Security

S

sromberg

Erfahrener Benutzer
#1
#1
Hi,

da ich selbst in der IT Security Branche arbeite, mal einen Tipp für euch.

Schaltet die sql/php Fehlermeldungen aus. Eben ging das Forum nicht und ich konnte die update query sehen inkl. table namen und field namen. Wenn ihr Interesse habt, dass euer Board nicht gehackt wird, dann sollten solche Infos niemals angezeigt werden.
 
der-Frickler

der-Frickler

Fricklomane
#2
#2
Nun ja, Security through obscurity....
Denke die Query kann sich auch jeder so aus dem MyBB Code abschauen.
Wichtiger ist das nicht alte php files mit db connection und passwürtern und anderer Endung irgendwo rumliegen und per web zugreifbar (oder gar per google findbar) sind.
 
Tu154M

Tu154M

Erfahrener Benutzer
#3
#3
Moinsen,

Die Feldnamen und auch die Query sind nun wirklich kein Kunststück rauszubekommen. Die Tabellennamen haben nur ein individuelles Präfix und sind aber ansonsten auch bei jeder MyBB Installation gleich also auch da nichts atemberaubendes.

Wer weiss, was er mit dem kleinen Leck anfangen kann, schafft das auch so. Wer keine Ahnung hat, was die Meldung ihm sagen will sitzt sowieso nur vor der Seite und lädt neu in der Hoffnung, dass sie irgendwann wieder funktioniert.

Lg
 
S

sromberg

Erfahrener Benutzer
#4
#4
Ist klar, dass damit allein die Sicherheit nicht abgedeckt ist. Es geht einzig darum, die Einstiegshürde höher zu legen - je höher, desto mehr Know-how muss man haben.

Und Leute mit viel know-how haben eh kein Interesse an fpv-community Foren - das ist also ein schwaches Argument wenn es trotzdem offen bleibt für scripts und damit Script-Kiddies.

Aber gut, ist eure Sache. Solange nix passiert ist man ja sicher :D Alte Security Weisheit ...
 
Um antworten zu können musst du eingeloggt sein.
FPV1

Banggood

Oben Unten