Безопасность форума.

[RIMs]

Привет всем. Проблема такая:
Сначала один юзер написал, что другой юзер считывает инфу о пользователях.
"Вот это смайлик оригинальный размещенный на этом сервере
images/smilies/kolobok_evil.gif
А вот точно такой же смайлик, взятый из сообщения пользователя "не_бывалый" 10 минут назад:
http://70.48.154.3:8080/evil.gif
Каждый кто открывает у себя в браузере страницу с сообщением от "не_бывалый" содержащим подобный подмененный смайлик, отправляет запрос на получение картинки смайлика не на сервер forum.ca, а по адресу 70.48.154.3.
В итоге "не_бывалый" видит ваш АЙПИ, вашу систему, ваш браузер.
Зная кто сейчас находится в теме, кто пишет ответы, именно сейчас, он может соотнести ваш айпи с вашим ником на форуме, и в принципе может организовать атаку по вашему айпи. Прозондировать ваши порты, найти открытые ресурсы и бреши."

тот же юзер сказал, что можно делать такие вещи с помощью маленькой картинки фона форума, попросил возможность отключать картинки от поределенных пользователей или картики с внешних ресурсов обводить рамочкой (чтобы сразу видно было). - не думаю, что все это имеет смысл, но вопросов у меня много, связано с тем, что народ огорчился/испугался, оказалось что на форуме есть люди пересекавшиеся на других ресурсах и там у них подобным образом забрались в личну переписку, личное мыло вытащили и даже вроде само мыло вскрыли. Один человек даже решил свалить... испугалась девушка.

В общем вопросы:
1. Чем реально грозят подобные ссылки на чужой сервер? Какая инфа о пользователях может быть получена таким образом? Как закрыть эту дыру?
2. Какие другие проблемы/"дыры" существуют, которые могут навредить пользователям форума, хотя бы теоретически?
3. Какие существуют варианты хакнуть форум?, получить доступ к личным данным юзеров: паролям, переписке? Создавать темы, ответы в топиках в автоматичсеком режиме? Каковы превентивные меры, если они нужны?
4. Персональное любопытство: что это такое за странный адрес сервера 70.48.154.3. Точнее я привык, что в строку забивается доменное имя, а здесь вроде как айпишник. Как такое может быть?

[xisp]

Каждый кто открывает у себя в браузере страницу с сообщением от "не_бывалый" содержащим подобный подмененный смайлик, отправляет запрос на получение картинки смайлика не на сервер canadovka.ca, а по адресу 70.48.154.3

Не верно. Есть дополнения, режущие запросы на сторонние сервисы.

Чем реально грозят подобные ссылки на чужой сервер? Какая инфа о пользователях может быть получена таким образом?

Ваш юзер был прав:

В итоге "не_бывалый" видит ваш АЙПИ, вашу систему, ваш браузер.

Не больше.

Как закрыть эту дыру?

Запретить вставлять картинки со сторонних сайтов.

Какие существуют варианты хакнуть форум?

Скорее хостинг хакнут. phpBB достаточно надёжный софт.

Как такое может быть?

Легко. Скажу больше- в адресную строку можно вбивать вообще весьма странные вещи, например, айпи версии 6- http://[::ffff:77.88.21.8]/, тот же айпи, только в десятичной форме, типа http://1297618184/, или даже в смеси разных систем счисления, типа http://77.88.0x15.010/ .В общем писец http://0x4d581508/

[Anvar]

что это такое за странный адрес сервера 70.48.154.3.

Это реальный адрес сайта, возможно вашего и вашим смайлом.

[xisp]

возможно вашего и вашим смайлом

Вряд ли. На том сервере картинка в корне, а на форуме в папке смайлов.

[RIMs]

по косточкам можно разобрать этот адрес http://70.48.154.3:8080/evil.gif ?
ну, то есть, положим я захотел таким образом получить инфу. 70.48.154.3 - я так понимаю мой айпишник (моего ноута). что такое :8080 и где тогда лежить гифка смайла? какая прога у меня должна стоять, чтобы я смог получить инфу об айпи, браузере, системе ?

Добавлено спустя 4 минуты 28 секунд:

Запретить вставлять картинки со сторонних сайтов.

где эта настройка находится?

[rxu]

и там у них подобным образом забрались в личну переписку, личное мыло вытащили и даже вроде само мыло вскрыли

Это бред. Так можно проследить судьбу пользователя до кладбища, и сделать вывод, что это из-за картинки на форуме.
Всё перечисленное в первом посте никакого отношения к безопасности phpBB вообще не имеет. А сканировать можно все айпишники по порядку, существующие в сети. Причем тут безопасность форума?

Какие существуют варианты хакнуть форум?

Через сам phpBB - никаких известных на сегодня.

[Татьяна5]

70.48.154.3 - я так понимаю мой айпишник

Нет, это ip сервера, где находится картинка

что такое :8080

Порт 8080 - http

какая прога у меня должна стоять, чтобы я смог получить инфу об айпи, браузере, системе ?

Нажать на кнопку "информация" в любом сообщении форума. Или в админке в управлении пользователями (ip с регистрации). Или на странице "кто сейчас на конференции".
(ip это не такая уж "конфиденциальная" информация, его можно узнать на счёт раз, но толку от этого практически не будет)

[xisp]

ну, то есть, положим я захотел таким образом получить инфу. 70.48.154.3 - я так понимаю мой айпишник (моего ноута).

Нет. Это айпи адрес атакующего.

что такое :8080

Используемый порт сервера. Обычно это 80, но тут он может быть занят под полезный ресурс.

где тогда лежить гифка смайла?

Где указано, там и лежать. В данном случаи в корневой папке, заданной в вебсервере.

какая прога у меня должна стоять, чтобы я смог получить инфу об айпи, браузере, системе ?

Любой вебсервер с логами.

[RIMs]

спасибо всем!

Добавлено спустя 52 минуты 57 секунд:
есть возможность заблокировать картинки со сторонних сайтов? где эта настройка лежит?

[xisp]

Есть расширение, с настройками: Запрет картинок с фотохостингов - Disallow external images
Загрузку картинок со всяких вконтактов и прочих википедий можно и разрешить.

[RIMs]

для 3.1 есть такое расширение?

[xisp]

Есть расширение,

Я прямо так и написал, нэ?

[RIMs]

о черт, прости балбеса

[Gubkin]

Сильно ли влияет на безопасность форума использование BBcode ?
Допустим phpBB [media] — bbcode для вставки аудио, видео, карт и др. опаснее чем просто специализированный код для [youtube]

[xisp]

Сильно ли влияет на безопасность форума использование BBcode ?

Только если он позволяет вставить то, что не задумывалось.

Допустим phpBB [media] — bbcode для вставки аудио, видео, карт и др.

Безопасный ббкод.

специализированный код для [youtube]

Без ббкода ничего не скажешь. А то некоторые предлагают ифрейм использовать с источников в виде вводимого пользователем урла- это большая дыра. А некоторые нормальные.