Ich habe hier und da immer wieder was drüber gelesen, aber ich will mal einen richtigen Thread dazu eröffnen, in dem mir noch mal ganz genau erklärt wird:

Wie (Hack-/Crack-)sicher ist vBulletin?

Wie leicht dürfte es Crackern fallen, im Forum einzubrechen?

Der Source-Code scheint ja mittels downloadbaren File-Sharing-Forum leider erreichbar zu sein... sehr üble Sache...

Wie viel Angst muss man haben bzw. wie viel muss man befürchten...?

Ab wann ist ein Passwort sicher? (>8 Zeichen? Groß- und Kleinschreibung? Zahlen?)

Wie gefährlich können BruteForce-Programme werden?

Gruß

killmymatrix

Wie (Hack-/Crack-)sicher ist vBulletin? Nichts ist 100%ig sicher. Es wird dir auch keiner einer Prozentzahl oder sonst eine Zahl nennen können. Sicherheitslücken hat es immer gegeben und wird es auch weiterhin geben. vBulletin besitzt aber natürlich einige Funktionen und Maßnahmen, die die Sicherheit erhöhen.

Wie leicht dürfte es Crackern fallen, im Forum einzubrechen? Wenn du dein vBulletin auf dem neuesten Stand hälst und keine Änderungen an den Dateien von vBulletin vornimmst, brauchst du dir keine großen Sorgen machen. vBulletin muss aber nicht zwangsläufig die Einbruchsstelle sein, z.B. wenn dein Webserver unsicher konfiguriert ist. Auch sollten sichere und komplexe Passwörter für den Administratorzugang und die Datenbank verwendet werden.

Der Source-Code scheint ja mittels downloadbaren File-Sharing-Forum leider erreichbar zu sein... sehr üble Sache... Das ist überhaupt keine üble Sache, sondern Open-Source. Und Open-Source ist nicht automatisch unsicher.

Wie viel Angst muss man haben bzw. wie viel muss man befürchten...? Was soll man darauf für eine Antwort geben?! Ich wiederhole mich: Ob dein Forum relativ sicher ist, hängt auch sehr von dem Server selbst ab, auf dem das Forum läuft.

Ab wann ist ein Passwort sicher? (>8 Zeichen? Groß- und Kleinschreibung? Zahlen?) Dein Passwort ist dann relativ sicher, wenn es komplex ist. Komplex heisst in dem Fall, dass man z.B. keine bekannten Wörter verwendet. Umso länger das Passwort ist und umso mehr Sonderzeichen und Zahlen darin enthalten sind, desto sicherer ist das Passwort.

Wie gefährlich können BruteForce-Programme werden? Die werden dann gefährlich, wenn das Passwort einfach ist und bekannte Wörter enthält. Allerdings wird standardmässig die IP-Adresse des Clients für 15 Minuten gesperrt, sobald man fünf Mal ein falsches Passwort eingibt.

Zu Brute-Force-Attacken und Passwörtern habe ich hier noch etwas gefunden: http://www.1pw.de/brute-force.html

Aber durch die 15-Minuten-Sperre dürfte es wohl einige Fantastilliarden Menschenleben mehr brauchen als dort angegegeben... ;)

Wäre für weitere Statements von anderen aber auch sehr dankebar. :)

Gruß

killmymatrix

Meiner Meinung nach solltest du dich nicht um die Sicherheit des Codes von vBulletin sorgen, sondern eher um die Konfiguration deines Webservers.

Ich nutze ein Web-Hostingangebot, sollte ich vielleicht mal bei meinem Webhoster nachfragen, wie sicher er ist?

Obwohl er da wohl nur gutes von sich erzählen würde, oder? ;)

Nun ja, richtige Sorgen habe ich nicht direkt, ich will mich nur wieder einmal grundlegend informieren...

Gruß

killmymatrix

Das ist überhaupt keine üble Sache, sondern Open-Source. Und Open-Source ist nicht automatisch unsicher.Darf ich dir da wiedersprechen? Nicht jede Software, von der "man den Quelltext sehen kann" (egal, ob legal oder illegal), ist Open Source (http://de.wikipedia.org/wiki/Open_Source).
Bei vBulletin fehlt ein ganz entscheidendes Merkmal: Die Software darf beliebig kopiert, verbreitet und genutzt werden.
Das ist bei vBulletin nicht so, denn es wird verkauft.

Viele Grüße,
Stefan

admin und mod cp order umbenennen ist schonmal keine schlechte idee
htaccess in beiden fällen ebensowenig ;)
ein pw sollte 12 stellen haben und ~so aussehen: 7NOƒwl$?jD∂∫

verschiedene passwörter für htaccess/ftp/mysql/admin account sind ebenfals ratsam

sehr viel mehr kannst du in sachen forum eigentlich auch nicht tun

Darf ich dir da wiedersprechen? Nicht jede Software, von der "man den Quelltext sehen kann" (egal, ob legal oder illegal), ist Open Source (http://de.wikipedia.org/wiki/Open_Source).
Bei vBulletin fehlt ein ganz entscheidendes Merkmal: Die Software darf beliebig kopiert, verbreitet und genutzt werden.
Das ist bei vBulletin nicht so, denn es wird verkauft.

Viele Grüße,
Stefan
Ja, so gesehen hast du natürlich recht. Mir ging es jetzt nicht um die Linzenzbestimmungen, sondern lediglich darum, dass der Quellcode einsehbar ist und das kein Nachteil in dem Sinne ist.