[Wulfnoth]

Wenn du Sicherheitsupdates nicht einspielst wird keine andere Software sicherer sein. Man muss sein Projekt schon pflegen.

[Titus]

für updatefaule Admins ist glaube ich zur Zeit das wBB3 noch das Beste, da der automatische Updater wenig Hirnschmalz braucht und sich mal nebenbei ausführen lässt

alternativ ist glaube ich auch das Viscacha mit so einer Technik erweiterbar und hätte den "Vorteil" einen geringeren Bekanntheitsgrad zu haben, weswegen sich das gemeine Skriptkiddie ohne die bebilderten Hackanleitungen schwer tun wird

[Nebelkraehe]

Der Admin war nicht ich.
Ich war bisher nur normaler User, der das Board jetzt notgedrungen übernimmt weil der Admin nach den Hackerangriffen keine Lust mehr hat. Deshalb wäre ich auch begeistert wenn die Software kostenlos wäre. Vielen Dank für den Tipp mit Vischara, das seh ich mir mal an.

[P@trick]

Forensoftware Vergleich

[Dono]

Hi,
mit dem Viscacha kann man nur updates von erweiterung etc beziehen. aber in der nächsten Version wird das Updaten viel einfacher gemacht.
Aber mit der Sicherheit steht es bei dem Viscacha gut, vorallem weil es noch relativ unbekannt ist. Das VB ist auch relativ gut, was die Sicherheit angeht.
Wenn du einmal gehackt worden bist, dann wirst du zumidest von dem einem "Hacker" nicht noch mal "gehackt".
Dono

[LonelyPixel]

Ach ja, zum Thema Sicherheit… Ich habe heute damit angefangen, Gegenmaßnahmen für Cross-Site-Request-Forgery-Angriffe (CSRF) ins Unclassified NewsBoard einzubauen. Funktioniert vorerst sehr gut gegen das unbeabsichtigte Veröffentlichen oder Verändern von Beiträgen, ist aber noch nicht fälchendeckend umgesetzt. Welche andere Forensoftware hat das eigentlich noch?

[Nebelkraehe]

@Dono wir wurden vier Mal gehackt. Da hatte scheinbar jemand Freude.

Wie ist es mit dem SMF, ich habe gehört, das soll auch relativ sicher sein?

[rellek]

.....

[Dono]

Hi,
weil ihr öfters gehackt worden seit, lässt sich daraus schliesen, das er das aus einem bestimmtem Grund macht, und wahrscheindlich nicht so viel ahnung hat. Also einfach eine Version hollen wo keine sicherheitslücken bekannt sind, und wenn sie schnell gefixt werden z.B. Viscacha, Vbuletin etc.
Dono

[Nebelkraehe]

Najaaa... ein Grund für den Umzug ist ja auch, dass es keine funktionierende Sicherung vom Forum gibt. Ich sehe, wie sich die ersten Zehennägel aufrollen.
Ich werde versuchen, alles besser zu machen

Danke für eure Bemühungen!

[LonelyPixel]

Wieso gibt es keine funktionierende Sicherung? Dann mach doch einfach eine. Das geht unabhängig von der Software ungefähr so: Datenbank-Sicherung mit phpMyAdmin, Dateisicherung mit FTP. Wiederherstellung geht mit denselben Werkzeugen, nur in die andere Richtung. Außerdem ist eine Sicherung zum Schutz vor Verlust doch eigentlich Aufgabe des Server-Betreibers, der meist automatisiert täglich alle Benutzerdaten sichert.

[Nebelkraehe]

Es gibt keine weil ich nicht der Admin bin und der Admin keine gemacht hat.
Es gibt jetzt eine, die aber nicht wirklich funktioniert, weil ich sie (ich werde das Forum übernehmen, damit es nicht geschlossen wird) erst nach dem Angriff machen konnte. - es ist Werbung eingebaut und das ACP funktioniert nicht mehr. Außerdem dürfte der Einbrecher einige/alle Passwörter haben. Die Forensoftware kann ich auch nicht mal eben nachkaufen (Admin hat sie auch nicht mehr wg. Festplattencrash), bin auch kein Profi so dass ich die Dateien selbst reparieren könnte. Deshalb sehe ich im Moment keine andere Möglichkeit, als das Forum ganz neu aufzusetzen.
Schade um User und Beiträge (290/30.000), aber hm, nunja.

Gestern bin ich auf die Möglichkeit eines Konverters gestoßen. Welche Daten/Dateien werden da mit übertragen? Wenn ich den H. und die Werbung dann mit an Bord habe, macht der Aufwand ja wenig Sinn. Dann lieber ganz neu anfangen.

Vielen Dank für die Geduld

[LonelyPixel]

Ich würd bei der Gelegenheit u.U. auch den Webhosting-Anbieter wechseln, wenn der dir kein Backup anbieten kann.

So ein Zufall… weißt du eigentlich, wie selten Festplatten kaputt gehen? Ich vermute, dass es viel öfter vorkommt, dass der Benutzer vor dem Bildschirm grob fahrlässig alle Dateien löscht.

Es gibt oft die Möglichkeit, Daten aus einer existierenden Forendatenbank in ein neues Programm zu übertragen. Ob es so einen Konverter gibt, hängt vom bisher verwendeten und auch vom neuen Forum ab. Denn für genau diese Kombination muss es den Konverter geben. Und von diesem Konverter hängt es dann ab, welche Daten in welcher Qualität übertragen werden. Es kann sein, dass manche Angaben nachher fehlen, oder Zuordnungen falsch sind, oder es gar nicht funktioniert. Musst du halt suchen und selbst ausprobieren. Frag das am besten beim Hersteller/Support/Community des Forums nach, das du dann verwenden möchtest.

[Titus]

nun, Werbung lässt sich ja normal löschen (wenn JScript in den Beschreibungen der Foren ist einfach im Browser JS deaktivieren) und zumindest vom SMF müsste es einen Converter geben fürs wBB2 (Viscacha hat im übrigen auch einen)

IDR brauchst du da auch nur die DB und evtl die Dateiangänge/Avatare wenn die unterstützt werden

Je nach Zustand des aktuellen Boards und Wichtigkeit der Themen kann man auch überlegen die alten Daten als ein Archiv zu erstellen und im neuen Board wirklich neu zu starten

[rellek]

.....

[Nebelkraehe]

LonelyPixel: Jap, Webhostinganbieter-Wechsel ist bereits beantragt.
Hmm... ich glaube, ich würde auch von einem Festplattencrash erzählen, wenn ich das versemmelt hätte. Einen Konverter gibt es, den werde ich nach dem Umzug dann ausprobieren. Habe mich auch schon im entsprechenden Forum angemeldet und nachgefragt.

Titus: Das mit dem Löschen hatte ich bis vorhin irgendwie nicht hinbekommen. Das ACP funktioniert nicht mehr vollständig, und wenn ich die entsprechende Datei direkt geändert habe bekam ich beim Seitenaufruf eine Fehlermeldung, dass xyz nicht mit dem Cache übereinstimmt o.ä.. Jetzt bin ich soweit, dass die Werbung weg ist und ich nur noch im Fuß eine kleine Fehlermeldung habe. Brauche eben ein wenig weil ich noch nicht so viel Erfahrung habe. Außerdem habe ich erst seit ein paar Tagen die entsprechenden Rechte.
Das mit dem Archiv ist auch mein Notfallplan.

rellek: Daran hatte ich ehrlich gesagt noch garnicht gedacht:

Sehr geehrte Damen und Herren,

ich bin zwar nicht die Person, die einen Vertrag mit Ihnen abgeschlossen hat, aber ich habe ein Forum übernommen, dessen Besitzer das wohl mal getan hat. Würden Sie mir bitte einen Mitgliederaccount einrichten?

Mit freundlichen Grüßen
usw.

[rellek]

.....

[Acyd Burn]

Zitat:

Zitat von LonelyPixel

Ach ja, zum Thema Sicherheit… Ich habe heute damit angefangen, Gegenmaßnahmen für Cross-Site-Request-Forgery-Angriffe (CSRF) ins Unclassified NewsBoard einzubauen. [...] Welche andere Forensoftware hat das eigentlich noch?

phpBB3, standardmäßig (die Form Tokens die im Template eingefügt werden). Ich glaube SMF, IPB, vBulletin (und bestimmt auch andere) haben dies auch. Ist inzwischen Standard (oder sollte es zumindest sein).

[LonelyPixel]

Naja, Referer Checks sind ja auch noch notwendig, sonst liest das Formular diesen Form Token einfach per JavaScript ein, wenn die beiden Seiten unter derselben Second-Level-Domain liegen (was öfter vorkommt, als man denkt).

[Acyd Burn]

Zitat:

Zitat von LonelyPixel

Naja, Referer Checks sind ja auch noch notwendig, sonst liest das Formular diesen Form Token einfach per JavaScript ein, wenn die beiden Seiten unter derselben Second-Level-Domain liegen (was öfter vorkommt, als man denkt).

Wenn du das implementierst dann achte auf 2 Dinge:

1. Einige betreiben Foren die für einige Bereiche z.B. SSL einsetzen, zudem vielleicht über verschiedene subdomains erreichbar sind.
2. Referer kann man faken, oder einfach vom Browser nicht setzen lassen.

[LonelyPixel]

Zitat:

Zitat von Acyd Burn

1. Einige betreiben Foren die für einige Bereiche z.B. SSL einsetzen, zudem vielleicht über verschiedene subdomains erreichbar sind.

Allerdings sollte sich die verwendete Domain oder der SSL-Status nicht zwischen dem Formular und der Aktion einer „kritischen“ Funktion ändern, also Beitrag absenden, Foren löschen etc. (Ach nee, SSL ist mir sowieso egal, hauptsache die Domain passt.)

Zitat:

2. Referer kann man faken, oder einfach vom Browser nicht setzen lassen.

Das ist zum Glück kein Problem in diesem Fall, sonst gäbe es gegen CSRF tatsächlich keine Lösung. In diesem Szenario wird ja der Browser einer regulären Benutzers verwendet, der vom Angreifer (normalerweise) nicht manipuliert werden kann. In meinen Tests wurde auch bei XmlHttpRequest-Aufrufen der Referer übertragen. Also entweder er kommt korrekt an, oder gar nicht, weil ihn z.B. ein Privacy-Filter blockiert. Wenn ein Benutzer aber seinen eigenen Browser selbst so manipuliert, dass ein bestimmter CSRF-Angriff möglich wird, ist er ja praktisch selbst der Verursacher – und das könnte er auch einfacher haben.

[Rake]

Zitat:

Zitat von LonelyPixel

Das ist zum Glück kein Problem in diesem Fall, sonst gäbe es gegen CSRF tatsächlich keine Lösung. In diesem Szenario wird ja der Browser einer regulären Benutzers verwendet, der vom Angreifer (normalerweise) nicht manipuliert werden kann.

Das stimmt so nicht. Z.B. kann der Referrer via meta refresh unterdrückt werden - das ist durchaus im Ramen eines CSRF.

~H

[LonelyPixel]

Zitat:

Zitat von Rake

Das stimmt so nicht. Z.B. kann der Referrer via meta refresh unterdrückt werden - das ist durchaus im Ramen eines CSRF.

Oh, du hast Recht. – Aber nun, so kann man ja keine POST-Formulare absenden. (Hab das grade mal ausprobiert.) Zumindest das kann man damit ein Stück zuverlässiger gegen diese Angriffe absichern.

[vasiliylange]

Ich empfehle Ihnen auf keinen Fall eine OpenSource Forum-Software zu nehmen. Bei kommerzieller Software ist der Source-Code nicht frei verfügbar und deswegen werden dort nicht so heufig Sicherheitslücken gefunden.

Oder Sie nehmen einen Forum-Hoster, der auf eigener Software basiert. Wir haben mit communityhost.de gute erfahrung gemacht. Allerdings haben Sie bei solchen Hoster keinen direkten Zugriff auf alle Daten und das ist aus meiner sicht ein entscheidender Nachteil.