25. November 2017, 06:49:37
SMFPortal.de

Autor Thema: Captcha bei Login  (Gelesen 1989 mal)

0 Mitglieder und 1 Gast betrachten dieses Thema.

12. Februar 2011, 18:10:39
Gelesen 1989 mal

ranseyer


Moin,

es gibt ja ne Menge Mod's mit Catcha-Funktion wenns um die Registrierung von neuen Usern geht.

Kennt jemand so ne Funktion für SMF 2 RC5 die beim Login aktiv ist ?
Ziel: Login wie gehabt+ ein einfaches Captcha zum lösen...

Nein ich nutze kein SMF 1.08. Dafür gibts diese Funktion: http://custom.simplemachines.org/mods/index.php?mod=277  ;D

CU

12. Februar 2011, 19:15:04
Antwort #1

Parmaster

Administration
Eine digitale Welt zur Neugestaltung des menschlichen Daseins

12. Februar 2011, 19:50:39
Antwort #2

ranseyer


danke für den Tip, ich lese die Doku als ob das nur zu Registrieren nützt. Kennst Du den Mod?

12. Februar 2011, 20:33:06
Antwort #3

Parmaster

Administration
Versteh ich das richtig? Du willst, dass wenn sich die User einloggen, nochmal ein Captcha lösen müssen?

Für was soll das gut sein? Und vor allem würde mich das als User ankotzen.
Eine digitale Welt zur Neugestaltung des menschlichen Daseins

12. Februar 2011, 23:17:13
Antwort #4

ranseyer


Jo will ich zeitweise. Hab da gerade nen Meister der automatisiert Accounts hacken will...

Gegenmaßnahmen laufen mehrere, und ich will eben auch das bei Bedarf machen...

13. Februar 2011, 08:11:12
Antwort #5

TE

Gast
Ich hab das gleiche Problem mit einem SMF 1.1.13 Forum, das ich betreue.. als Gegenmaßnahme hab ich die Logins auf E-Mail umgestellt, geht mit dieser Modifikation:
http://custom.simplemachines.org/mods/index.php?mod=1665
Interessant an der Tatsache ist, dass das Script offensichtlich überwiegend auf Team-Accounts anspringt. Sollte die Mod nicht dauerhaft helfen werde ich mich mal dransetzen und eine entsprechende Modifikation (captcha und diverse Sicherheitsprüfungen beim Login) schreiben.




13. Februar 2011, 09:52:36
Antwort #6

ranseyer


@TE das hört sicht super an.

Wenn ich das richtig verstehe läuft das so: Jeder kann die Userliste ansehen und geziehlt höhere Accounts sehen / auslesen.
Das nützt dem Herr Hacker nix, da Login nur über die eMail Adresse geht, und diese normalerweise unbekannt ist.
-Werde ich testen !

Frage zum Hack:
-Ist es so dass auch bei Dir automatisierte Angriffe rund um die Uhr erfolgen ?
-Angreifer kommt über TOR Exit Nodes aus aller Welt ?
-Es sind speziell Accounts im Focus die mehr als Standard Rechte haben ?
-Hast Du die Userliste öffentlich sichtbar ?

Technische Fragen:
-Kann ein Angreifer unterscheiden zwischen Beitragsbasierten Gruppen und regulären Gruppen der Mitglieder ?
-Kann ein Angreifer automatisch erkennen welche User eine höhere Reguläre Gruppe haben ?

Ed: Der Mod läuft bis jetzt super !
« Letzte Änderung: 13. Februar 2011, 10:40:19 von ranseyer »

13. Februar 2011, 10:46:58
Antwort #7

TE

Gast
ja, bei dem "Hack" ist es in der Tat genau so, wie du es bereits festgestellt hast.. IPs aus aller Welt (TOR), Userliste einsehbar..
Seit ich auf E-Mail-Login umgestellt hab ist übrigens Ruhe  :!.!:

zu deinen technischen Fragen:
ich denke nicht, kenne aber das "Script" nicht.. ich vermute eher, dass das Script den Board-Index absammelt und dort sind ja (zumindest bei "meinem" Forum) überwiegend Team-Mitglieder sichtbar (z.B. als Moderatoren für die Boards eingetragen)..

13. Februar 2011, 18:34:20
Antwort #8

ranseyer


Danke fürs Feedback!

 

Internes

Nutzungsbedingungen Impressum

Wissenswertes

Hilfe Knowledge Base

Nützliches

Downloads Kleinanzeigen Socialmedia