Sicherheitspaket für wBB 2.3

Dieses Thema im Forum "Tutorials" wurde erstellt von rellek, 17 Mai 2009.

  1. rellek

    rellek relativ sensationell Mitarbeiter

    Für das wBB2 habe ich vor langer Zeit mal eine Sammlung von Tipps veröffentlicht, die vor allem Sicherheitsprobleme behebt, die nicht in direktem Zusammenhang mit der Software selbst stehen. Und dieses Paket möchte ich euch hier zur Verfügung stellen.

    Ist zwar nicht getestet, sollte aber ggf. für alle wBBs ab 2.1 funktionieren (2.0 geht nicht). Für 2.1 und 2.2 solltet ihr aber alle Punkte der Anleitung ausführen, weil m.W.n. nichts durch ein Update wegfällt. Dennoch wäre es keine ganz schlechte Idee, auf 2.3.6pl2 bzw. aufs 3er zu aktualisieren.

    ACHTUNG!
    Geschrieben wurde das Paket fürs wBB 2.3.4! Für neuere Versionen - und ihr solltet wenn dann UNBEDINGT die 2.3.6pl2 einsetzen! - siehe weiter unten!

    Was ist im Paket enthalten?
    Dieses Paket ist eine Schritt-für-Schritt-Anleitung, wie man sein Board einigermaßen sicher bekommt - es werden einige Schutzmaßnahmen vorgenommen.
    Im Einzelnen wäre dies:
    • Update auf die aktuellste Bugfix-Version
    • Einbinden von CrackerTracker (cTracker) (Schutz vor SQL-Injections etc durch manipulierte Adresszeile)
    • Internet-Explorer-Benutzer mit Admin-Rechten aussperren (betrifft KEINE User!)
    • Installation eines Cookie-Hacks, der zusätzlich noch die letzte Aktivität speichert
    • Schließung der XSS-"Lücke" in der class_db_mysql.php
    • Avatare auf Script-Inhalt prüfen
    • Dateianhänge auf Script-Inhalt prüfen
    • Alle hochgeladenen Dateien auf Script-Inhalt prüfen
    • ACP mit htaccess-Login sichern
    • Brute-Force Schutz fürs Login-System (bei 5 falschen Logins wird IP für 24h gesperrt, bei 5 falschen Logins aufs ACP wird die IP ganz gebannt)
    Die Anleitung sollte komplett und in Ruhe abgearbeitet werden!
    Alle Punkte sind natürlich optional, aber es wird empfohlen, alle Punkte auch wirklich zu befolgen. Beispielsweise für den Internet Explorer kann nur Microsoft selber ein Patch entwickeln - das kann man nicht anders umgehen.

    ----------------------------------------

    Für das wBB 2.3.6 pl2 ist Folgendes zu beachten:
    • Punkt 1
      ist immer noch aktuell. Links zu Changelogs gehen nicht mehr... aktuelle findet ihr hier: http://www.woltlab.de/forum/index.php?page=Thread&threadID=123771
    • Punkt 2
      ist auch noch aktuell.
    • Punkt 3
      geht ebenfalls noch so. Wobei im wBB inzwischen was drin ist, sodass gefakte Bilder keine Probleme mehr machen sollten. Admins sollten trotzdem einen anderen Browser benutzen.
      --> Das bezieht sich auf den Internet Explorer bis inkl. 7. Im IE8 ist das behoben. Also nehmt entweder trotzdem keinen IE (diese Code-Stellen einbauen) oder sorgt dafür, dass euer Team den IE8 verwendet, wenns unbedingt der IE sein muss (dann nicht einbauen). IE8 gibts für alle noch supporteten Windows-Versionen (also ab XP), daher gibts keine rationale Ausrede, etwas Älteres zu nutzen!
    • Punkt 4
      ist auch noch aktuell
    • Punkt 5
      kann ab 2.3.5 (oder wars 2.3.6?) weggelassen werden, weil bereits standardmäßig integriert.
    • Punkt 6
      ist ebenso mittlerweile eine serienmäßige Funktion
    • Punkt 7
      ist soweit wie ich weiß noch aktuell. Ich habe aber ehrlich gesagt ein wenig die Übersicht verloren, ob es hier irgendwie zu Problemen kam... Tendenziell glaub ich aber nicht.
    • Punkt 8
      ist aktuell und sollte unbedingt gemacht werden
    • Punkt 9
      ist auch noch aktuell.


    UPDATES:
    - 16.06.2009: Attachment-Prüfung auf Code: Es werden nur noch Bilder auf Code-Inhalt geprüft.
     

    Anhänge:

Diese Seite empfehlen

  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deinem Erleben anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden