MyBB.de Forum

Normale Version: Sicherheitsstandards Mybb
Du siehst gerade eine vereinfachte Darstellung unserer Inhalte. Normale Ansicht mit richtiger Formatierung.
Seiten: 1 2 3
Hallo,

immer wieder liest man von Hackerangriffen und unzureichenden Sicherheitsvorkehrungen, so dass es zu Datenlecks bei den Nutzerdaten kommt, wie z.B. hier beim Verlag DuMont:

http://www.welt.de/wirtschaft/article154...-sind.html

Mich würde interessieren, inwieweit vom Mybb die beschriebenen Sicherheitsstandards eingehalten werden. 

Zum Beispiel: "Die Daten sollten nur verschlüsselt abgespeichert werden, die Passwörter sollten zudem gesondert verschlüsselt und gegen einfache Angriffe über ein spezielles Formatverfahren ("salted") gesichert werden."


Kann dazu jemand etwas sagen?
Wenn Du dir mal die Mühe machen solltest und dir die DB Tabelle users ansiehst, sollten alle Fragen diesbezüglich geklärt sein.
MyBB versieht die Passwörter eines User mit einem md5-Hash und ergänzt sie mit einem Salt. Siehe hierzu auch https://crossreference.mybb.de/inc/datah...ource.html

Darüberhinaus kann man an den Ankündigungen neuer MyBB-Versionen erkennen, dass das MyBB-Team immer bemüht ist, Sicherheitsrisiken frühzeitig zu erkennen und zu beseitigen. Insofern sollte MyBB ziemlich sicher sein (so sicher, wie SW halt sein kann). Das bezieht sich aber eben nur auf MyBB.....
Was man sich ggf. an Sicherheitsrisiken einhandelt, in dem man nicht ausreichend gut gecodete Plugins nutzt, ist ein anderes Thema. Hier kann MyBB selbst keine Verantwortung übernehmen und ist auf die Unterstützung der Community angewiesen.
Gut zu wissen, Danke.
MyBB nutzt keine Verschlüsselung und für Passwörter ein einfaches, zufälliges Hash-Salt. Das bewegt sich eher am unteren Ende der Möglichkeiten. Das muss nicht schlecht sein, aber es ist kein Fort Knox. Viel mehr läßt sich bei einer Software die auf einfachen Shared-Hostern laufen soll, auch gar nicht machen.

Bei einer großen Firma mit einer eigenen IT/Softwareentwicklung-Abteilung die kommerzielle Dienste anbietet kann man andere Standards ansetzen als bei einer einfachen Forensoftware mit der Privatpersonen kleine Kaffeekränzchen-Communities zusammenschustern.

Bei Seiten ohne HTTPS wird das Passwort bei jedem Login unverschlüsselt übertragen; sollte jemand den Server hacken und die Datenbank klauen, dann hat er Benutzernamen, E-Mail-Adressen und kann (wenn ers auf einen bestimmten Nutzer abgesehen hat) dessen Passwort bruteforcen. Wer fürs Forum das gleiche Passwort benutzt wie fürs Online-Banking, der ist selbst schuld wenn das Konto nachher leergeräumt ist. Sicherheit liegt primär an jedem selbst.
Das sind doch einige Einschränkungen ... Gibt es Tipps, um die Sicherheit zu erhöhen? Auch, was den Hoster betrifft.
Was den Hoster betrifft:

SSL aktivieren, wenn diese Option zugelassen wird und vielleicht sogar eine Zwangsweiterleitung von HTTP zu HTTPS einrichten. Dann würden auch keine Passwörter mehr in Klartext über die Leitung gehen.

In der PHP-Konfig. lassen sich auch bestimmte Paramater abändern, um potentielle Schwachstellen bzw. Möglichkeiten für Angriffe zu minimieren. Dies ist aber Einstellungssache des Hosters (es sei denn man hat Kontrolle über derartige Serverkonfigurationen).


Was die Forensoftware betrifft:

Die Passwort-Hashes sind prinzipiell recht ordnetlich generiert.
Der Algorhytmus zur Hashwertgenerierung des Passworts liegt natürlich offen zugänglich und ist bekannt. Wenn jemand Zugriff auf die Datenbank bekommt, könnte man mit Bruteforce herangehen, weil man weiß, wie Passwort und Hash zusammen gehören.
Eine weiteres Stück Sicherheit wäre, die Generierung des PW-Hashes im Quelltext abzuändern, z.B. die Reihenfolge der md5()-Verschlüsselungen vertauschen.
Bei einem vorhandenen Bestand an Usern und Passwörtern, kann man die vorhandenen Hashes (gerne auch inkl. Salt) noch ein weiteres Mal hashen und kann man so die bestehenden Passwörter in der DB ohne Probleme weiternutzen.
Auf diese Art weiß zumindest kein Angreifer mehr den benutzten Algorythmus.

Wer es noch sicherer haben will, geht über einen weitern, externen Server und verteilt so die Authentifizierung auf zwei unabhängige Systeme. Hier werden ein paar mehr Eingriffe in den Quelltext nötig sein. Über den Aufwand und Nutzen nachzudenken bleibt jedem selbst überlassen. Wer diese Option allerdings für nötig hält, muss ja schon davon ausgehen, dass das primäre System nicht sicher genug ist Smile

[ExiTuS]
Eine Nachfrage zum genannten Aspekt "SSL aktivieren". Frage ich den Hoster, ob er das einstellen kann oder wie sollte ich dazu am besten vorgehen?
Sofern es nicht Bestandteil deines Webhosting-Tarifs ist, musst du wohl nachfragen, ob es möglich ist und was dein Anbieter dafür verlangt.
Seiten: 1 2 3