phpBB in Version 2.0.19

phpBB ist in der neuen Version 2.0.19 heute erschienen. Neben einigen Bugfixes (hier wurden zwei XSS-Lücken geschlossen und Funktionen erweitert) wurde auch eine neue Funktion implementiert (siehe Changelog), die jedoch rege diskutiert wird: es handelt sich dabei um ein Login-Schutz-Feature auf Account-Ebene zur Erhöhung der Sicherheit gegen fehlerhafte Logins. Im Gegensatz zu einem Schutz auf IP-Ebene wird damit nicht der Angreifer gesperrt (der in der Regel die IP-Adresse nicht ändert), sondern der Benutzer.


// If the last login is more than x minutes ago, then reset the login tries/time
if ($row['user_last_login_try'] && $board_config['login_reset_time'] && $row['user_last_login_try'] < (time() - ($board_config['login_reset_time'] * 60))) { $db->sql_query('UPDATE ' . USERS_TABLE . ' SET user_login_tries = 0, user_last_login_try = 0 WHERE user_id = ' . $row['user_id']);
$row['user_last_login_try'] = $row['user_login_tries'] = 0;
}


// Check to see if user is allowed to login again... if his tries are exceeded
if ($row['user_last_login_try'] && $board_config['login_reset_time'] && $board_config['max_login_attempts'] &&
$row['user_last_login_try'] >= (time() - ($board_config['login_reset_time'] * 60)) && $row['user_login_tries'] >= $board_config['max_login_attempts'])
{
message_die(GENERAL_MESSAGE, sprintf($lang['Login_attempts_exceeded'], $board_config['max_login_attempts'], $board_config['login_reset_time']));
}

Wie man aus dem Code sehen kann, wird keinerlei IP-Check durchgeführt, sondern lediglich der Benutzer getestet. In der Standard-Einstellung von 5 fehlerhaften Logins ist es damit für Hacker / Trolle recht einfach möglich, den Login für reguläre Benutzer für bestimmte Zeit zu blockieren. Damit kann auch recht einfach der Administrator ausgesperrt werden, so dass nicht mal dieser mehr in den Admin-Bereich gelangt, solange die Sperrzeit Gültigkeit hat (es sei denn, er lässt sich automatisch anmelden).

Sehr zweifelhaft, ob sich die phpBB-Entwicker mit dieser Funktion Freunde machen werden. Einen IP-Block halte ich hier für wesentlich sinnvoller. Sicherheit hat zwar einen hohen Stellenwert, wenn aber Benutzer dadurch eher verärgert werden können, ist der Preis bei einem Forum meiner Meinung nach zu hoch.

2 Gedanken zu „phpBB in Version 2.0.19

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.