Pagina 1 van 1
Forumwachtwoord zin of zinloos?
Geplaatst: 08 jul 2010, 20:48
door Modereter
Je kunt voor bijv. een bepaald hoofdforum, wat je alleen voor het beheer/moderatie wilt gebruiken en dus af wilt schermen van iedereen (gasten/gebruikers enz.) een wachtwoord aanmaken.
Via Tab Forums>klik op groene wijzigsterretje.
Dit leek me wel handig, want ook al zou een onverlaat het beheerderspaneel binnendringen, dan kunnen ze dat hoofdforum pas inkijken, als ze het wachtwoord kennen. Leek mij. Toch?
Ik heb dus een wachtwoord aangemaakt en daarna permissies ingesteld voor dit hoofdforum voor bep. nicknames.
Wie schetst mijn verbazing, dat diezelfde pagina 'Bewerk forum: (huppelepup) nu een aanvinkvakje laat zien,
getiteld:
Verwijder forum wachtwoord:
Vink dit aan indien je het forum wachtwoord wil verwijderen.
Betekent dit, dat een indringer zomaar hiermee de wachtwoordinstelling kan omzeilen, dus het af te schermen hoofdforum alsnog in kan gaan zien?
Or what?
Re: Forumwachtwoord zin of zinloos?
Geplaatst: 08 jul 2010, 21:18
door Paul
Forum wachtwoorden zijn niet bedoeld als permissies of beveilings maatregel.
Re: Forumwachtwoord zin of zinloos?
Geplaatst: 09 jul 2010, 08:04
door Ger
Als een onverlaat het beheerderspaneel binnendringt betekent dat ook dat diegene al een wachtwoord heeft gekraakt. Of beter gezegd: een wachtwoord heeft bemachtigd. Nog een wachtwoord heeft dan weinig zin, want als je als beheerder blijkbaar je beheerderswachtwoord laat slingeren (belangrijkste wachtwoord van het forum) dan lijkt het me niet zo moeilijk om een wachtwoord voor een forum te bemachtigen.
Volgens mij zijn die forumwachtwoorden ook nog iets rudimentairs uit de begintijd van phpBB. Tegenwoordig regel je dat soort dingen met permissies.
Re: Forumwachtwoord zin of zinloos?
Geplaatst: 09 jul 2010, 08:18
door marian0810
Is het niet meer bedoeld om een forum privé te houden voor insiders? Bijvoorbeeld als je wel gasten wilt laten posten maar alleen gasten die bekenden zijn van leden en van hun het wachtwoord hebben gekregen?
Re: Forumwachtwoord zin of zinloos?
Geplaatst: 09 jul 2010, 12:07
door Modereter
paul schreef:Forum wachtwoorden zijn niet bedoeld als permissies of beveilings maatregel.
Hé, dit vind ik wel een wonderlijk, ja vernieuwend statement
http://nl.wikipedia.org/wiki/Wachtwoord
Wachtwoord
Uit Wikipedia, de vrije encyclopedie
Een wachtwoord of paswoord, (in computerjargon ook wel password (uit het Engels)), is een geheim woord dat aan degene die het kent, toegang verschaft tot een locatie of tot informatie.
Een wachtwoord waar mee men vriend van vijand onderscheidt is een sjibbolet, zoals bijvoorbeeld "scilt ende vriend", waarmee franskiljons tijdens de Brugse metten konden worden ontmaskerd[bron?] of "Scheveningen" dat tijdens de Duitse aanval op Nederland in 1940 eenzelfde functie had.[1]
Wachtwoord en computers
In de ICT is een wachtwoord of toegangscode een rijtje met letters, cijfers of andere tekens waarmee toegang tot informatie kan worden verkregen.
Een wachtwoord is normaliter gekoppeld aan een gebruikersnaam, die identificeert wie of wat er toegang krijgt. De gebruikersnaam is openbaar - althans niet geheim - het wachtwoord is geheim.
Het invoeren van gebruikersnaam en wachtwoord om toegang te krijgen wordt 'aanmelden' of 'inloggen' genoemd. Het laatste is afgeleid van het Engelse login.(..)
Ger schreef:
Als een onverlaat het beheerderspaneel binnendringt betekent dat ook dat diegene al een wachtwoord heeft gekraakt. Of beter gezegd: een wachtwoord heeft bemachtigd. Nog een wachtwoord heeft dan weinig zin, want als je als beheerder blijkbaar je beheerderswachtwoord laat slingeren (belangrijkste wachtwoord van het forum) dan lijkt het me niet zo moeilijk om een wachtwoord voor een forum te bemachtigen.
Wachtwoord kraken is wat anders dan een wachtwoord bemachtigen, dat je 'hebt laten slingeren'.
Het gaat hier uiteraard om kraken.
En vereist het kraken van een wachtwoord van buitenaf dezelfde techniek als wanneer je in het beheerderspaneel bent?
Volgens mij zijn die forumwachtwoorden ook nog iets rudimentairs uit de begintijd van phpBB. Tegenwoordig regel je dat soort dingen met permissies.
Ger
Is dat zo? Als je in het beheerspaneel bent binnengedrongen, kun je die permissies toch zo ongedaan maken?
Daarom leek mij JUIST een apart wachtwoord voor een bepaald forum BINNEN het beheerderspaneel een extra beveiliging.
Ik vraag dit allemaal, omdat ik hierover goede redenen heb voor mijn eigen forum én her en der topics zag en zie verschijnen over dat ook de nieuwe versie van phpbb-fora kennelijk makkelijk binnengedrongen (gehackt) kan worden.
marian0810 schreef:
Is het niet meer bedoeld om een forum privé te houden voor insiders? Bijvoorbeeld als je wel gasten wilt laten posten maar alleen gasten die bekenden zijn van leden en van hun het wachtwoord hebben gekregen?
Dat is toch allemaal hetzelfde? Een wachtwoord is een wachtwoord.
Re: Forumwachtwoord zin of zinloos?
Geplaatst: 09 jul 2010, 12:36
door Paul
Ik heb het hier over forum wachtwoorden (Wachtwoorden toegewezen aan een forum), niet aan wachtwoorden in het algemeen. Forum wachtwoorden zijn niet bedoeld als permissies.
Re: Forumwachtwoord zin of zinloos?
Geplaatst: 09 jul 2010, 12:55
door PhilipvD
Het heeft weinig zin om forum wachtwoorden te gaan gebruiken als een extra laag beveiliging. Het klopt dat je de permissies ongedaan kan maken als je als 'ongewenst persoon' het beheerderspaneel inkomt. Sterker nog als iemand kan inloggen met een beheerdersaccount is het vaak al zo dat dat account helemaal geen beperkingen heeft.
Maar een forum wachtwoord kan je ook via het beheerderspaneel ongedaan maken. Daarvoor hoef je niet eerst het wachtwoord te weten.
Bij het instellen van een forum wachtwoord staat er ook bij:
phpBB schreef:Definieer een wachtwoord voor dit forum en gebruik bij voorkeur het permissiesysteem.
Het is dus een stuk beter om gebruik te maken van de permissies, wat mij betreft een stuk overzichtelijker dan een wachtwoord.
Modereter schreef:Ik vraag dit allemaal, omdat ik hierover goede redenen heb voor mijn eigen forum én her en der topics zag en zie verschijnen over dat ook de nieuwe versie van phpbb-fora kennelijk makkelijk binnengedrongen (gehackt) kan worden.
De laatste versie van phpBB is veilig te noemen. De wachtwoorden zijn gecodeerd opgeslagen en phpBB gebruikt hiervoor ook nog eens zijn eigen manier van coderen, ze zijn echt niet uit te lezen. Als je regelmatig je wachtwoord wijzigt verklein je al de kans dat iemand je wachtwoord raadt.
Re: Forumwachtwoord zin of zinloos?
Geplaatst: 09 jul 2010, 13:08
door Modereter
paul schreef:Ik heb het hier over forum wachtwoorden (Wachtwoorden toegewezen aan een forum), niet aan wachtwoorden in het algemeen. Forum wachtwoorden zijn niet bedoeld als permissies.
Als je nu eens vertelt, waarvoor dan wel?
PhilipvD schreef:Het heeft weinig zin om forum wachtwoorden te gaan gebruiken als een extra laag beveiliging. Het klopt dat je de permissies ongedaan kan maken als je als 'ongewenst persoon' het beheerderspaneel inkomt. Sterker nog als iemand kan inloggen met een beheerdersaccount is het vaak al zo dat dat account helemaal geen beperkingen heeft.
Maar een forum wachtwoord kan je ook via het beheerderspaneel ongedaan maken. Daarvoor hoef je niet eerst het wachtwoord te weten.
Bij het instellen van een forum wachtwoord staat er ook bij:
phpBB schreef:Definieer een wachtwoord voor dit forum en gebruik bij voorkeur het permissiesysteem.
Het is dus een stuk beter om gebruik te maken van de permissies, wat mij betreft een stuk overzichtelijker dan een wachtwoord.
Bijft voor mij de vraag: wat is de zin van zo'n wachtwoordsysteem, of anders gezegd de toegevoegde waarde als iedere indringer in 't beheerderspaneel 'm zo kan uitvinken, dus omzeilen.
Modereter schreef:Ik vraag dit allemaal, omdat ik hierover goede redenen heb voor mijn eigen forum én her en der topics zag en zie verschijnen over dat ook de nieuwe versie van phpbb-fora kennelijk makkelijk binnengedrongen (gehackt) kan worden.
De laatste versie van phpBB is veilig te noemen. De wachtwoorden zijn gecodeerd opgeslagen en phpBB gebruikt hiervoor ook nog eens zijn eigen manier van coderen, ze zijn echt niet uit te lezen. Als je regelmatig je wachtwoord wijzigt verklein je al de kans dat iemand je wachtwoord raadt.
Het is maar je verstaat onder veilig, als je op dit forum alleen al om de haverklap topics ziet, waar iemand een geslaagde hack weet te melden....
Maar ik moet kennelijk concluderen, dat bij de versie die er nu is, onveilige wantoestanden als bij 2.0, waarbij zelfs complete handleidingen hoe simpel een forum binnen te dringen, op internet zijn te bezichtigen, tot het verleden behoren?
Re: Forumwachtwoord zin of zinloos?
Geplaatst: 09 jul 2010, 13:34
door PhilipvD
Zo'n systeem kan je bijvoorbeeld gebruiken in de situatie die Marian ook liet zien. Als je wilt dat gasten kunnen posten (er is dus geen account = geen permissies per gast in te stellen) maar bepaalde topics alleen toegankelijk wilt maken voor bepaalde gasten.
En nee, niet iedereen die weet hoe die Google moet gebruiken kan ik jouw beheerderspaneel komen. Die 'handleidingen' om een phpBB2 binnen te dringen zijn vaak ook pas te gebruiken als het een bepaalde versie van phpBB2 betreft en als er een bepaalde modificatie is geïnstalleerd.
Dan hebben we het over phpBB2 die niet meer ondersteund wordt. Dat gaat dus niet op voor phpBB3.
Als je mij een voorbeeld van een topic kan geven waarin iemand zijn forum is gehackt doordat iemand in het beheerderspaneel is gekomen zal ik uitleggen wat er in dat geval fout is gegaan. En zoveel topics zullen dat niet zijn.
Re: Forumwachtwoord zin of zinloos?
Geplaatst: 09 jul 2010, 22:16
door Ger
Modereter schreef:Wachtwoord kraken is wat anders dan een wachtwoord bemachtigen, dat je 'hebt laten slingeren'.
Het gaat hier uiteraard om kraken.
Neen. Ik corrigeerde mezelf daar heel bewust. Een wachtwoord in phpBB is, behoudens brute force met heel veel IP adressen, niet te kraken. Als iemand onbedoeld je beheerderspaneel binnenkomt dan heb je een te gemakkelijk te raden wachtwoord gekozen of je hebt het laten 'slingeren' (op wat voor manier dan ook). De techniek is in dezen veel betrouwbaarder dan de persoon.
Modereter schreef:
En vereist het kraken van een wachtwoord van buitenaf dezelfde techniek als wanneer je in het beheerderspaneel bent?
Klopt, maar als iemand zo slordig is om een eenvoudig te raden wachtwoord als beheerder te kiezen of met zijn wachtwoord te koop loopt, kun je nog zo'n goede hash hebben, maar dan kun je net zo goed de sleutel naast het slot hangen bij wijze van. Je kunt er dan ook niet op vertrouwen dat diegene een forumwachtwoord wél goed beheerd.
Modereter schreef:her en der topics zag en zie verschijnen over dat ook de nieuwe versie van phpbb-fora kennelijk makkelijk binnengedrongen (gehackt) kan worden.
Hacken is iets anders dan kraken. Ik kan jouw forum ook hacken als jouw wachtwoord bij wijze van "sesam open u" zou zijn. Vervolgens maak ik mezelf eigenaar en verban ik jou. Je forum is dan gehackt, maar ik heb aan de techniek niets gedaan.
Je brengt het allemaal (mede vanwege de
smilies) alsof wij niet weten waar we over praten en jij het allemaal wel beter weet, maar je krijg hier antwoord van 4 mensen die heel goed weten waar ze het over hebben terwijl jij blijkbaar nog niet het verschil weet tussen kraken en hacken. Neem de adviezen hier liever ter harte in plaats van de wise-guy uit te hangen zou ik zeggen.
Re: Forumwachtwoord zin of zinloos?
Geplaatst: 10 jul 2010, 10:55
door Modereter
PhilipvD schreef:Zo'n systeem kan je bijvoorbeeld gebruiken in de situatie die Marian ook liet zien. Als je wilt dat gasten kunnen posten (er is dus geen account = geen permissies per gast in te stellen) maar bepaalde topics alleen toegankelijk wilt maken voor bepaalde gasten.
Goed, het wachtwoordsysteem binnen het beheerderspaneel heeft dus hetzelfde nivo als de instellingen van permissies. Dus kan door iedere indringer simpel ongedaan worden gemaakt, waardoor niet voor de buitenwacht bedoelde berichten ineens openbaar zijn.
Ik zal eens uitproberen, waarvoor het dan nog wel enig nut heeft, zoals met ongeregistreerde gasten kennelijk.
En nee, niet iedereen die weet hoe die Google moet gebruiken kan ik jouw beheerderspaneel komen.
Waar schrijf ik dat?
Die 'handleidingen' om een phpBB2 binnen te dringen zijn vaak ook pas te gebruiken als het een bepaalde versie van phpBB2 betreft en als er een bepaalde modificatie is geïnstalleerd.
O, dus niet alle versies vóór die van phpbb3 waren zo makkelijk binnen te dringen?
En dan ook nog alleen als er een bepaalde modificatie was geïnstalleerd?
O, dat wist ik niet, ik dacht dat het meteen om alle versies 2.0 ging.
Ik kan je nl. zo een link geven waar valt te lezen, dat het een hele serie versies van 2.0 betreft!
Wat ons heeft doen besluiten tot het installeren van 3.0.(momenteel is ons forum onder het gratis-beperkte, vooraf ingestelde-forumforfree, 2.0).
Dan hebben we het over phpBB2 die niet meer ondersteund wordt.
Dat zeg ik. En weet ik.
Dat gaat dus niet op voor phpBB3
DAT hoop ik.
Als je mij een voorbeeld van een topic kan geven waarin iemand zijn forum is gehackt doordat iemand in het beheerderspaneel is gekomen zal ik uitleggen wat er in dat geval fout is gegaan. En zoveel topics zullen dat niet zijn.
Gebande beheerders na hack.
Hoe lege topics verwijderen
Voor nog meer topics: Zoek op het woord 'hack' of 'gehackt' en er verschijnen tientallen topics hieromtrent.
Allemaal vanwege te eenvoudig gekozen of te koop hebben gelopen met het wachtwoord (of brute force?)(Ger?)
?
Re: Forumwachtwoord zin of zinloos?
Geplaatst: 10 jul 2010, 11:12
door Paul
Modereter schreef:PhilipvD schreef:
Die 'handleidingen' om een phpBB2 binnen te dringen zijn vaak ook pas te gebruiken als het een bepaalde versie van phpBB2 betreft en als er een bepaalde modificatie is geïnstalleerd.
O, dus niet alle versies vóór die van phpbb3 waren zo makkelijk binnen te dringen?
En dan ook nog alleen als er een bepaalde modificatie was geïnstalleerd?
O, dat wist ik niet, ik dacht dat het meteen om alle versies 2.0 ging.
Ik kan je nl. zo een link geven waar valt te lezen, dat het een hele serie versies van 2.0 betreft!
Wat ons heeft doen besluiten tot het installeren van 3.0.(momenteel is ons forum onder het gratis-beperkte, vooraf ingestelde-forumforfree, 2.0).
Ik kan ook op mijn website schrijven dat ik alle phpBB3 versies kan hacken met één simpel scriptje. Dat ik dat schrijf, betekend niet dat dat ook waar is. Er waren phpBB2 versies welke bepaalde veiligheids problemen hadden, echter de laatste release van phpBB2 had geen veiligheidsproblemen zover bekend (Dit tot op het moment phpBB2 end of life was, daarna zijn er mogelijk nog problemen uitgekomen).
Dat gaat dus niet op voor phpBB3
DAT hoop ik.
Als je mij een voorbeeld van een topic kan geven waarin iemand zijn forum is gehackt doordat iemand in het beheerderspaneel is gekomen zal ik uitleggen wat er in dat geval fout is gegaan. En zoveel topics zullen dat niet zijn.
Gebande beheerders na hack.
Hoe lege topics verwijderen
Voor nog meer topics: Zoek op het woord 'hack' of 'gehackt' en er verschijnen tientallen topics hieromtrent.
Allemaal vanwege te eenvoudig gekozen of te koop hebben gelopen met het wachtwoord (of brute force?)(Ger?)
?
Bijvoorbeeld. Maar het kan ook bijvoorbeeld door andere software komen welke op die hosting account, of in sommige gevallen bij bepaalde hosters op die server van de hoster is geinstalleerd onveilig is. Of bijvoorbeeld door een virus op de computer van die persoon die het forum beheert, welke het FTP wachtwoord steelt.
phpBB3 heeft sinds de release op 13 december 2007 geen security issues bevat waardoor het forum gehacked kon worden, en heeft van de huidige forum software welke beschikbaar is het beste security record van het moment.
Als je forum gehacked wordt, betekend dit simpelweg niet dat het direct aan phpBB ligt. Dit kan aan een heleboel meer dingen eromheen ook liggen.