MyBB.de Forum

Hallo,

Uns hat ein User auf ein Sicherheitsproblem aufmerksam gemacht, welches sich folgendermaßen äußert:

Wir wollen, daß alle sehen können wer grad online ist! Unter "wer ist online" gibt's dann auch noch eine
Zusatzansicht "ganze Liste anzeigen"!

Wenn man diese Liste aufruft dann kann man dort über diesen Link genau in dieses Forum springen,
wo sich derjenige grad befindet. Dies erfolgt ohne jegliche Sicherheitsprüfung, d.h. selbst "guests"
können dann dorthin springen, wo sich grad Administratoren aufhalten und nur die Administratoren
auch eine Berechtigung hin haben!

Wie kann man das machen, daß dort auch eine Sicherheitsprüfung erfolgt  und nur jene auch dorthin
springen können, die aufgrund der Benutzergruppe auch die Rechte für dort haben?

Leider hilft es nicht diesen Zusatzlink "ganze Liste anzeigen" rauszunehmen, da man auch über
"forumsurl/online.php" direkt auch auf diese Lieste kommt!


lg und thx im voraus für eure Hilfe!

Die Überprüfung findet statt. Du / Ihr werdet mit grosser Sicherheit falsche Rechte den Gruppen gegeben haben, sodass diese Zugriff auf Seiten erhalten, wo sie keine haben sollten.

Ok -danke erstmal! Wir sind 2 Admins, da weiß der eine Koch manchmal nicht, wieviel Salz der andere schon in die Suppe getan hat! Schauen uns die ganzen Berechtigungen nochmal genau durch.

lg

Ja macht das bitte. Vorallem die Gastgruppe unter die Lupe nehmen.

Wir haben gesehen, daß die functions.php verändert war und haben die Originaldatei reingespielt - jetzt paßt die Prüfung auch bei Links wieder!
Gibt's da noch irgendwelche bekannten Gründe, wodurch die functions.php verändert worden sein könnte?

Wenn es nicht durch euch verändert wurde und das die aktuellste war, solltet ihr euer FTP Konto ein neues PW gönnen, denn das könnte das Einfallstor sein. Ein FTP Client sollte immer von der Herstellerseite bezogen werden und nicht von dubiosen Seiten.

Wir denken, den Übeltäter entlarvt zu haben! Es war ein Plugin "AbsoluteTime1.8.2" welches da die functions.php manipuliert! Ist für das setzen der Zeit auf "absolut-Time" noch ein anderes ZUVERLÄSSIGES
plugin bekannt?

Hmm das ist von waldo. Denke aber nicht das es ein Sicherheitsrisiko darstellt. Was als zusätzliches Plugin dabei sein muss ist das Plugin "PluginLibrary", welches änderungen an den Files vornimmt.

Dennoch denke ich nicht, dass dies die Ursache war / ist.

Wie sieht es mit den Rechten der Gruppe(n) aus, sind diese richtig gesetzt ?

Ja - wir haben es mehrfach getestet! Wenn wir das Plugin deinstallieren paßt das functions.php wieder und das Sicherheitsproblem ist weg. Sobald wir das Plugin installieren und aktivieren, ist das Problem wieder da und die Leute bekommen alle Links angezeigt und können über diese in Foren eindringen, wo sie sonst keine Berechtigung haben! Zusätzlich erkenne wir, daß das functions.php verändert wurde!

Installiert hab ich für das Plugin nur das "absolutetime.php" und die 3 Language-Files installiert!

lg

Ich habe es mir eben auch Local installiert samt PluginLibrary. Gastgruppe alle Rechte entzogen um auf ein Thema / Forum oder Beitrag zugreifen zu können. Mit 2ten Browser als Gast in die Onlinliste um zu schaun wo sich der Admin aufhält und was er macht. Admin sitzt in einen Thema welches für Gäste unzugänglich ist.

Gast sieht nur in der Onlineliste, das der Admin ein Thema liest, kommt aber nicht darein.

Das heisst, ich kann den Fehler nicht nachvollziehen.