unbekannte Lücke in phpBB bei angemeldeten Benutzern?

Heise Security berichtet heute darüber, dass ein neuer Bot sich automatisch in phpBB-Foren anmeldet. Dies funktioniert nach Heise jedoch nur, wenn keine eMail-Authentifizierung notwendig ist.

Interessanterweise verhält sich der dadurch eingerichtete Benutzer FuntKlakow erstaunlich ruhig, was einige Betreiber vermuten lässt, dass es für registrierte Benutzer eine neue Sicherheitslücke gibt, deren Ausnutzung nun lediglich abgewartet wird. Der Bot müsste dazu nur noch die gespeicherten Foren ansteuern.

Eine andere Möglichkeit bestünde auch in einer neuen Spam-Strategie, die Links jetzt nicht nur in Blogs, sondern auch in Foren verteilt.
Ob die eMail-Authentifizierung ein Schutz bleibt, ist die eine Frage. Eine entsprechende Lösung kann ja schnell programmiert werden. Aber auch Captchas sind kein wirklicher Schutz, zumal Captchas auch nicht barrierefrei sind. Ein sauberer Schutz ist deshalb wohl nur manuell zu handhaben. Überlegen sollte man sich auf jeden Fall, Links doch nicht generell mit nofollow auszustatten. Dies könnte man in phpBB bei entsprechender Bewertung (z.B. genügend Einträge) dann entfernen lassen.

2 Gedanken zu „unbekannte Lücke in phpBB bei angemeldeten Benutzern?

  1. Nun ja, es gibt einfach nur eine saubere Möglichkeit, Spam zu verhindern: Keinen Anreiz bieten. Genau dafür ist das Attribut gedacht und hierfür sollte es auch verwendet werden. Gute Links werden sich anhand der Bewertung trotzdem durchsetzen. Es ist ja nicht die Rede, das Attribut “blind” einzusetzen.

    Paranoid ist das ganze nur dann, wenn man in eigenen Systemen nicht mit solchen Problemen kämpfen muss.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.