Forum zum WebKicks.De Chatsystem

Webkicks · Webkicks - Team Anmeldedatum: 02.05.2003 Beiträge: 3974

Hallo,

leider kommt es in letzter Zeit immer wieder vor, dass Chats "gehackt" werden. Das liegt aber leider nie an Sicherheitsproblemen des Chats, sondern an sehr schlecht gewählten Passwörter (Username = Passwort, Chatname = Passwort etc.) an geknackten Emailadressen, an Trojanern die den Chattern untergeschoben werden usw.

Wir sind von der Sicherheit der Chats selbst jedoch überzeugt und erlauben daher jedem, unter den nachfolgend genannten Bedingungen zu versuchen einen Chat zu hacken, d.h. unberechtigt an Admin-Rechte zu kommen.

Bedingungen:

1) Es darf nur in eigenen Chats getestet werden, in denen man selbst Hauptadmin ist.
2) Es darf kein Admin-Alias dazu genutzt werden unberechtigt an Admin-Rechte zu kommen.
3) Es dürfen keine Trojaner eingesetzt werden.
4) Es darf nur gezielt nach Sicherheitslücken der Chatsoftware gesucht werden, BruteForce-Attacken oder gar DDoS-Attacken sind strengstens verboten (und würden sofort zur Anzeige führen!).

Falls es jemandem gelingt unter Einhaltung der o.g. Regeln an Adminrechte zu kommen (oder unberechtigterweise Admin-Funktion wie zB die Löschung eines Chats auszuführen) und die Vorgehensweise für uns reproduzierbar ist (d.h. das wir das überprüfen können und es wirklich klappt), erhält der entsprechende User von uns eine Bannerbefreiung für seinen Chat für 2 Jahre.

Im Erfolgsfall bitte an support@webkicks.de wenden.

Kill3r99 · Anmeldedatum: 04.07.2004 Beiträge: 147 Wohnort: Köln

LoooL ... endlich ma legal hacken Sehr glücklich

1alex · Verfasst am: 24.03.2005, 09:27 Titel:

Geil ich geh mal test *gggg*

Zischdings · Webkicks - Team Anmeldedatum: 22.12.2004 Beiträge: 6161

hmm .. möchte keinen eigenen thread aufmachen - hier passts gut rein, finde ich

zum passwort:

leider ist das passwort auf 10 buchstaben/zahlen begrenzt und/oder: leider werden sonderzeichen wie $, § etc. nicht angenommen.

damit könnte man aber passwörter inet-gerecht sicherer machen.

seht ihr da eine möglichkeit WK?

ps:
zum eigentlichen thread: bekomme ich auch bannerbefreiung wenn ich beweise, dass ich es nicht "schaffe"? *liebschau g

Webkicks · Webkicks - Team Anmeldedatum: 02.05.2003 Beiträge: 3974

Mit Sonderzeichen hatten wir teilweise Probleme bei der Verschlüsselung, deshalb ist das leider nicht möglich. Bei 10 Zeichen und ganz grob 26 + 26 + 10 = 62 Möglichkeiten je Zeichen (Groß/Kleinbuchstaben + Ziffern 0-9) gibt es aber immerhin 62^10= 839.299.365.868.340.224 mögliche Passwörter, das ist schon relativ schwer zu knacken Winken

Kill3r99 · Anmeldedatum: 04.07.2004 Beiträge: 147 Wohnort: Köln

Ja find ich auch ...
Wer so dumm ist und das dann noch illegal versucht ... Mit den Augen rollen

Julschy · Anmeldedatum: 21.04.2004 Beiträge: 279 Wohnort: Karlsruhe

Also: hier voll die Sicherheitslücke:

Ich habe bei Benutzer Julschy eingetragen und bei Passwort mein Passwort, und schopn war ich drin, diese Sicherheitslücke sollte unbegngt geschlossen werden *g*

Aber schon gut, 2 Jahre Bannerbefreiung, abe rich hab eh keine Ahnung davon...

berti · Anmeldedatum: 23.05.2004 Beiträge: 167 Wohnort: Bochum

Hallo W(K)...!

Vielleicht schon Off Topic jetz,Aber werden auch die Chats genannt(frei veröffentlicht),die es sozusagen erwüscht hat??? Lachen

Single · Anmeldedatum: 11.03.2004 Beiträge: 35

hallo WK,

wie mir von einem User berichtet wurde,kann jeder User über "User im Überblick" wenn er den Nicknamen anklickt,in die Datenbank einsehen und auch die Einstellungen ändern!

Ich hoffe das soll nicht so sein???

Dadurch kann jeder nach belieben,jedem sein Passwort ändern und der Datenschutz,durch angezeigte E-Mailaddressen,ist auch nicht mehr gewährleistet!!!

Dadurch werden hier auch einige sich immer wundern,warum User sich ned mehr einloggen können!

Bitte das schnellstmöglich zu ändern!!!

Schliesslich sollte das allein den Admins vorbehalten sein,oder???

mfg Single

Zischdings · Webkicks - Team Anmeldedatum: 22.12.2004 Beiträge: 6161

hört sich nicht gut an single, falls man dir keinen bären aufgebunden hat... nur: WO bitte ist "user im überblick"?

1alex · Verfasst am: 30.03.2005, 11:31 Titel:

ja genau. Ich ahb ihr geraten den link wegzumachen. dann sollte das problem erledigt sein.

Zischdings · Webkicks - Team Anmeldedatum: 22.12.2004 Beiträge: 6161

axo sie hat aus dem admin-menü die user-übersicht verlinkt? oh je *gg

1alex · Verfasst am: 30.03.2005, 12:08 Titel:

ja genau nun konnte jder zu den daten kommen aber ich hab es ihr erklärt also hacker brauch tgarnihct erst hingehn *g*

Single · Anmeldedatum: 11.03.2004 Beiträge: 35

der Link User im Überblick funzte vorher auch,ohne das man die Daten einsehen konnte!

das hat nichts mit dem Link zu tun,sondern das man plötzlich,die Usernamen anklicken konnte und dann die Datenbank erschien!

oder meint ihr,ich setzte den so da rein,das jeder die Daten einsehen kann???

hätte mein Mod mir nicht bescheid gegeben,hätte ich es nie bemerkt,da ich es eh nie benutze!

nur für die User,war es wichtig,zu wissen,wer wann online war!

es müsste einfach nur deaktiviert werden,das die Usernamen als Link erscheinen!

Wie im anderen thread,der ja schon geschlossen ist,gewünscht wurde,das man im Admin Menü die User anklicken kann,was ja immer noch nicht geht,wurde wohl auf die Liste mit den Onlinzeiten übertragen!

Was natürlich nun,zu keinem guten Ergebniss führte!

Ich glaube mal,viele User finden es interressanter zu sehen,wer heute schon da war,als ein Admin,der die ganze Zeit in der Datenbank wühlt!

Ich brauche die Nicklinks nicht,den einen oder zwei Namen,kann ich noch per Hand schreiben!

dadurch ist der "User im Überblick" Link,ja unnütz geworden,wenn ich ihn mir nur anschauen kann!

Piratenkapitaen · Anmeldedatum: 27.06.2004 Beiträge: 83