Gibt es einen Hack um die pn's der member zu lesen?

Wozu braucht man einen Hack? pfff....

Außerdem ist diese Frage ein wenig ..... nunja.... ungewöhnlich. Etwas wo "Privat" draufsteht, sollte auch privat bleiben, wenn ich mir so das Briefgeheimnis anschaue.....

schau einfach mal auf vbulletin.org, da gibts so nen hack.

oder über die datenbank, da kannste sie auch lesen

guck mal hier (http://www.vbulletin.org/forum/showthread.php?s=&threadid=32625)

Schumi

Jo..geht entweder über den Hack, den Schumi gelinkt hab oder direkt über die mySQL...

Jacky

Und wer hat den Hack von Euch eingebaut ??

wozu?
was intressierts mich, was sich meine user privat zuschreiben?

falls es mal ein problem gibt und sich jemand über nen andren beschwert schau ich in die db, ansonsten kanns mir doch relativ egal sein was die pmen oder denkt hier wer anders?

Ich sehe das nämlich ähnlich. Es geht niemanden etwas an, private Nachrichten zu lesen, selbst den Admins nicht (IMHO). Wenn sich irgendjemand über jemand anderen beschwert, soll er mir den Anlaß forwarden. Ich schaue selbst nicht in die Datenbank rein.

Ich weiß nicht, wie ich mich fühlen würde, wenn jemand in meinem Privatkram rumschnüffelt. :mad:

öhm, nun ja, hatte diesen Thread schon fast wieder vergessen :)

Also, hier nur mal zu Klarstellung:

Es geht nicht darum die pn's der member unseres boardes zu lesen, denn erstens werden pn's bei uns im board laut statistik nur sehr wenig genutzt, und zweitens könnte ich dies wohl relativ einfach auch anders lösen (mysql, passwort einsetzen etc. ) und bräuchte hier keine dummen fragen stellen :) Nur mal so am Rande erwähnt: Ich lasse mir noch nicht einmal die Passwörter der User anzeigen obwohl ich der einzige mit Zugriff auf's Admin Menü bin...

Vielmehr geht es mir darum dass ich in einem anderen Board sehr aktiv bin und ich dort unter keinen Umständen möchte dass ein gewisser Mod meine pn's liest. Da er keinen Zugriff auf die Datenbank hat, wäre ein hack die einzige Möglichkeit dort Einblick zu nehmen. Bisher bekam ich lediglich die Aussage anderer vbb-Admins, dass es wohl früher mal ging, bei den neueren versionen aber wohl nicht mehr. Umso mehr erstaunt mich nun die klare Antwort dass es einen hack gibt, denn dies ist mir neu...

Nun ja, die Speicherung der pn's habe ich im betreffendem Board auf off gelegt.

Wenn nun einige Schlaumeier meinen ich hätte es nötig private pn's "meines" Forums zu lesen, denen sei gesagt: das Internet bietet spannenderes als ein paar pn's...als Beispiel könnte man diesen Thread hier einfach mal anführen, denn Kommentare wie: "Wozu braucht man einen Hack? pfff.... " oder Ähnliches finde ich weitaus amüsanter (da mir persönlich viel zu scheinheilig) als private nachrichten unserer member zu lesen :D

so long

cappy

Ich habe gerade beim Durchschauen meiner DB erschreckender Weise festgestellt, dass die PN´s wie oben erwähnt im Klartext in der DB gespeichert sind.
Warum bitte schön ist das so? Hat das einen Sinn den ich noch nicht verstehe? Gibt es nicht eine Möglichkeit, diese wie die Passwörter auch verschlüsselt zu speichern?
Wenn meine User mitbekommen, dass die PN´s in Klartext vorhanden sind, drehen bestimmt nicht Wenige davon im Kreis. Also falls jemand eine Lösung hat, wie ich die verschlüsselt in der DB speichern kann, bitte posten.

P.S. an die Mod´s: Werden die PN´s in VB3 immer noch im Klartext gespeichert?

Gruss Robby

die passwörter werden nicht verschlüsselt gespeichert, das ist nur der md5 hash des passwortes.
es wird zwar hier als verschlüsselung verwendet, ist es aber eigentlich nicht.
informationen darüber, wie das genau funktioniert und wie der md5 hash gebildet wird, findet man über google.

md5 ist eine ein-weg-verschlüsselung, es gibt also kein zurück.
der md5 hash lässt keine rückschlüsse auf das original zu, lässt sich also nicht zurückwandeln. deshalb kann man das auch nicht für private nachrichten verwenden.

es funktioniert bei den passwörtern, da hier keine entschlüsselung notwendig ist.

nimm mal an, du registrierst dich in einem forum und wählst dabei das passwort ...ähm... "pogo" (issen schlechtes passwort! ;) ).

beim absenden der registrierung wird jetzt das eingegebene passwort mit md5 *verschlüsselt*.
da würde 096fdeca20dbeb7da725618654720f52 bei rauskommen, so wies dann auch in der datenbank gespeichert wird.
wenn man sich nun im forum einloggen will, tippt man ja wieder sein passwort ein, also "pogo" und dann passiert dasselbe wie bei der registrierung.
es wird der md5 hash des eingegebenen passworts gebildet und mit dem md5 hash in der datenbank verglichen. wenn die identisch sind, dann wurde das passwort korrekt eingegeben.

es ist also zu keinem zeitpunkt eine entschlüsselung notwendig.

die methode wäre für private nachrichten ungeeignet, da man die ja wieder entschlüsseln müsste, damit der empfänger die lesen kann.

welchen sinn macht es private nachrichten zu verschlüsseln?
und mit welcher methode sollte man das tun?
da wäre schon ein größerer aufwand notwendig, aber lohnt sich das? wenn es so private dinge zu besprechen gibt, dann sollte man nicht unbedingt die private nachrichten funktion dafür verwenden.

es wäre viel einfacher, einfach niemandem zugriff aufs admin cp und die datenbank zu geben dem man in dieser hinsicht nicht vertraut.

ansonsten stimme ich dem rest hier aber zu. es heisst private nachrichten - nicht private admin nachrichten.
nur wenn einen admin sowas nicht weiter interessiert, dann kann man ohnehin nicht viel machen, ausser den vielleicht rauszuwerfen.

Vielen Dank Martin für die ausführliche Antwort, hab das Prinzip jetzt so verstanden und hab auch eigentlich persönlich keine Probleme damit. Hab das halt nur per Zufall gemerkt, da ich in der DB selber ja nicht weiter rumlese und als ich meine 2 "Hilfs"-Admin dazu interviewt habe und Ihre Meinung dazu erfragt habe, waren sie doch recht geschockt. Es geht ja nicht nur darum die Daten meiner User zu schützen, sondern die Frage ist ja auch, was machen andere Foren damit? Ich weiss ja selten, wer sich hinter dem Admin eines anderen Forums versteckt, wer weiss was da abgeht ;-)

Aber was Anderes: Du schreibst, der Code ist nicht mehr zu entschlüsseln. Jetzt habe ich aber einige Male den Fall gehabt, dass User Probleme mit dem Forum haben, die sonst noch keiner hatte. Zum Testen und visuellen Verdeutlichen meinerseits logge ich mich dann meistens in den entsprechenden User-Account ein. Jedoch ist es dazu recht lästig den User jedesmal um sein Passwort zu bitten und ihn/sie darauf hinzuweisen dieses später wieder zu ändern. Gibt´s da überhaupt keine Möglichkeit, die Auszulesen bzw. den Code direkt zu nutzen? Vor allem sind auch die User selbst selten erfreut, ihre "Standard"-Passwörter zu ändern.

Gruss Robby, der die Erklärung jetzt mal den Anderen verständlich machen wird ;-)

Das User/Passwort Problem kannst Du nur so umgehen, indem Du zu erst den md5 Hash des Users mit phpMyAdmin aus der Usertabelle speicherst und dem User dann eine neues Passwort gibst, Wenn Du mit Deinen Änderungen/Überprüfungen fertig bist, trägst Du wieder mit phpMyAdmin den alten Hashwert ein.

Eine richtige Verschlüsselung der Privaten Nachrichten ist eigentlich nur mit einem Public Key Verfahren möglich, so wie das auch bei PGP benutzt wird. Die einzige Installation, die ich davon kenne, erfordert jedoch verschiedene zusätzliche Bibliotheken/Module auf dem Server, die normalerweise nicht installiert sind und auch nicht installiert werden, wenn es nicht der eigene Server ist.

Original geschrieben von pogo
Das User/Passwort Problem kannst Du nur so umgehen, indem Du zu erst den md5 Hash des Users mit phpMyAdmin aus der Usertabelle speicherst und dem User dann eine neues Passwort gibst, Wenn Du mit Deinen Änderungen/Überprüfungen fertig bist, trägst Du wieder mit phpMyAdmin den alten Hashwert ein.

Eine richtige Verschlüsselung der Privaten Nachrichten ist eigentlich nur mit einem Public Key Verfahren möglich, so wie das auch bei PGP benutzt wird. Die einzige Installation, die ich davon kenne, erfordert jedoch verschiedene zusätzliche Bibliotheken/Module auf dem Server, die normalerweise nicht installiert sind und auch nicht installiert werden, wenn es nicht der eigene Server ist.

Wow, einfach aber ohne Zweifel genial. Schon schlecht wenn man andauernd den Wald vor Bäumen nicht sieht ;-) THx Pogo.

Gruss Robby