Aber davon ab: Den Wunsch zu äußern, dass die Software auch künftig die Funktionen bieten soll, die sie bereits bietet, finde ich etwas seltsam
Daran muss man sich gerade bei Woltlab aber leider gewöhnen. Ist nicht per se ungewöhnlich bei Software aber hier finde ich das teilweise schon manchmal extrem. Besonders albern wird es, wenn Funktionen in einer neuen Version entfernt werden, nur um sie in der übernächsten Version wieder einzubauen (und als Neuerung zu verkaufen).
Ich hatte mit dem Quatsch nun in 4 von 5 Foren zu kämpfen. Inklusive der Benutzer, die sich dann vor lauter Schreck löschen, weil Sie gedacht haben, die ganze Welt wurde gehackt. In jedem Forum muss erklärt werden: wieso, weshalb, warum. Darauf muss wieder reagiert werden. Und wieso? Wegen einer Funktion, die Schlupflöcher bietet, weil nicht extra abgesichert. Sowas ist ein grober Mangel der Software, der schnellstmöglich behoben werden muss! Die Funktion an sich kann ja bleiben, aber dann bitte mit Captcha und was weiß ich abgesichert.
So ein Blödsinn.
Sowas ist ein grober Mangel der Software, der schnellstmöglich behoben werden muss!
Was kann nun die Software dafür, wenn man als Admin bzw. Seitenbetreiber zu Unvorsichtig ist und eine solche Funktion ungeprüften Benutzern zur Verfügung stellt. Dies war eine der ersten Funktionen, welche in all meinen Seiten nur für solche Gruppen zur Verfügung steht, welche geprüft sind und auch entsprechend, real Namen bekannt sind oder vorliegen. In Seiten, welche ich betreue, ist diese Funktion ebenfalls komplett deaktiviert. Ich sehe hier den Fehler eher in der Administrative der Seiten und weniger bei der Software.
Selbst wenn ich dies nicht so eingestellt hätte, wäre ein Massenspam per Mail von meinem Server eher schwerlich möglich, da ich eine Benachrichtigung erhalte, sobald versucht wird mehr als 50 Mails/Std. von einem Postfach zu versenden. Somit ist ein weiterer Versand von Mails spätestens nach 1 Std. und 50 Mails erledigt.
So ein Blödsinn.
Nicht wirklich. Wenn ich zum 20sten mal erklären muss, warum ne Katrina Analsex ohne Kondom anbietet, kann ich mir besseres in der Freizeit vorstellen. Das wäre an der Stelle einfach vermeidbar gewesen, fertig.
Das wäre an der Stelle einfach vermeidbar gewesen, fertig.
Stimmt, zb. mit durch den Admin gesetzt.
Ich bin immer wieder verwundert, das einige von Hacks Lücken Fehlerhafter Software reden, dabei ist der Grund vor dem Monitor zu finden? Wer ein Forum als Administrator betreibt sollte sich im Grunde auch über Regeln Folgen und Verantwortung bewußt sein.
Bei einigen kommt es mir so vor sie kaufen sich das Forum installieren es lassen es in der Grundeinstellung und kümmern sich danach um nichts mehr. Tritt dann etwas "komisches" auf sind direkt die anderen Schuld?
Versucht man diesen dann den Zusammenhang zu erklären werden hier User als Deppen hingestellt die selbst sogar als Programierer fürs Woltlab Plugins schreiben und ihr Wissen über die Software auf gleichem Level ist wie der der Entwickler.
So läuft es aber nun mal nicht Administrator ist nicht nur ein Titel mit dem man sich schmücken kann......da steckt etwas mehr dahinter.
Aber das nur mal so OffTopic am Rande eingeworfen.
Ich darf kurz auch hier den Hinweis geben:
Spam per PM
Die Diskussion sollte vielleicht hervorbringen, dass entsprechendes Plugin in einer gewissen Form vielleicht Bestandteil des WBB sein könnte, damit genau das nicht so einfach möglich ist.
Ich bin immer wieder verwundert, das einige von Hacks Lücken Fehlerhafter Software reden, dabei ist der Grund vor dem Monitor zu finden? Wer ein Forum als Administrator betreibt sollte sich im Grunde auch über Regeln Folgen und Verantwortung bewußt sein.
Bei einigen kommt es mir so vor sie kaufen sich das Forum installieren es lassen es in der Grundeinstellung und kümmern sich danach um nichts mehr. Tritt dann etwas "komisches" auf sind direkt die anderen Schuld?
Versucht man diesen dann den Zusammenhang zu erklären werden hier User als Deppen hingestellt die selbst sogar als Programierer fürs Woltlab Plugins schreiben und ihr Wissen über die Software auf gleichem Level ist wie der der Entwickler.
So läuft es aber nun mal nicht Administrator ist nicht nur ein Titel mit dem man sich schmücken kann......da steckt etwas mehr dahinter.
Aber das nur mal so OffTopic am Rande eingeworfen.
Ich will da nochmal nachhaken: den Admin als Doof hinzustellen halte ich für zu kurz gedacht. Es geht mir schlicht darum, dass die Mail Funktion automatisiert ausgenutzt werden konnte und DAS kann nicht sein. Wenn so eine Fake Nutzer vielleicht darüber 20 Benutzer manuell eine E-Mail schickt...okay, überschaubar. Wenn die Funktion aber ohne zusätzliche Absicherung seitens der Software von diesem Fake Nutzer automatisiert zum massenhaften Versand (tausender Benutzer!!!) missbraucht wird, ist das nicht fahrlässig vom Administrator, sondern > dem Entwickler. Nur weil das vielleicht paar Jahre keiner bemerkt hat und nun durch Zufall ein findiger Spam Guru in die Hände klatscht, kann es nicht sein, dass alle quieken, der Admin wäre hier schuld. Mit dem Update wurde die Lücke ja nun geschlossen. Ich wollte das bloß richtigstellen.
Nvm, ist mir doch irgendwie zu blöd.
Ich will da nochmal nachhaken: den Admin als Doof hinzustellen halte ich für zu kurz gedacht.
Ich konnte jetzt nicht feststellen, das er dies in seiner Meinung behauptet hat, auch hat er es nicht auf alle bezogen, sondern nur auf einige, jedoch muss ich seiner Meinung beipflichten, manche denken wirklich, dass der Titel Administrator eine Halskette ist, die man sich um den Hals hängt und man glaubt, man wäre es. Selbst die besten Administratoren lernen noch dazu, das Leben ist eine einzige Lehre, jeden Tag lernt man dazu. Aber wie heißt es immer so schön, „Die getroffenen Hunde Bellen!“
Es geht mir schlicht darum, dass die Mail Funktion automatisiert ausgenutzt werden konnte und DAS kann nicht sein. Wenn so eine Fake Nutzer vielleicht darüber 20 Benutzer manuell eine E-Mail schickt...okay, überschaubar.
Dafür sollte man als Admin immer vorauszudenken und weitere Möglichkeiten überdenken, wie man sich vor solchen Angriffen und ungewollten Aktionen schützen kann, man nehme z.b. die Möglichkeit den Mailserver so einzustellen, das pro Std., nur eine begrenzte Anzahl an E-Mails pro Postfach versendet werden können, danach ist der weitere Versand gesperrt, bis dieser wieder freigegeben wird. Sich immer auf andere verlassen ist als Admin eine falsche und etwas sehr fahrlässige Denkweise.
Wenn die Funktion aber ohne zusätzliche Absicherung seitens der Software von diesem Fake Nutzer automatisiert zum massenhaften Versand (tausender Benutzer!!!) missbraucht wird, ist das nicht fahrlässig vom Administrator, sondern > dem Entwickler. Nur weil das vielleicht paar Jahre keiner bemerkt hat und nun durch Zufall ein findiger Spam Guru in die Hände klatscht, kann es nicht sein, dass alle quieken, der Admin wäre hier schuld.
Willkommen im 21. Jahrhundert, es gab und wird mit Sicherheit weitaus größere Unternehmen oder Systeme geben, wo nach Jahren durch findige Cracks irgendwelche Möglichkeiten aufgetan wurden oder werden, die man ausnutzen oder Missbrauchen kann, man sollte immer etwas im Hinterkopf haben, „Nichts, was von Menschen geschaffen, ist zu 100 % sicher, bzw. wird ewig halten“.
Dennoch ist es nicht nur die Schuld vom Entwickler, diesem dann versuchen die ganze Schuld zuzuschieben ist doch etwas lächerlich, denn auch dieser kann erwarten, das ein Kunde und Admin in puncto Sicherheit sein Bestes dazu tut, um seine Seite abzusichern, um solche Risiken zu minimieren. Administrator sein wollen viele, aber sind wir doch mal ehrlich, die wenigsten wissen was sie tun, selbst wenn sie es gelernt haben. Da hilft jetzt alles jammern und heulen nichts, das Kind ist schon in den Brunnen gefallen, also lernt daraus und sichert eure Server noch besser ab um solchen Dingen weitestgehend vorzubeugen.
Wie kann man diese Option in den Benutzerrechten übersehen? Ich meine irgendwann werden sie bearbeitet.
Also ich finde da kann man beide Seiten verstehen, denn einerseits sollte ich natürlich genau prüfen, was ich Benutzern erlaube und was nicht, aber andererseits sollte man auch davon ausgehen können, dass die Funktionen gehärtet sind und nicht so leicht missbraucht werden können. Aber das wird bzw. wurde nachgebessert. Ich denke da kann man einen Haken dahinter machen.
Nachdem derselbe Spambot, um den es auch hier geht, bei mir in der letzten Nacht über 4.000 Spammails verschickt hat, habe ich die Funktion des Mailversands durch User nun auch mal abgeschaltet.
In fast 18 Jahren Forumbetrieb war das der erste Fall, bei dem mehr als eine Handvoll User "bespammt" wurden.
Ich fand die Funktion eigentlich total nützlich. Wenn ich selbst mal im Netz was suche und in einem Forum dann einen User was fragen möchte, ohne mir extra einen Account zuzulegen, so war so ein Feature genau das richtige.
Zudem kann man mich als Admin darüber kontaktieren (wenn kein sonstiges Kontaktformular verfügbar ist).
Daher finde ich es schade, dass die Spammergemeinde mich nun quasi zwingt, das Feature abzuschalten.
Ich will da nochmal nachhaken: den Admin als Doof hinzustellen halte ich für zu kurz gedacht. Es geht mir schlicht darum, dass die Mail Funktion automatisiert ausgenutzt werden konnte und DAS kann nicht sein. Wenn so eine Fake Nutzer vielleicht darüber 20 Benutzer manuell eine E-Mail schickt...okay, überschaubar. Wenn die Funktion aber ohne zusätzliche Absicherung seitens der Software von diesem Fake Nutzer automatisiert zum massenhaften Versand (tausender Benutzer!!!) missbraucht wird, ist das nicht fahrlässig vom Administrator, sondern > dem Entwickler. Nur weil das vielleicht paar Jahre keiner bemerkt hat und nun durch Zufall ein findiger Spam Guru in die Hände klatscht, kann es nicht sein, dass alle quieken, der Admin wäre hier schuld. Mit dem Update wurde die Lücke ja nun geschlossen. Ich wollte das bloß richtigstellen.
Ich bin auch betroffen und muss davon ausgehen, dass viele tausend Emails versendet wurden. Ich habe alleine mehrere hundert Email-Rückmeldungen von Usern, die keine gültige Emailadresse mehr besitzen.
Ich habe die Emailfunktion auch erstmal deaktiviert. Inzwischen haben sich allerdings 2 Mitglieder gemeldet die behaupten, dass die das schon immer selbständig deaktiviert hätten.
Und warum aktiviert man sowas? 
Und warum aktiviert man sowas?
Was eine Frage. Genauso schlau zu fragen, warum man ein Forum betreibt.
Die Frage sollte lauten, warum das überhaupt passieren konnte. Ich sehe klar eine Sicherheitslücke.
Sicherheitslücke
Dann hast du aber eine komische Definition dieses Begriffs. Denn die Sicherheit (von dir und/oder deinen Usern) war zu keinem Zeitpunkt auch nur annähernd gefährdet. Zumal es dir als Betreiber frei stand, die Möglichkeit des Mailversands für deine Benutzer(-Gruppen) einzuschränken. Hast du offensichtlich keinen Gebrauch von gemacht
Don’t have an account yet? Register yourself now and be a part of our community!
