UBB.Developers Forums UBB.classic V6.4 - 6.7 Modifications International Support PWD-Cookie...

Hallo zusammen,

warum wird denn im Cookie das Passwort uncodiert abgelegt? es beansprucht sicherlich kaum CPU-Zeit und das PWD zu codieren und codiert zu handeln. außerdem hätte das noch den Vorteil, das fremde über den Cookie nicht alle Userdaten bekommen können.


---
Babel Fish Translations:
Hello together,

why in the Cookie is the password uncoded stored? it stressed surely hardly CPU time and the PWD to code and coded concern additionally would have the advantage, which all user data other over the Cookie cannot get.




Grüße aus FFM / Greetings from FFM
joking

[ August 12, 2001: Message edited by: joking-down ]

Da gab es bei Infopop schon eine Diskussion drüber schau sie dir mal an

http://ubbforums.infopop.com/cgi-bin/ultimatebb.cgi?ubb=get_topic&f=26&t=000232

hab den thread grad gelesen...

da wird etwas viel drumherumgeredet...
ich weiß nicht, wie viel CPU-Zyklen eine md5-Codierung braucht (max. 13 Zeichen), aber ich habs bei mir eingebaut und bin bis jetzt noch auf keinere größeren probleme gestoßen aber bis jetzt hab ich das ganze nur lokal auf einem Win32 System am laufen.


was sagt infopop usa zu dem problem PWD-Cookie ??



Grüße aus FFM
joking

Ich glaube für die stellt sich die Frage nicht.
Für mich ist die Frage, kommst DU an mein Cookie ?

ich selbst wüßte nicht wie das gehen soll...
aber ich bin auch nicht der internet freak, der fast alles auslesen kann. aber wer weiß schon, was im IE alles für lücken drin sind



Grüße aus FFM
joking

[ August 12, 2001: Message edited by: joking-down ]

ich finde es eine riesen sauerei das es ein soo grosses sicherheitsloch gibt !!!!

am wochenende wurde unser board gehackt, es wurden ueber 6000 beitraege und ueber 400 useraccounts geloescht !!!!

ich habe jetzt eine menge arbeit die ganzen daten wieder zurueckzusichern, dann kommt noch die downtime von 2 tagen dazu..

wenn ich mir jetzt ueberlege das der hacker jederzeit wieder zuschlagen kann...

echt spitze!

Hallo Fersy,

das ist ja echt ne sauerei. als erstes würde ich an deiner stelle alle admin-PWDs ändern.

es ist relativ einfach den code so zu ändern, das alle PDW-Daten codiert abgelegt werden. was du dann berücksichtigen solltest ist, das du bei "lost PWD" dann immer ein neues PWD vergeben mußt.
in der V5 mußt du zusätzlich noch alle PWD-Abfragen so modifizieren, das diese abfragen so wie in der V6 gehandelt werden.



Grüße aus FFM
joking





BTW:
An dieser Stelle muss ich einfach einen kleinen Spruch loswerden!

Backup ist das Gefühl, das dir kalt über den Rücken läuft wenn du mal wieder keines gemacht hast!

ich kann imo gar nix aendern da nich ein einziger account mehr vorhanden ist - komme also nicht mal als admin drauf...

muss jetzt erstmal abwarten bis mein provider in amiland das backup draufgespielt hat...

echt scheisse das ganze...

wenn alles wieder da ist, sichere das ganze doch auf deinen rechner... dann bist du nicht ganz vom provider abhängig.


Grüße aus FFM
joking

nene, ftp zugang haben die nicht gehabt.

die sind ueber den admin account reingekommen und haben nach und nach alle foren und beitraege geloescht und zum schluss alle userdaten...

gibt es eigenlich eine logdatei vom board wo ich sehen kann wer sich eingeloggt hat ????