hutschi

Hallo Hutschi,

wir beteiligen uns am BPS-Forum mit zwei Teilnehmer-Anmeldungen (Accounts):

1.) SHG = für das, was mehr die Gruppe betrifft
2.) Dieter aus Husum für mich persönlich, denn meine persönlichen Ansichten müssen ja nicht unbedingt auch die meiner Gruppe sein.

Ich kann mich erinnern, dass Du dazu schon mal mit Deinem Kollegen Schorschel orakelt hast. Nun kennst Du den Sinn.

Gruß Dieter

Harro
10.11.2007, 17:14
Klare Antwort

Hallo, Dieter, danke; aber was ist mit E-Mail + private Nachricht z. B. für mich?

"Man könnte sich den ganzen Tag ärgern, aber man ist nicht dazu verpflichtet"

Gruß Hutschi

shg-pca-husum
10.11.2007, 17:43
Klare Antwort

Hallo, Dieter, danke; aber was ist mit E-Mail + private Nachricht z. B. für mich?

"Man könnte sich den ganzen Tag ärgern, aber man ist nicht dazu verpflichtet"

Gruß Hutschi

Siehe hier:

http://www.prostatakrebs-bps.de/index.php?option=com_content&task=view&id=311&Itemid=194

Gruß Dieter

Holger
10.11.2007, 23:40
Guten Abend ...

Diese Spambots (http://de.wikipedia.org/wiki/Spambot) werden immer rafinierter. Folgendes ist mit hoher Wahrscheinlichkeit passiert:
Der Bot hat sich registriert, war aber als Benutzer nicht von der Administration freigeschaltet. Er hat in diesem schwebenden Zustand keinen Zugriff auf die Benutzerliste, jedoch besteht für Ihn die Möglichkeit, PNs abzusetzen. Da ihm über die Benutzerliste keine Adressen zur Verfügung stehen, zieht er sich den Namen eines (oder mehrerer) Benutzer aus Forumsbeiträgen und setzt dann seinen Spam (http://de.wikipedia.org/wiki/Spam) ab. Nach einer Weile wurde der Bot von der Administration erkannt und gelöscht, so dass er seinen Spam nie in ein Unterforum schreiben konnte. Zu diesem Zeitpunkt hat Dieter aber schon seine PN erhalten. Als er darauf aufmerksam machte, war der Benutzer (der Bot) aufgrund der Löschung bereits aus der Datenbank verschwunden.

Maßnahme: Die Konfiguration des Systems wurde dahingehend angepasst, dass das Versenden von PN und E-Mail nur noch Mitgliedern erlaubt ist, die ein Benutzerkonto haben, dass durch die Administration freigeschaltet wurde (sog. Registrierte Benutzer). Damit sollten Bots, die sich in der Schwebe befinden keine Möglichkeit haben PNs abzusetzen.

Beste Grüße

Holger Jünemann