Уважаемые пользователи!
Напоминаем, что с 7 ноября 2020 года phpBB Group прекратила выпуск обновлений для phpBB версии 3.2.
С учетом этого, рекомендуется обновить конференции до версии 3.3.
Сайт официальной русской поддержки phpBB Guru продолжит поддержку phpBB 3.2 до отдельного объявления.

Безопасность форума.

Проблемы с установкой или работой phpBB 3.1.x? Получите помощь здесь!
С 1 июля 2018 года phpBB Group прекращает поддержку phpBB версии 3.1.
Сайт официальной русской поддержки phpBB Guru продолжит поддержку phpBB 3.1 до 1 января 2019 года.
Подробнее: Окончание поддержки phpBB 3.1.
Правила форума
Местная Конституция | Шаблон запроса | Документация (phpBB3) | Мини [FAQ] по phpBB3.1.x | FAQ-3 (phpbb3) | Как задавать вопросы | Как устанавливать расширения

Ваш вопрос может быть удален без объяснения причин, если на него есть ответы по приведённым ссылкам (а вы рискуете получить предупреждение ;) ).
RIMs
phpBB 1.4.1
Сообщения: 43
Стаж: 7 лет 6 месяцев
Благодарил (а): 22 раза
Поблагодарили: 2 раза

Безопасность форума.

Сообщение RIMs »

Привет всем. Проблема такая:
Сначала один юзер написал, что другой юзер считывает инфу о пользователях.
"Вот это смайлик оригинальный размещенный на этом сервере
images/smilies/kolobok_evil.gif
А вот точно такой же смайлик, взятый из сообщения пользователя "не_бывалый" 10 минут назад:
http://70.48.154.3:8080/evil.gif
Каждый кто открывает у себя в браузере страницу с сообщением от "не_бывалый" содержащим подобный подмененный смайлик, отправляет запрос на получение картинки смайлика не на сервер forum.ca, а по адресу 70.48.154.3.
В итоге "не_бывалый" видит ваш АЙПИ, вашу систему, ваш браузер.
Зная кто сейчас находится в теме, кто пишет ответы, именно сейчас, он может соотнести ваш айпи с вашим ником на форуме, и в принципе может организовать атаку по вашему айпи. Прозондировать ваши порты, найти открытые ресурсы и бреши.
"

тот же юзер сказал, что можно делать такие вещи с помощью маленькой картинки фона форума, попросил возможность отключать картинки от поределенных пользователей или картики с внешних ресурсов обводить рамочкой (чтобы сразу видно было). - не думаю, что все это имеет смысл, но вопросов у меня много, связано с тем, что народ огорчился/испугался, оказалось что на форуме есть люди пересекавшиеся на других ресурсах и там у них подобным образом забрались в личну переписку, личное мыло вытащили и даже вроде само мыло вскрыли. Один человек даже решил свалить... испугалась девушка.

В общем вопросы:
1. Чем реально грозят подобные ссылки на чужой сервер? Какая инфа о пользователях может быть получена таким образом? Как закрыть эту дыру?
2. Какие другие проблемы/"дыры" существуют, которые могут навредить пользователям форума, хотя бы теоретически?
3. Какие существуют варианты хакнуть форум?, получить доступ к личным данным юзеров: паролям, переписке? Создавать темы, ответы в топиках в автоматичсеком режиме? Каковы превентивные меры, если они нужны?
4. Персональное любопытство: что это такое за странный адрес сервера 70.48.154.3. Точнее я привык, что в строку забивается доменное имя, а здесь вроде как айпишник. Как такое может быть?
Последний раз редактировалось RIMs 14.03.2015 21:53, всего редактировалось 1 раз.
Аватара пользователя
xisp
phpBB 3.0.0 RC7
Сообщения: 1798
Стаж: 10 лет 2 месяца
Благодарил (а): 101 раз
Поблагодарили: 91 раз
Забанен: Бессрочно

Re: Безопасность форума.

Сообщение xisp »

RIMs писал(а):Каждый кто открывает у себя в браузере страницу с сообщением от "не_бывалый" содержащим подобный подмененный смайлик, отправляет запрос на получение картинки смайлика не на сервер canadovka.ca, а по адресу 70.48.154.3
Не верно. Есть дополнения, режущие запросы на сторонние сервисы.
RIMs писал(а):Чем реально грозят подобные ссылки на чужой сервер? Какая инфа о пользователях может быть получена таким образом?
Ваш юзер был прав:
RIMs писал(а):В итоге "не_бывалый" видит ваш АЙПИ, вашу систему, ваш браузер.
Не больше.
RIMs писал(а):Как закрыть эту дыру?
Запретить вставлять картинки со сторонних сайтов.
RIMs писал(а):Какие существуют варианты хакнуть форум?
Скорее хостинг хакнут. phpBB достаточно надёжный софт.
RIMs писал(а):Как такое может быть?
Легко. Скажу больше- в адресную строку можно вбивать вообще весьма странные вещи, например, айпи версии 6- http://[::ffff:77.88.21.8]/, тот же айпи, только в десятичной форме, типа http://1297618184/, или даже в смеси разных систем счисления, типа http://77.88.0x15.010/ .В общем писец http://0x4d581508/
Последний раз редактировалось xisp 14.03.2015 21:40, всего редактировалось 1 раз.
phpBBex
Anvar
Former team member
Сообщения: 1965
Стаж: 12 лет 4 месяца
Благодарил (а): 57 раз
Поблагодарили: 620 раз

Re: Безопасность форума.

Сообщение Anvar »

RIMs писал(а):что это такое за странный адрес сервера 70.48.154.3.
Это реальный адрес сайта, возможно вашего и вашим смайлом.
Аватара пользователя
xisp
phpBB 3.0.0 RC7
Сообщения: 1798
Стаж: 10 лет 2 месяца
Благодарил (а): 101 раз
Поблагодарили: 91 раз
Забанен: Бессрочно

Re: Безопасность форума.

Сообщение xisp »

Anvar писал(а):возможно вашего и вашим смайлом
Вряд ли. На том сервере картинка в корне, а на форуме в папке смайлов.
phpBBex
RIMs
phpBB 1.4.1
Сообщения: 43
Стаж: 7 лет 6 месяцев
Благодарил (а): 22 раза
Поблагодарили: 2 раза

Re: Безопасность форума.

Сообщение RIMs »

по косточкам можно разобрать этот адрес http://70.48.154.3:8080/evil.gif ?
ну, то есть, положим я захотел таким образом получить инфу. 70.48.154.3 - я так понимаю мой айпишник (моего ноута). что такое :8080 и где тогда лежить гифка смайла? какая прога у меня должна стоять, чтобы я смог получить инфу об айпи, браузере, системе ?

Добавлено спустя 4 минуты 28 секунд:
xisp писал(а):Запретить вставлять картинки со сторонних сайтов.
где эта настройка находится?
Аватара пользователя
rxu
phpBB Guru
phpBB Guru
Сообщения: 15725
Стаж: 16 лет 3 месяца
Откуда: Красноярск
Благодарил (а): 437 раз
Поблагодарили: 1506 раз

Re: Безопасность форума.

Сообщение rxu »

RIMs писал(а):и там у них подобным образом забрались в личну переписку, личное мыло вытащили и даже вроде само мыло вскрыли
Это бред. Так можно проследить судьбу пользователя до кладбища, и сделать вывод, что это из-за картинки на форуме.
Всё перечисленное в первом посте никакого отношения к безопасности phpBB вообще не имеет. А сканировать можно все айпишники по порядку, существующие в сети. Причем тут безопасность форума?
RIMs писал(а):Какие существуют варианты хакнуть форум?
Через сам phpBB - никаких известных на сегодня.
Изображение
Аватара пользователя
Татьяна5
Поддержка
Поддержка
Сообщения: 11262
Стаж: 11 лет
Благодарил (а): 134 раза
Поблагодарили: 2082 раза

Re: Безопасность форума.

Сообщение Татьяна5 »

RIMs писал(а):70.48.154.3 - я так понимаю мой айпишник
Нет, это ip сервера, где находится картинка
RIMs писал(а):что такое :8080
Порт 8080 - http
RIMs писал(а):какая прога у меня должна стоять, чтобы я смог получить инфу об айпи, браузере, системе ?
Нажать на кнопку "информация" в любом сообщении форума. Или в админке в управлении пользователями (ip с регистрации). Или на странице "кто сейчас на конференции".
(ip это не такая уж "конфиденциальная" информация, его можно узнать на счёт раз, но толку от этого практически не будет)
Аватара пользователя
xisp
phpBB 3.0.0 RC7
Сообщения: 1798
Стаж: 10 лет 2 месяца
Благодарил (а): 101 раз
Поблагодарили: 91 раз
Забанен: Бессрочно

Re: Безопасность форума.

Сообщение xisp »

RIMs писал(а):ну, то есть, положим я захотел таким образом получить инфу. 70.48.154.3 - я так понимаю мой айпишник (моего ноута).
Нет. Это айпи адрес атакующего.
RIMs писал(а):что такое :8080
Используемый порт сервера. Обычно это 80, но тут он может быть занят под полезный ресурс.
RIMs писал(а):где тогда лежить гифка смайла?
Где указано, там и лежать. В данном случаи в корневой папке, заданной в вебсервере.
RIMs писал(а): какая прога у меня должна стоять, чтобы я смог получить инфу об айпи, браузере, системе ?
Любой вебсервер с логами.
phpBBex
RIMs
phpBB 1.4.1
Сообщения: 43
Стаж: 7 лет 6 месяцев
Благодарил (а): 22 раза
Поблагодарили: 2 раза

Re: Безопасность форума.

Сообщение RIMs »

спасибо всем!

Добавлено спустя 52 минуты 57 секунд:
есть возможность заблокировать картинки со сторонних сайтов? где эта настройка лежит?
Аватара пользователя
xisp
phpBB 3.0.0 RC7
Сообщения: 1798
Стаж: 10 лет 2 месяца
Благодарил (а): 101 раз
Поблагодарили: 91 раз
Забанен: Бессрочно

Re: Безопасность форума.

Сообщение xisp »

Есть расширение, с настройками: Запрет картинок с фотохостингов - Disallow external images
Загрузку картинок со всяких вконтактов и прочих википедий можно и разрешить.
phpBBex
RIMs
phpBB 1.4.1
Сообщения: 43
Стаж: 7 лет 6 месяцев
Благодарил (а): 22 раза
Поблагодарили: 2 раза

Re: Безопасность форума.

Сообщение RIMs »

для 3.1 есть такое расширение?
Аватара пользователя
xisp
phpBB 3.0.0 RC7
Сообщения: 1798
Стаж: 10 лет 2 месяца
Благодарил (а): 101 раз
Поблагодарили: 91 раз
Забанен: Бессрочно

Re: Безопасность форума.

Сообщение xisp »

xisp писал(а):Есть расширение,
Я прямо так и написал, нэ?
phpBBex
RIMs
phpBB 1.4.1
Сообщения: 43
Стаж: 7 лет 6 месяцев
Благодарил (а): 22 раза
Поблагодарили: 2 раза

Re: Безопасность форума.

Сообщение RIMs »

о черт, прости балбеса :)
Аватара пользователя
Gubkin
phpBB 2.0.16
Сообщения: 1078
Стаж: 7 лет 1 месяц
Благодарил (а): 221 раз
Поблагодарили: 106 раз

Re: Безопасность форума.

Сообщение Gubkin »

Сильно ли влияет на безопасность форума использование BBcode ?
Допустим phpBB [media] — bbcode для вставки аудио, видео, карт и др. опаснее чем просто специализированный код для [youtube]
Ещё один тупой вопрос и будете забанены. К гуру надо приходить подготовленными, а не как Вы. Вчера создали форум с парой постов, а сегодня уже 20 вопросов )))
Аватара пользователя
xisp
phpBB 3.0.0 RC7
Сообщения: 1798
Стаж: 10 лет 2 месяца
Благодарил (а): 101 раз
Поблагодарили: 91 раз
Забанен: Бессрочно

Re: Безопасность форума.

Сообщение xisp »

Gubkin писал(а): Сильно ли влияет на безопасность форума использование BBcode ?
Только если он позволяет вставить то, что не задумывалось.
Gubkin писал(а): Допустим phpBB [media] — bbcode для вставки аудио, видео, карт и др.
Безопасный ббкод.
Gubkin писал(а): специализированный код для [youtube]
Без ббкода ничего не скажешь. А то некоторые предлагают ифрейм использовать с источников в виде вводимого пользователем урла- это большая дыра. А некоторые нормальные.
phpBBex

Вернуться в «Поддержка phpBB 3.1.x»