Ankündigung WoltLab Suite 3.0

  • War nicht aggressiv gemeint nur wenn du von einer Sicherheitslücke schreibst dann solltest auch sagen was genau.


    Über den SessionHandler kann man Remote ohne Auth einen WCF als Password-Hash-Oracle (Brute-Force) verwenden. Da dies weder durch ein Captcha geschützt, noch protokolliert, noch nach x-Versuchen unterbunden wird kann dies mit einem simplen Skript ausgeführt werden. (Sogar von der gleichen IP). Besser?


    Zitat

    (oder eben WL nochmal drauf hinweisen.
    Denn hier darüber zu meckern hilft nicht sondern nur bei WL


    Die lesen hier doch mit :) und habe ja bereits zwei mal drauf hingewiesen. Das erste mal vor glaub 18? Monaten in einer Diskussion mit Alexander Ebert bzgl. des DoppelHashings und das das der erste Hash im Cookie gespeichert wird. Den Hinweis hat er damals aber augenscheinlich nicht zur Kentniss genommen, deswegen die zweite Meldung vor 12 Monaten.


    Das hier ist keine Meldung sondern nur meine persönliche Meinung, dass ich es schade finde mehr auch nicht :)

  • @Lexa
    Vielleiht was für dich/euch?




    Das hier ist keine Meldung sondern nur meine persönliche Meinung, dass ich es schade finde mehr auch nicht

    Ich weiß nicht wieso WL das nicht behebt, nur wenn es wirklich eine Sicherheitslücke gäbe, die auch bekannt ist glaube ich das Alex die stopfen würde.


    Vielleicht weiß @SoftCreatR ja auch was darüber?

  • Es sind uns derzeit keine Sicherheitslücken in unseren Produkten bekannt.

    Wurde vor (10-)12 Monaten gemeldet und von @SoftCreatR auf moderiert gestellt. Vllt. hilft das eurem Gedächtnis :)
    Edit: war in der Nacht zw. 17.08.2015 und 18.08.2015 :D also um 2 Monate verschätzt :0

  • Bruteforce ist bei 64^53 Möglichkeiten eher kein wirkliches Problem. Dennoch wird es Änderungen geben. Soweit ich mich erinnern kann, sollte HMAC zum Einsatz kommen. Zumindest war das damals der Plan. Ich glaube, mittlerweile gibt es andere Ansätze. Aber auf dem neuesten Stand bin ich da nicht.

  • DerEine ...


    Bin ja mal gespannt, wann du fertig bist, mit den ständigen, öffentlichen Versuchen den Leuten von woltlab ans Bein zu pissen.... :sleeping:



    Was fällt dir als nächstes ein? Dass eigentlich du die Software gecodet hast und WL das als ihr Eigentum ausgibt? xD

  • Bruteforce ist bei 64^53 Möglichkeiten eher kein wirkliches Problem. Dennoch wird es Änderungen geben. Soweit ich mich erinnern kann, kommt HMAC zum Einsatz. Zumindest war das damals der Plan.

    Danke SoftCreatR es freut mich zu hören, dass daran gearbeitet wird. Wird das nur im 3.0 oder auch im 2.x-Branch angepasst?


    Man muss keine 64^53 Möglichkeiten ausprobieren, wenn man weiß was man tut, aber natürlich ist Bruce-Force aufwendig, aber dass es nicht gestoppt wird (und tut mir Leid das zu unterbinden wäre, wie wir beide wissen, trivial) zu Mal wenn dieser Fall eintritt er *immer* böswilliger Natur ist. Die BCrypt Cost von '08' ist auf einem 0815 Root auch keine wirkliche Zeithürde. Erhöht man die Cost aber, kann man die Stelle als effektiven DOS Angriffspunkt missbrauchen, sollte man niemals außer Acht lassen.


    Aber egal wie 'unwahrscheinlich' BruteForce auch sein mag, bleibt es per Definition ein Sicherheitsproblem, da sind wir uns aber einig oder? :)


    Außerdem sollte man nicht außer Acht lassen, dass es stochastisch betrachtet genauso Wahrscheinlich ist, dass man genau 64^53 Versuche braucht oder nur genau 64^1 Versuch braucht um das Admin Passwort zu knacken. Ist dann für den betroffenen Admin unschön, vorallem wenn es hätte verhindert werden können. Und man vergesse niemals Murphy's law :D !


    @Bibini netter Versuch :)