Sicherheit

[blar]

Also einige Sachen gefallen mir gar ned und das sollte schnell ausgebessert werden!

• Beim Login mit Falschen Passwort wird das Falsche ausgegeben. Schlecht wenn grad wer zuschaut und man nur einen Buchstabendreher drin hat. Noch dazu wird das falsche Passwort mitgeloggt.
• MySQL Passwort wird im Adminbereich angezeigt
• Forumadmin sollte auf bestimmte Sachen keinen Zugriff haben (zb MySQL Daten) weil Forumadmin nicht immer auch der Serveradmin is
• Forum teilweise sehr langsam....

Vielleicht wäre eine MultiForum funktion gut. Da ich 2 Foren auf den gleichen Webserver habe musste ich YabbSE 3 mal installieren. ich werd hoffentlich nicht der einzige sein, der sich das wünscht...

[andrea]

Zum Thema Sicherheit kannst Du den FAQ hier lesen:
http://www.yabb.info/community/index.php?board=169;action=display;threadid=10017

Wenn Du mit dem Admin User einen Login Fehler verursacht hast, kannst Du den Error Log Eintrag löschen, dann ist das falsche (oder richtige) Passwort nicht mehr dort sichtbar.

Die Sichtbarkeit der MySql Daten im Admin Menu ist harmlos, vorausgesetzt Du verwendest für den DB Zugriff separate Passwörter (steht auch im FAQ). Nur wenn die Datenbank externen Zugriff erlauben würde, wären diese Passwortdaten kritisch, das ist jedoch bei den meisten Foren nicht der Fall.

Wenn Du einen zweiten Mitglied Admin Rechte gibst,  dann sollte Dir bewusst sein, dass ein zufälliges Verstellen der DB Info noch das harmloseste ist, was er mit Fehlmanipulationen anrichten könnte. Er könnte nämlich auch Mitglieder, ganze Foren inkl. Posts löschen u.v.m. was viel schlimmer wäre...

[Gagus]

Ich habe auf meinem Webserver 3x YaBB SE installiert, aber unter verschiedene Domains und auch habe ich nicht bei jedem die gleich mods drauf, deshalb nehme ich auch in kauf das ich YaBB SE 3x neu installieren musste.

Wenn der MySQL-server saulahm ist ist ja natürlich auch das Forum langsam, das kenne ich nur zu gut bei strato, das war die foren letztens mal 2 Tage kaum zu ereichen

Noch was zur Sicherheit, ich glaub ich habe das schon mal angesprochen, aber eine sicherheitslücke ist auch die Reminder.php, denn da kann jeder das passwort des anderen ändern.... zwar bekommt schon nur das registrierte Mitglied das passwort zugeschickt, aber es gibt genügent Witzbolde im Internet was sich daraus einen spass machen und vielen Leuten die passwörter ändern, ich musste wegen so einem Witzbold die Reminder.php löschen.....

[andrea]

... eine sicherheitslücke ist auch die Reminder.php, denn da kann jeder das passwort des anderen ändern....

Du hast recht das kann lästig sein, wenn es missbraucht wird, aber eine *Sicherheitslücke* ist das *nicht*.

[Gagus]

sicherheitslücke ist es j nicht... aber es ist ziemlich lästig, wie wäre es eigentlich damit, das das Passwort nicht gleich geändert wird, sondern man einen Mail erhält mit einem bestätigungslink und erst danach wird das Password geändert?

[andrea]

sicherheitslücke ist es j nicht... aber es ist ziemlich lästig, wie wäre es eigentlich damit, das das Passwort nicht gleich geändert wird, sondern man einen Mail erhält mit einem bestätigungslink und erst danach wird das Password geändert?

Eben. Da dieser Thread das Thema "Sicherheit" hat, gehört das Thema "Bestätigungslink" als neue Diskussion in einen neuen Thread. Besser ins Mods Forum.