Fakes von registrierten Usern / fakes of registrated users

Hi @all,

ich habe als admin in meinem Forum ein kleines Problem. Ich lasse sowohl registrierte als auch unregistrierte User schreiben. Jetzt haben wir seit ein paar Tagen einen Faker, der die registrierten Nicks kapert. Nehmen wir z.B. den Nick "Klaus", der ein registrierter User ist. Normalerweise kann niemand anders einen Beitrag unter diesem Nick verfassen. Der Faker schreibt jedoch beim Namen den Nick "Klaus" und läßt davor eine Leerstelle. Schon wird der registrierte Nick nicht mehr als solcher erkannt und der Beitrag geht durch. Hat irgendjemand einen Tipp, wie man solches unterbinden kann (außer das Forum auf registrierte User umzustellen)?

Vielen Dank im voraus - Hemsut

_______________________________________________________________________________________

Hi @all,

I have a minor problem in my board. Registrated as well as unregistrated users have permission to write. For a couple of days now, somebody fakes the names of registrated users. If we take the username "Klaus" (registrated), nobody else can usually use that nickname. The faker simply takes the word "Klaus" and puts an empty space in front of the "K". Immidiatelly, "Klaus" is not protected als a registrated username anymore and the post of the faker goes through. Does anyone have an idea how to avoid this (except switching the board to registrated users use only)?

Thank you for helping - Hemsut

Hallo

ich habe als admin in meinem Forum ein kleines Problem. Ich lasse sowohl registrierte als auch unregistrierte User schreiben. Jetzt haben wir seit ein paar Tagen einen Faker, der die registrierten Nicks kapert. Nehmen wir z.B. den Nick "Klaus", der ein registrierter User ist. Normalerweise kann niemand anders einen Beitrag unter diesem Nick verfassen. Der Faker schreibt jedoch beim Namen den Nick "Klaus" und läßt davor eine Leerstelle. Schon wird der registrierte Nick nicht mehr als solcher erkannt und der Beitrag geht durch. Hat irgendjemand einen Tipp, wie man solches unterbinden kann (außer das Forum auf registrierte User umzustellen)?

" Klaus" ist für einen Computer und damit auch für das Skript etwas anderes als "Klaus". Für einen Menschen ist der erste Name fast das Gleiche wie der Zweite, für das Skript sind es zwei vollständig verschiedene Namen. Somit ist "Klaus" weiterhin ein geschützter Name, da " Klaus" nicht identisch mit "Klaus" ist. Man kann beide Namen vergleichen, indem man die Namen per strip von vorangestellten oder angehängten Leer- und Steuerzeichen befreit und die Namen erst danach vergleicht. Sobald nun aber jemand z.B. "_Klaus" als Name benutzt, geht auch diese Methode in's Leere.

An diesem Punkt muss man einsehen, dass man mit programmiertechnischen Mitteln nicht alle möglichen Szenarien solcher Fälschungen aufspüren kann. Dafür ist der menschliche Geist gegenüber der starren Struktur von Programmen zu flexibel.

I have a minor problem in my board. Registrated as well as unregistrated users have permission to write. For a couple of days now, somebody fakes the names of registrated users. If we take the username "Klaus" (registrated), nobody else can usually use that nickname. The faker simply takes the word "Klaus" and puts an empty space in front of the "K". Immidiatelly, "Klaus" is not protected als a registrated username anymore and the post of the faker goes through. Does anyone have an idea how to avoid this (except switching the board to registrated users use only)?

" Klaus" is for a computer and also for the script different from "Klaus". For a human the first is the second with a leading whitespace, for the script they are completely different names. That said, "Klaus" is still protected because " Klaus" is a different name. You can compare both names if you use the function strip to delete leading or trailing whitespaces and control characters from the string followed by the comparement of names. But if someone uses "_Klaus" as name, this method is pretty useless.

At this point you have to accept, that you can't pick all possibilities of fakes. The human mind is much more flexible in comparision with computer programs with their rigid structures.

Tschö, Auge

--
Trenne niemals Müll, denn er hat nur eine Silbe!

... Der Faker schreibt jedoch beim Namen den Nick "Klaus" und läßt davor eine Leerstelle. Schon wird der registrierte Nick nicht mehr als solcher erkannt und der Beitrag geht durch. Hat irgendjemand einen Tipp, wie man solches unterbinden kann

Führende und endende Leerzeichen im Nick mit trim() entfernen. Müsste vermutlich in der posting.inc.php eingefügt werden. Bei mir werden im Nick bei Unregistrierten alle Zeichen außer Zahlen und Buchstaben entfernt. Leerzeichen zur Trennung bleiben ebenfalls erhalten.

in der Version 1 des kleinen Forums habe ich in der posting.php an Zeile 324 nach

if (isset($name))
    {

folgendes eingefugt

if ($user_id == 0 && $edit_authorization == 0)
    {
     $name= preg_replace("/[^a-zA-Z0-9 äöüÄÖÜß]/","",$name);
     $name = trim($name);
    }

Wo die Änderungen im 2.x zu machen sind kann ich allerdings nicht sagen.

Wiener

Hallo

in der Version 1 des kleinen Forums habe ich in der posting.php an Zeile 324 nach
if (isset($name))
{
folgendes eingefugt
if ($user_id == 0 && $edit_authorization == 0)
{
$name= preg_replace("/[^a-zA-Z0-9 äöüÄÖÜß]/","",$name);
$name = trim($name);
}
Wo die Änderungen im 2.x zu machen sind kann ich allerdings nicht sagen.

In der Version 2.2.6 von mlf2 wird in der Zeile 735 der posting.inc.php der Name eines nicht angemeldeten Posters mit der Funktion contains_special_characters geprüft. Die Funktion selbst findet sich in der functions.inc.php ab Zeile 2535. Dort findet sich auskommentiert schon ein Regex, der deinem ähnelt.

In der posting.inc.php selbst könnte man in der Zeile 734 die Prüfung auf einen leeren Namen erweitern, so dass Namen, die nur aus Leer- und Steuerzeichen bestehen, schon hier herausgefiltert werden.

// vorher:
if(empty($name)) $errors[] = 'error_no_name';
 
// nachher:
if(empty(trim($name))) $errors[] = 'error_no_name';

Tschö, Auge

PS: Frag bitte keiner, warum ich in meinem ersten Posting von strip anstatt trim sprach.

--
Trenne niemals Müll, denn er hat nur eine Silbe!

if(empty(trim($name))) $errors[] = 'error_no_name';

Das dürfte, nach Durchsicht der von dir genannten Programmteile, die einfachste Lösung sein.

Wiener

Hi @all,

erstmal vielen Dank für die schnelle Hilfe.

Ich habe mir die entsprechende php-Datei angesehen und in keiner der von euch genannten Zeilen das Richtige gefunden.

Bei mir steht in den Zeilen 690 und 691 folgendes:

if(!isset($name) || $name == '') $errors[] = 'error_no_name';
if(contains_special_characters($name)) $errors[] = 'error_username_invalid_chars';

Nun bin ich völlig ratlos...

Herzlicher Gruß - Hemsut

Hi,

welche Foren-Version nutzt Du?

Gruß Micha

--
applied-geodesy.org - OpenSource Least-Squares Adjustment Software for Geodetic Sciences

Hi,

welche Foren-Version nutzt Du?

Gruß Micha

Version 2.1.2 laut meinen Einstellungen...

Herzlicher Gruß - Hemsut

Hallo,

die Modifikationen, die Auge genannt hat, bezogen sich sicher auf die aktuelle Version 2.2.7 (oder 2.2.6). Käme ein Update für Dich in Frage?

Gruß Micha

--
applied-geodesy.org - OpenSource Least-Squares Adjustment Software for Geodetic Sciences

Hallo,

die Modifikationen, die Auge genannt hat, bezogen sich sicher auf die aktuelle Version 2.2.7 (oder 2.2.6). Käme ein Update für Dich in Frage?

Gruß Micha

Prinzipiell kein Problem, allein die Zeit ... der Tag hat leider nur 24 Stunden :-(

Ich hab noch nie ein Update mit dieser Software gemacht. Ich hab noch ein Forum, das mit phpBB läuft und da ist jedes Update wochenendfüllend...

Herzlicher Gruß - Hemsut

Hi,

Ich hab noch nie ein Update mit dieser Software gemacht.

Das durchführen der Updates hat bisher bei mir immer sehr gut funktioniert. Das sind aber meine persönlichen Erfahrungen.

Du spielst das UPDATE ein und erhältst eine ToDo-Liste, was Du noch an Dateien aktualisieren/austauschen musst. Hier musst Du also per FTP die genannten Daten gegen die vorhandenen Daten austauschen. Änderungen in der Datenbank werden automatisch gemacht bzw. sind zu diesem Zeitpunkt dann bereits erledigt.

Gruß Micha

--
applied-geodesy.org - OpenSource Least-Squares Adjustment Software for Geodetic Sciences

Hi,

Ich hab noch nie ein Update mit dieser Software gemacht.

Das durchführen der Updates hat bisher bei mir immer sehr gut funktioniert. Das sind aber meine persönlichen Erfahrungen.

Du spielst das UPDATE ein und erhältst eine ToDo-Liste, was Du noch an Dateien aktualisieren/austauschen musst. Hier musst Du also per FTP die genannten Daten gegen die vorhandenen Daten austauschen. Änderungen in der Datenbank werden automatisch gemacht bzw. sind zu diesem Zeitpunkt dann bereits erledigt.

Gruß Micha

... ah, super. Danke! Ich hoffe, ich schaffe es diese Woche, dann kann ich die entsprechende Datei modifizieren. Falls nicht, darf ich noch mal nachfragen?

Herzlicher Gruß - Hemsut

P.S.: Ich bin ganz begeistert von dem Support in diesem Forum. Danke, danke, danke... :love:

Hallo,

dann kann ich die entsprechende Datei modifizieren.

Denkst Du bitte dran, vor dem Update eine Sicherung der DB und aller Dateien anzulegen? Nur für den Fall der Fälle. ;-)

Viel Erfolg
Micha

--
applied-geodesy.org - OpenSource Least-Squares Adjustment Software for Geodetic Sciences

Hallo,

dann kann ich die entsprechende Datei modifizieren.

Denkst Du bitte dran, vor dem Update eine Sicherung der DB und aller Dateien anzulegen? Nur für den Fall der Fälle.

Viel Erfolg
Micha

... na logisch doch.

Herzlicher Gruß - Hemsut *blondabernichtblöd* - *smile*

RSS Feed of thread

my little forum

Fakes von registrierten Usern / fakes of registrated users (Technics)

Fakes von registrierten Usern / fakes of registered users