VARNING - Läs detta, byt ditt lösenord

i regel lagras lösenorden krypterade i md5, men består lösenordet bara av ett ord så kan man ofta köra en lookup på det eller liknande. detta är i teorin möjligt för admins på vissa forumtyper,m som tex phpbb. men om jag minns rätt så funkar det inte lika lätt i tex vbulletin då de använder sig av "salts" för att komplicera satsen som ska krypteras.

OBS! Kom ihåg att underätta mods el admin om ni får mail om att nån försökt ta sig in med ert användarnamn.

Det kan inte vara så att det finns modifierade versioner av phpBB som lämnar ut ens lösen till admin istället för att kryptera det?? phpBB är ju open source, så hackade versioner är ju ingen omöjlighet...

det finns nog sånt också, ja. har sett nån screenshot nån gång på phpbbs support från någon som hade alla lösord snyggt upprade i en egen kolumn i sitt forums medlemslista.

Jag har ett privat forum och har medelgoda kunskaper om php, det tog mig 5 minuter att krångla till så att lösen inte krypteras innan det stoppas in i databasen där, sen var man tvungen att ändra i loginfilen också så att lösenordet man skrev in inte krypteras innan det kollas mot det i databasen.

Då ska det nämnas att jag inte alls var speciellt säker på vad jag gjorde när jag satte igång, jag hade en aning om vad som rimligtvis borde fungera och testade det, det funkade.

Det krävdes sammanlagt fem ändringar i två olika php-filer.

Problemet med opensource antar jag...

Jo, men samtidigt fördelen, för så fort en sån här läcka blir känd brukar det ta ungefär fem millisekunder innan nån av dessa hackers (i den ursprungliga meningen!) fixat en patch eller liknande.

Problemet är inte opensource, problemet är vem man väljer att lita på. Jag litar på min bank att hålla mina pengar i tryggt förvar. Jag litar på admin och flashback med dess moderatorer att mitt lösenord inte sprids vind för våg.

Att lösenordet kanske är krypterat och snyggt när det sänds mellan min dator och flashback det är en sak. Men förr eller senare måste det jämföras med det som finns i databasen. Då hjälper varken open eller closed source. Då hjälper endast att man litar på den sida där lösenordet hamnar. Och i detta fall litar jag flashback (så naiv är jag) men inte på belowsurface.

och det borde väl iofs inte vara så svårt för att ändra i "stängd" programvara som vbulletin heller då man ju lätt kan ändra i php-filerna även där?

Jag skulle gissa:

FB-medlem reggar sig på deras forum>>dom får kännedom om dennes mailadress>>dom går in på hotmail och svarar på "har du glömt till lösenord-frågan" (den brukar vara ganska enkel)>> Kommer in på mailen och skickar sen en påminnelse av lösenordet här på FB.

Eller

Känns ganska ogenomtänkt

Jag tror inte jag hade vågat mig på en sån grej mot Flashback, särskillt inte när det finns folk här som vet vilka dom är, hur dom ser ut och vart dom bor. Dom kanske har missat att långt ifrån alla användare här är harmlösa lounge-tramasare?

Tydligen inte.

Alltså det är ju inte en läcka i den bemärkelsen, det går nog inte att göra så att ingen kan gå in och ändra saker och ting till sin fördel, även om det är med tvivelaktiga avsikter. Då är det ju inte opensource längre.

Enda jag gjorde var att ändra md5() krypteringarna så att de inte utfördes i registreringsfilen och inloggningsfilen, när man ändrar lösen via sin profil så körs det i samma fil som registreringen så det får man på köpet.

Nu nämnde någon att det var mer avancerad kryptering i vBulletin, det har jag visserligen ingen koll på, men om det stämmer så kanske det är ett alternativ för phpbb. Men den huvudsakliga frågan man ska ställa sig är om man litar på forumet man reggar sig på. Vad gäller FB här så är den ni behöver lita på ingen annan än admin och root, det finns inga mods som har behörigheter att grejja med FB:s version av vBulletin.

Jag kommer iaf vara väldigt försiktig nästa gång jag reggar mig på ett phpbbforum, unikt lösen är det man bör se till att ha.

Edit: Glömde root.