Frechheit! Mein Profil wurde geändert!
 

Als ich vorhin einen beitrag postete, merkte ich, dass an stelle meiner signatur nur noch "weg" stand und in meinem profil stand oasch! wie ist das möglich? das kann doch nur ein admin?

Das kann jeder, der dein Passwort kennt. Dass es einer von uns war , kann ich mir nicht vorstellen, warum sollte der das machen?

wir loggen nur Änderungen die ein Admin macht mit - habe gerade nachgesehen & nichts gefunden. Die Änderung muss daher mit Deinen Zugangsdaten passiert sein. Änder doch bitte Dein Passwort, auf das momentane kommt man wahrscheinlich recht leicht. Noch wahrscheinlicher ist, dass jemand Deinen Rechner mit dem (wahrscheinlich) automatischen Login dafür verwendet hat...

PS: ich verschieb das ins "Meinungen zu WCM".

@Tom
dh. passwörter sind unverschlüsselt abgespeichert ;) ...

pc.net wie kommst du auf die Idee?

Ich vermute eher, dass durch das automatische Login jemand Zugang zu seinen Account bekommen hat.

Tobi: Bist du von einen Schul-/Arbeitsrechner eingestiegen auf dem noch andere Personen arbeiten? Dann solltest du nach jeder Session wieder ausloggen.

lies dir mal den beitrag von tom genau durch.

irgendwie impliziert mir seine aussage, dass er das passwort im klartext gesehen hat ;)

Habe ich zwar nicht so gesehen, könnte aber sein. Allerdings ist ein Passwortwechsel in so einen Fall schon fast muss.

Wie oft kann (darf) man eigentlich sein Passwort eingeben, biss man gesperrt wird? Wird mann überhaupt gesperrt? Wenn nicht, dann kann ich mich ja gleich morgen hinsetzten und die Passwörter meiner 5 beliebtesten User von der schwarzen Liste knacken . . . :( :ms: (oder auch jeder andere)

ich denke Du darfst unbegrenzt oft ein falsches Passwort eingeben - das Forum ist ja schließlich keine hochsensible Anwendung wie z.B. Telebanking o.ä. - und auch die Verbindung, wenn Du einen Beitrag schreibst, oder Dich eben einloggst, ist nicht verschlüsselt.

Mit brute force wirst aber ah Weilchen beschäftigt sein.

Wie wäre es mit einer Pin die jeder eingeben muss, und für jedes Posting muss man auch noch einen TAN eingeben, man kriegt immer wenn man einen Liste verbraucht hat eine neue mit je 30 TANs :DS

Wenn das pw ein normales Wort ist, dauert es mit einer Wörterbuchsuche nicht sehr lange....

Trotzdem wird hier nicht sehr viel Schaden anzurichten sein. Wenn ich draufkomme dass mein Nick missbraucht, ändere ich das PW, bzw. schicke eine Mail an Tom wenn das nicht mehr möglich ist.

Re: Frechheit! Mein Profil wurde geändert!
 

klar.
sind halt die eigenheiten dieses boards :D

Ich muss sagen, zum glück beruhigt mich das:mehr als das:Aber was solls Passwörter kann man ändern!
vieleicht mir einem Script, was das Passwort alle 30 Min durch einen zuffälig generierten Schlüssen austauscht mit einer länge von ca 256 Bytes . . . :lol:


Aber wolln´ma mal nicht paranoid werden!

P.s.: Ich flaub das mit dem Brutforce kacken lass ich dann doch wieder ;):D

is glaub ich besser so. :lol:

also wenn er bei einem XP-rechner eingeloggt war, er die cookies, dateien und verlauf löscht, nutzt des gar nix.
wenn dann jemand mit tobi's skip sich einloggen will, gibt ihm das sys automatisch sein passwort (als vorschlag) dazu.
ich stell mir vor daß es auch so passiert sein kann!:D

tom's vorschlag das passwort zu ändern ist sicher die beste alternative.

:lol: :lol: Das müssten eher 300 sein ;) :lol:

mmmmhhhh, das hängt wohl nur von der geschwindigkeit des forumservers ab, aber mehr wie 100 loginversuche pro sekunde schafft er eh nicht? :D und dann wird's trotzdem zach ;)


vielleicht sollte man sich nur alle 30s anmelden dürfen :D

Un dafür die 30s Regel im KS Thread abschaffen :D.

Sterndaljäger :d :D :D

Re: Frechheit! Mein Profil wurde geändert!
 

Also ich war es nicht!:lol:

das sehe ich aber auch nicht so. wenn ich z.b. in der schule oder auf irgeneinem shared desk mein passwort im browser abspeichere. was muss der andere da im klartext sehen ? der muss gar nichts wissen. der startet einfach www.wcm.at und ändert das profil, fertig.

also sollte man immer bedenken dass man seine arbeitsumgebung bereinigt, wenn jemand anderer auf dem gleichen account einloggen kann.

mach einfach ein paar tests, das dürfte sich sehr leicht nachvollziehen lassen.

Hmmm .....
Kann schon sein. Mir is schon mehr als eine "Profi"-PHP-Lösung untergekommen, welche die Passwörter unverschlüsselt in einer MySQL-DB abgelegt hat :(
Kenn aber vBulletin nicht.

also, ich als großteils paranoider mensch ;) lass meine passwörter auf fremden rechner nicht abspeichern ... und ich meinte halt wirklich, dass tom dass passwort direkt aus der DB gelesen hat ... is mir aber auch egal, da ich tom (noch ;) ) vertraue ...

das steht defintiv so drinnen dass tom das password sehen kann aber was ist daran so außergewöhnlich wenn ein admin das passwort sehen kann :confused:

bei losungswörtern von sparbüchern können die angestellten auch das passwort sehen und die kunden dürfen dann ein paar mal raten :D

außerdem kannst in diesem fall immer abstreiten, dass das posting von dir ist, ganz praktisch, brauch ich nur an ferry ultra denken :lol:

Naja die Sparbücher sind wohl eine Ausnahme. In der EDVwelt ist es aber so, das meist nichtmal der Admin das Passwort kennt, er kann es zwar zurücksetzten aber nicht auslesen. Ist von Datenschutzrechtlicher Seite auch Ok so. Aber für das Forum hier bei weiten zuviel des Aufhebens, da hier ja keine Hochsensiblen Daten gespeichert sind.

ich wollte damit eigentlich nur sagen, daß die änderung höchstwahrscheinlicher auf die von mir geschilderte methode passiert ist.

Grundsätzlich speichert vBulletin das Passwort als md5(passwort) in der Datenbank ab und das ist nicht rekonstruierbar (zumindest ab Version 2.2.0). Öffentlich zugänglicher PC ist eher der Grund. ;)

schau mal unten: Powered by: vBulletin Version 2.0.3 ;)

Guter Einwand. Mein erstes vB war 2.2.1, daher weiss ich nicht wie das Passwort in dieser (älteren) Version gespeichert wird.