Mysterium: zwei völlig identische Benutzernamen

[SG-P]

Hallo,

ein Mysterium jagt das nächste - und weil es so schön ist, schleichen sich nun ins vBulletin Dinge ein, die ich noch nie gesehen habe und nie sehen wollte.

Das Problem ist: Vor zwei Tagen hat sich ein Benutzer registriert mit einem bereits vorhandenen Benutzernamen. Keine versteckten Leerzeichen, kein Unterstrich, die Namen sind schlicht und ergreifend identisch.

Völlig irritiert habe ich nun versucht, mehrere vorhandene Benutzernamen neu zu registrieren - es funktioniert nicht bzw. eben sehr gut, da die Registrierung mit dem Hinweis auf das bereits bestehende Konto verweigert wird.

Wie ist nun so etwas möglich? Ob das Ganze mit rechten Dingen zugeht, wage ich sowieso zu bezweifeln. Dafür wirkt dieser russische Hostname einfach zu suspekt...

Um Antworten wird dringend gebeten. vB-Version: 3.8.4 Patch 2.

Viele Grüße,
SG-P

[StGaensler]

Hallo SG-P,

dann sei doch so nett, und gib uns mal einen Link zu den beiden Profilen der Nutzer.

Freundliche Grüße

Stefan

[Jaydee]

Hallo SG-P,

.. die Namen sind schlicht und ergreifend identisch.

genau das glaube ich nämlich nicht. Auch wenn es scheinbar so aussieht.
Hast Du mal ein Beispiel dieser Namen?
Bzw. welche Buchstaben kommen darin vor? Es ist nämlich je nach Zeichensatz völlig problemlos möglich (nicht nur im vB), scheinbar identische Nicks vorzugaukeln.

Schau Dir z.B. mal ein großes "Iiih" und ein kleines "Ell" in manchen Schriftarten an, es ist ein völlig identischer senkrechter Strich: l l l

Trotzdem für ein Computersystem völlig unterschiedliche Zeichen, auch wenn das menschliche Auge darauf herein fällt.
Es gibt noch mehrere Buchstaben/Zeichen in bestimmten Zeichensätzen, bei denen das ebenfalls möglich ist.

Auf diese Weise wurden vor Jahren z.B. bei WEB.DE unglaublich viele Benutzernamen gefaked, die nun scheinbar doppelt waren.
Sowas ist aber technisch nicht möglich, auch im vB nicht.
Ich meine, Du wirst an einer Stelle im ACP auch genau auf diesen "optischen Trick" hingewiesen, bin aber grad nicht ganz sicher.

[SG-P]

Hallo,

an Sonderzeichen dachte ich auch schon, allerdings habe ich keine gefunden. Natürlich könnte ich auch etwas übersehen haben.

Hier die Links:

http://www.stargate-project.de/starg...ber.php?u=1170
http://www.stargate-project.de/starg...ber.php?u=7372

Viele Grüße

[Rolli]

Also das sieht sogar ein Blinder das der eine User ein o genommen hat und der andere User eine Null.Und anscheinend sind es zwei verschieden Schriftarten.

[Jaydee]

Das ist interessant, ich habe beide Nicks mal kopiert und in diverse Wingdings Fonts gewandelt, demnach sind tatsächlich beide identisch. Auch ein Leerzeichen davor oder danach finde ich nicht.
Aber auch das muss noch nichts heißen, die Darstellung im Forum kann ja schon falsch sein und genau so kopiert werden.

Du kannst es praktisch nur direkt in der DB bzw. per Überschreibung des Namens im ACP vergleichen und testen.
Dennoch scheint es daran zu liegen, denn egal mit welchen Fragmenten man sucht, findet er in der Liste nur EINEN "Woodstock", allerdings gibt es auch noch einen "Woodsrock":

http://www.stargate-project.de/starg...ber.php?u=5954

Dieser hat aber wie man sieht wieder die ID 5954, ist also ein anderer User.
Der zweite Woodstock taucht dafür überhaupt nicht auf, so als sei er gar nicht existent.
Es sei denn, seine Benutzergruppe wird aufgrund der kurzen Zugehörigkeit dort noch nicht angezeigt.
Das wäre natürlich auch noch eine "natürliche" Erklärung dafür

Ich fürchte fast, das lässt sich ansonsten nur ein Ticket und direkter "vor-Ort-Analyse" klären.

Hast Du mal das Add-on System deaktiviert? Nicht das Du da etwas hast, was diese Duplikats-Sperre aushebelt und tatsächlich diese Doppelungen ermöglicht oder gar echte Sicherheitslücken aufreißt.

Letztendlich weiß man ja nie so genau, was sich die Jungs da so alles "zurecht coden"...

[Jaydee]

Also das sieht sogar ein Blinder das der eine User ein o genommen hat und der andere User eine Null.Und anscheinend sind es zwei verschieden Schriftarten.

Wo siehst Du das? Im Forum ist das nicht zu sehen, und dann suche bitte mal in der Liste nach der Schreibweise mit "Null", Du wirst nichts finden.

Die nachträgliche Anzeige im Forum wäre egal, entscheidend ist wie es in der DB abgelegt wurde.
Daher müsste man es eigentlich direkt dort vergleichen. Die Forenanzeige kann theoretisch schon falsch sein bzw. wenn ich schnell den Tab wechsele und nur auf die Linkanzeige oben im Pfad (deren Darstellung bleibt immer gleich) achte, sind es tatsächlich exakt dieselben Zeichen. Und egal woher ich den Nick kopiere (Profil oder Forenlink), besteht die Analyse wirklich exakt aus dem selben ASCII Code....

Verstehe wer will. Bis auf eine Sicherheitslücke habe ich da im Moment keine Erklärung.
Standardmäßig wird diese Doppelung im vBulletin verhindert.

[SG-P]

@ Rolli: Interessant, was für Nullen dein Monitor zeigt. Auch gut, deine Entdeckung für Blinde, dass das zwei verschiedene Schriftarten sind.

@ Jaydee: Danke für deine Antwort. Der Woodsrock ist bekannt. Nach einem kürzlichen Serverumzug habe ich leider noch keine aktuellen Benutzerdaten für die Datenbank erhalten. Kann da also leider nicht nachsehen. Im ACP sehen beide Benutzernamen komplett gleich aus. Möglicherweise ist's doch irgendein kryptisches Sonderzeichen.

[Jaydee]

Was passiert denn, wenn Du im ACP mit exakter Schreibweise nach "Woodstock" suchst?
Dann müssten Dir ja 2 Möglichkeiten mit 2 unterschiedlichen IDs vorgeschlagen /angezeigt werden.
Ist das der Fall?

Und was passiert bei deaktiviertem Plugin/Add-on System?

//PS: Kopiere doch die Namen mal direkt aus dem ACP und füge sie in Word (oder ähnlicher Textverarbeitung) ein.
Dann mal in andere Schriftarten wandeln, auch Wingdings, Webdings und Symbol.

[SG-P]

Nach dem Benutzernamen hatte ich bereits im ACP gesucht, bevor ich hier geschrieben habe. Das Resultat ergab die zwei Benutzernamen mit unterschiedlichen IDs. Auch in Word mit verschiedenen Schriftarten erhalte ich gleiche Zeichen. Am PlugIn- bzw. AddOn-System wird es wohl auch nicht liegen. Dass der 2. Woodstock nicht in der Benutzerliste auftaucht, liegt daran, dass er seinen Account nicht per E-Mail aktiviert hat.

Interessanterweise hat mich ein Mitarbeiter unserer Seite eben darauf hingewiesen, dass sich in der Tat "Woodstock" registrieren lässt - mit einem "W", das keines ist. Sprich, es wurde eins aus der Windows-Zeichentabelle mit dem Code U+051C benutzt. Mein Betriebssystem hat diesen Buchstaben nicht auf Lager, bietet allerdings auch ähnliche "W" an. Die sehen jedoch im ACP deutlich anders aus als das normale. Auch verwunderlich ist eben die Tatsache, dass es sich anscheinend wirklich um dieselben Buchstaben-Codes handelt.

Edit: Besagter Mitarbeiter hat sich testweise mit dem Sonderzeichen registriert. Es ist deutlich vom normalen W zu unterscheiden. Sackgasse.

Edit 2: Es handelt sich definitiv um kein Sonderzeichen. In der Datenbank sind die Benutzernamen komplett gleich. Dieser russische Hostname macht mir immer noch Sorgen...

[Ramses]

Manchmal gibt es schon die kuriosesten Dinger, würde auch mal auf einen sehr seltenen bug tippen.
Nachtrag, nach etwas überlegen wäre es auch möglich dass der Eintrag direkt in der Datenbank erfolgte auf welchen Wegen auch immer.

[Rene Kriest]

Hier taucht der inkriminierte Woodstock doppelt nicht auf: http://www.stargate-project.de/starg...e&ltr=W&page=3

Fand mal ein Namenswechsel statt für den originären Woodstock? Hieß er früher anders und könnte es sein, daß das System diesen Unterschied nicht berücksichtigt hatte?

[SG-P]

@ Ramses: Ein Eintrag direkt in die Datenbank wäre durchaus vorstellbar. Ich kann es nicht oft genug betonen - der zweite Woodstock hat einen russischen Hostname. Das weckt unangenehme Konnotationen mit Spambots.

@ Rene: Wie schon erwähnt, hat sich der neue Woodstock nicht per E-Mail aktiviert. Daher taucht er in der Benutzerliste nicht auf. Einen Namenswechsel für den originalen gab es aber wirklich mal. Dies ist aber schon mindestens 4 Jahre her. Es ist auszuschließen, dass das System den neuen Benutzernamen nicht akzeptiert hat. Eine Registration mit Benutzernamen Woodstock ohne Sonderzeichen ist über das Registrierungsformular von vB nicht möglich.

[Jaydee]

Der Gedanke einer direkten SQL-Inejction kam mir nämlich gestern Nacht nach Deinem letzten Beitrag auch noch, war nur zu spät zum Antworten.
Es wird immer wahrscheinlicher, zumal der Bot (oder wer auch immer) es geschafft hat, sich ohne Admin-Status von außen ohne E-Mail zu registrieren, was auf "direktem Wege" über das Forum normal nicht möglich ist.
Er kann ja nicht selber entscheiden, oib er eine Mail angibt oder nicht.

Also führt der Weg wohl über eine genaue Analyse des Servers inkl. MySQL Bereich, was im Zweifelsfalle Aufgabe des Hosters ist.
Offensichtlich bestehen da Lecks bzw. Angriffspunkte.

Ich denke fast, die Ideen in Richtung vBulletin sind inzwischen ausgeschöpft.
Per direkter Injection aber könnte man eine DB mit etwas Trickserei zu derartigen Doppel-Einträgen überreden.
Und ich bezweifele eigentlich, dass das vB (oder auch andere PHP-basierte Software) diesen Zustand dann später von selbst entdeckt und das anmeckert, wenn es für die Datenbank ok ist.

[SG-P]

Okay - da wir immer noch im Ozean der Ratlosigkeit schwimmen, wollte ich mal nachhaken, ob das vB-Team den entscheidenden Rettungsanker werfen kann.

Lässt sich was mit den Hinweisen bis jetzt anfangen (inklusive geforderten Links)? Oder hilft da nur noch ein Support-Ticket?

Viele Grüße,
SG-P

[Jaydee]

Also führt der Weg wohl über eine genaue Analyse des Servers inkl. MySQL Bereich, was im Zweifelsfalle Aufgabe des Hosters ist.
Offensichtlich bestehen da Lecks bzw. Angriffspunkte.

Ich denke fast, die Ideen in Richtung vBulletin sind inzwischen ausgeschöpft.

Hast Du denn das inzwischen mal gemacht (machen lassen) ?

[Ramses]

http://www.vbulletin-germany.com/for...-eines-Nutzers

[pogo]

Okay - da wir immer noch im Ozean der Ratlosigkeit schwimmen, wollte ich mal nachhaken, ob das vB-Team den entscheidenden Rettungsanker werfen kann.

Lässt sich was mit den Hinweisen bis jetzt anfangen (inklusive geforderten Links)? Oder hilft da nur noch ein Support-Ticket?

Viele Grüße,
SG-P

Es hilft ein Upgrade auf 3.8.6 PL1 oder 4.0.6.

Ansonsten hilft vorläufig die Überprüfung der Benutzernamen mit einem regulären Ausdruck wie im verlinkten Thema von Ramses beschrieben.

[SG-P]

Dann wird's wohl Zeit für ein Upgrade. Vielen Dank an euch alle für die Hilfe!

Viele Grüße,
SG-P

[Rene Kriest]

Welch Krimi!

Alles Gute für Dein Board, SG-P! Hoffentlich gabs keinen nennenswerten Schaden.