News - Features - Downloads - Forum - Team - Support - Switch View: Screen
Login - Registrierung - Passwort vergessen

Antworten: 22
Seite [1] 2 >
MrMagic


Rock the board




Herkunft: Winsen/Luhe
Beiträge: 83
# Thema - 29.04.2009 um 12:44 Uhr
Hallo,

wo können diese Stufen eingestellt werden?

z.b. im 2009.RC2

zur Zeit sind ab 4 Buchstaben möglich möchte aber die Stufe anpassen.

Verwaltung ? System ? Modul ?
Ich konnte nichts finden


4 Buchstaben sind aus meiner Sicht ungenügend und ein Sicherheitrisiko.


------------------


Zuletzt editiert von MrMagic am 29.04.2009 um 20:47 Uhr (2x Editiert)
Inaktiv
Fr33z3m4n ClanSphere Team


Medal of Honor




Herkunft: Hamm
Beiträge: 11094
# Antwort: 1 - 29.04.2009 um 13:54 Uhr
http://www.clansphere.de/trac/clansphere/browser/trunk/mods/clansphere/js/clansp here.js
Zeile 47 - 50


------------------
mfg
Patrick "Fr33z3m4n" Jaskulski

Antoine de Saint-Exupéry: Wenn Du ein Schiff bauen willst, so trommle nicht Männer zusammen, um Holz zu beschaffen, Aufgaben zu verteilen, sondern lehre die Männer die Sehnsucht nach dem endlosen weiten Meer.

Inaktiv
|
MrMagic
Thread-Ersteller


Rock the board




Herkunft: Winsen/Luhe
Beiträge: 83
# Antwort: 2 - 29.04.2009 um 14:18 Uhr
Das heißt das derzeit alles erlaubt ist ?
Und die Einstellung nicht per Verwaltung gemacht werden kann ?
Gibt keine Standardanforderung z.b. Länge
20 var password_numbers = '0';
21 var password_letters = '0';
22 var password_lower = '0';
23 var password_upper = '0';
24 var special = '0';


So würde ich das als Sicherheitsrisiko einstufen.


------------------


Inaktiv
|
Fr33z3m4n ClanSphere Team


Medal of Honor




Herkunft: Hamm
Beiträge: 11094
# Antwort: 3 - 29.04.2009 um 14:23 Uhr
Diese Sicherheitsstufen sind rein informativ vorhanden, habe mit der Passwort-Abfrag qualität rein garnichts zu tun. Sie dienen ledigtlich zur Info, in wie fern mein Passwort gesichert ist.

Willst du bestimmte Längen vorgeben ? Und was alles enthalten sein muss ?


------------------
mfg
Patrick "Fr33z3m4n" Jaskulski

Antoine de Saint-Exupéry: Wenn Du ein Schiff bauen willst, so trommle nicht Männer zusammen, um Holz zu beschaffen, Aufgaben zu verteilen, sondern lehre die Männer die Sehnsucht nach dem endlosen weiten Meer.

Inaktiv
|
MrMagic
Thread-Ersteller


Rock the board




Herkunft: Winsen/Luhe
Beiträge: 83
# Antwort: 4 - 29.04.2009 um 15:16 Uhr
Ja so habe ich mir das eigendlich gedacht.

So ist die Sicherheit doch gleich gegen 0.

Beispiel: User registriert sich mit Account 4 Buchstaben und PW was 4- 6 Zeichen lang ist.

Dieser User wird irgendwann mal > Orga oder Admin.

Womöglich noch User = PW
Wie groß ist nun die Gefahr das das PW erraten wird oder gehackt wird ?

Und somit aus meiner Sicht " Sicherheitslücke "



Darum die Frage:

Wie kann ich das verhindern !
Und durch welche Änderung
Und wie verhindert das Clansphereteam diese möglichkeit.

Ich kann ja nicht kontrollieren was die User für ein PW gesetzt haben (will ich auch nicht )

Hoffe habe den Nagel auf den kopf getroffen !


------------------


Zuletzt editiert von MrMagic am 29.04.2009 um 15:18 Uhr (1x Editiert)
Inaktiv
|
sgraewe ClanSphere Team

Supporter
Supporter




Beiträge: 6116
# Antwort: 5 - 29.04.2009 um 15:30 Uhr
Warum sollte das ne Sicherheitslücke vom System sein?
Du kannst doch den Leuten nicht vorschreiben was für ein PW sie nutzen müssen,
aber wenn du davon ausgehst ist jeder der sich bei dir anmeldet ne Sicherheitslücke.


Inaktiv
|
Fr33z3m4n ClanSphere Team


Medal of Honor




Herkunft: Hamm
Beiträge: 11094
# Antwort: 6 - 29.04.2009 um 15:40 Uhr
Du kannst doch den Leuten nicht vorschreiben was für ein PW sie nutzen müssen,

Doch kannst Du, schau dir Microdoof an

@MrMagic, dafür müsstest du Änderungen an der register.php, und (ich glaube profil) vornehmen, und ggf. weitere Änderungen am System.

Wie gesagt, die Sicherheitsstufen sind halt keine Richtlinien, sondern Informationen.
Und eine Sicherheitslücke ist dieses nicht, da jeder Benutzer für seinen Account zuständig ist.
Wenn du nun jemanden die bestimmten Recht einräumst, musst du davon ausgehen, dass er sorgfältig mit seinen Daten umgeht, sollte er dieses nicht tun, ist es fraglich, ihn weiterhin die Rechte zu geben.


------------------
mfg
Patrick "Fr33z3m4n" Jaskulski

Antoine de Saint-Exupéry: Wenn Du ein Schiff bauen willst, so trommle nicht Männer zusammen, um Holz zu beschaffen, Aufgaben zu verteilen, sondern lehre die Männer die Sehnsucht nach dem endlosen weiten Meer.

Inaktiv
|
MrMagic
Thread-Ersteller


Rock the board




Herkunft: Winsen/Luhe
Beiträge: 83
# Antwort: 7 - 29.04.2009 um 15:41 Uhr
In jeden großen Unternehmen gibt es Passwort Richtlinien. (ja ich komme aus der EDV Branche)
Um genau sowas zu unterbinden.

USER=PW

Ich glaube die Diskussion ob das eine Lücke ist, können wir mit "JA" beantworten.

Was machen den PW-Hacktools ? Die einfachen verschlüsselungen zuerst abgrasen.
Was ist gang und gebe beim versuch Teamspeak Server zu übernehmen USER=PW

Und doch ich kann den USER vorschreiben ob das PW zu unsicher ist.
Ich schreibe Ihnen ja nicht vor das Sie das PW = xhgTzHJ nehmen sollen

Somit nochmal die Frage wie kann es verhindert werden ?



------------------


Inaktiv
|
SCHIRI ClanSphere Team


Weltmeister



Herkunft: Hamburg
Beiträge: 5299
# Antwort: 8 - 29.04.2009 um 15:46 Uhr
Ja kann es
@MrMagic, dafür müsstest du Änderungen an der register.php, und (ich glaube profil) vornehmen, und ggf. weitere Änderungen am System.


Es kommt halt drauf an was man als "sicher" und "Sicherheitslücke" bezeichnet.
Jeder User ist eine Sicherheitslücke, weil er sein pw weiter sagen kann. Jede Möglichkeit, die du dem User gibts Inhalt an der Seite zu ändern ist eine Sicherheitslücke, weil er nicht gewollte Änderungen durchführen kann.

/e: z.B. mods/users/register.php zeile 50:

$pwd2 = str_replace(' ','',$register['password']);
$pwdchars = strlen($pwd2);
if($pwdchars<4) {
$error++;
$errormsg .= $cs_lang['short_pwd'] . cs_html_br(1);
}

da könntest du dann noch drunter schreiben:
if(strtolower($register['password']) == strtolower($register['nick'])) {
$error++;
$errormsg .= $cs_lang['password_equals_nick'] . cs_html_br(1);
}

um passwort auf gleichheit zum nick zu prüfen. dann müsstest halt noch die Lang-variable für den Fehler hinzufügen.
Mit hilfe von anderen php-string funktionen und ein paar RegularExpressions kannst dann noch prüfen wieviele Zahlen oder Sonderzeichen drin sind und so weiter. Gilt dann aber erstmal nur für die register.php und müsste noch in anderen dateien wo man das pw ändern kann gemacht werden.


------------------
www.laszlokorte.de

Zuletzt editiert von SCHIRI ClanSphere Team am 29.04.2009 um 15:52 Uhr (1x Editiert)
Inaktiv
|
MrMagic
Thread-Ersteller


Rock the board




Herkunft: Winsen/Luhe
Beiträge: 83
# Antwort: 9 - 29.04.2009 um 16:02 Uhr
Hmm. sollte ich das mal als Wunsch oder als Bug in den Bugtracker eintragen ?

Versteht mich nicht falsch, ich möchte nur meine Sicherheit und besonders die der Clanspere Nutzer erhöhen.

Hinterher will es niemand gewesen sein. Der ein unsicheres PW genutzt hat !

Und wer hat die Arbeit dann wieder ? Der ADMIN !



------------------


Inaktiv
|
SCHIRI ClanSphere Team


Weltmeister



Herkunft: Hamburg
Beiträge: 5299
# Antwort: 10 - 29.04.2009 um 16:13 Uhr
Wunsch, denn ein Fehler ist etwas was nicht funktioniert wie gewollt, aber die Anzeige funktioniert ja

Das Passwort soll ja den User schützen und nicht den Admin. Wenn ein Orga ein dummes Passwort gewählt hat und die Seite dadurch schaden nimmt, bist du ja schuld, dass du ihm Orgarechte gegeben hast ohne sein Passwort zu kontrollieren.


------------------
www.laszlokorte.de

Inaktiv
|
MrMagic
Thread-Ersteller


Rock the board




Herkunft: Winsen/Luhe
Beiträge: 83
# Antwort: 11 - 29.04.2009 um 20:44 Uhr
Nun geht es doch über in eine Diskussion mi Vorschlägen.

Schiri ich muß dir widersprechen. Ich kann kein Passwort kontrollieren ! Und das ist ja auch so gewohlt.
Somit ist genau das das Problem ! Ich kann nur sagen nimm ein 8 stelliges und am besten noch mit Ziffern.! Aber kontrollieren kann ich es nich.

Zumindest sind aus meiner Sicht " 4 " Zeichen absolut nicht sicher und ungenügend.

Oder warum wird bei generieren eines neuen Passwort aus der Verwaltung 8 Stellen vorgegeben > 4 würden ja reichen wenn ich den Aussagen hier folge.

Desweiteren möchte ich auf andere CMS hinweisen die diese Option bieten.

Danke für die Vorschläge ändern der Dateien, nur wenn ich hinterher wieder mit PW ändern auf 4 Buchstaben stellen kann, ist es nur ungenügend.

Darum meine bitte diesese zu ändern. Da es schon um "Sicherheit geht"


------------------


Inaktiv
|
SCHIRI ClanSphere Team


Weltmeister



Herkunft: Hamburg
Beiträge: 5299
# Antwort: 12 - 29.04.2009 um 21:33 Uhr
ja ich denke wir haben deinen WUnsch zur kenntniss genommen.
Dass man im Adminmenü Passwort-Bedinungen einstellen kann ist ja auch ne gute Idee.

Die Änderungen kannst du natürlich auch in der Datei zum PW ändern vornehmen.

Kontrollieren kannst du das schon indem du den Member dem du Orga gibst anschreibst und ihm drum bittest ein sicheres PW zu nehmen, wenn ein User trotzdem ein 4stelliges PW wählt ist das ja mutwillige gefährdung der Sicherheit.
Du kannst durch so einen Passwortkontrolle nicht die Sicherheit des Systems gewährleisten. Also ist eine fehlende Passwort keine SIcherheitslücke.


------------------
www.laszlokorte.de

Inaktiv
|
MrMagic
Thread-Ersteller


Rock the board




Herkunft: Winsen/Luhe
Beiträge: 83
# Antwort: 13 - 29.04.2009 um 22:31 Uhr
29.04.2009 um 21:33 Uhr - SCHIRI:

Die Änderungen kannst du natürlich auch in der Datei zum PW ändern vornehmen.


Welche Datei ist das ?

Meine Idee jetzt dazu : Benutzer meldet sich an ! Ich schalte ihn als Orga/ Admin frei und sende Ihm ein neues Passwort ( 8 Zeichen automatisch). Und er darf nur noch ein mit 8 Zeichen auswählen. Beim ändern.

Aber wir drehen uns im Kreis, besser wäre eine komplette Änderung mit Sicherheitstufen auswahl


------------------


Zuletzt editiert von MrMagic am 29.04.2009 um 22:32 Uhr (1x Editiert)
Inaktiv
|
SCHIRI ClanSphere Team


Weltmeister



Herkunft: Hamburg
Beiträge: 5299
# Antwort: 14 - 29.04.2009 um 22:34 Uhr
mods/users/password.php

Ja die Änderung wird es villeicht auch geben, aber eben nicht jetzt und wenn es für dich so dringend ist, dann musst du es halt selbst machen. Ja wir fangen an uns im Kreis zu drehen...


------------------
www.laszlokorte.de

Inaktiv
|
easyspeedy


Try to beat me




Herkunft: Bremen
Beiträge: 142
# Antwort: 15 - 24.10.2010 um 18:32 Uhr
Hallo,

seit dem update auf v2010 geht die Aufklapp- und Zuklappfunktion bei mir nicht mehr. UND NUN!

Mfg


Inaktiv
|
sgraewe ClanSphere Team

Supporter
Supporter




Beiträge: 6116
# Antwort: 16 - 24.10.2010 um 18:51 Uhr
kp, freuen wir uns alle?

Wie wäre es mal mit nen paar infos?
Wo geht sie nicht mehr? Link zur Seite?


Inaktiv
|
Fr33z3m4n ClanSphere Team


Medal of Honor




Herkunft: Hamm
Beiträge: 11094
# Antwort: 17 - 26.10.2010 um 14:35 Uhr
kp, freuen wir uns alle?

Ich glaub Speedy freut sich derzeit besonders darüber ^^

@easyspeedy ich geh mal davon aus, dass hier die JS Funktion nicht das hergibt, was sie soll.
Aber ein Link zur Seite wo der Fehler auftritt, wäre immer sehr hilfreich.


------------------
mfg
Patrick "Fr33z3m4n" Jaskulski

Antoine de Saint-Exupéry: Wenn Du ein Schiff bauen willst, so trommle nicht Männer zusammen, um Holz zu beschaffen, Aufgaben zu verteilen, sondern lehre die Männer die Sehnsucht nach dem endlosen weiten Meer.

Inaktiv
|
1a Schnitzel


Going for pro





Beiträge: 518
# Antwort: 18 - 26.10.2010 um 17:36 Uhr
Hallo easyspeedy,

liegt an folgendes:
<script type="text/javascript" src="/templates/cs-daddeln/mootools.svn.js"></script>
<script type="text/javascript" src="/templates/cs-daddeln/mootools.js"></script>

Verträgt sich halt nicht mit der Klappfunktion der Memberansicht bzw. mit mootools.


Zuletzt editiert von 1a Schnitzel am 26.10.2010 um 17:42 Uhr (1x Editiert)
Inaktiv
|
reVerB


Geekboy




Beiträge: 1237
# Antwort: 19 - 26.10.2010 um 19:23 Uhr
Ahhh und ich dachte schon mein Browser hat automatisch beim lesen den Thread gewechselt ^^

Und alle steigen drauf ein XD


Inaktiv
|
easyspeedy


Try to beat me




Herkunft: Bremen
Beiträge: 142
# Antwort: 20 - 30.10.2010 um 16:26 Uhr
Asso, ja schade. Kann man da nichts machen irgendwie. Und sorry wegen link vergessen

Mfg
- easyspeedy -


Inaktiv
|
Antworten: 22
Seite [1] 2 >


Sie müssen sich registrieren, um zu antworten.


ClanSphere Project - Mailus - Imprint - Disclaimer - Scriptinfo