竹貓星球

Perfect 寫:近期數位會員反應, 在 論壇的登入畫面 輸入 帳號密碼 後, 都會發生 帳密錯誤無法進入 之情形
起初不以為意, 認為只是會員記錯了密碼, 所以都是請會員點擊登入頁之 忘記密碼
以 重新獲取系統所寄出之密碼 的方式處理......

直到有一天, 另一位管理員在MSN上告知說, 他的帳密無法登入論壇, 他很確定密碼沒錯
此時, 我進入論壇 卻發現有人 以他的帳號進入, 並點閱各版面內的文章
(因論壇裡有寫隻程式 專門記錄 每位會員 在什麼時間 點閱過什麼文章, 所以能清楚明白)
因此個人合理的懷疑, 之前幾位會員的帳密無法進入論壇, 應也是帳號被盗用所致


小弟想問的是 ~

1. 這位 盗用會員帳號 進入論譠的人, 他有可能 是用什麼方式 辦到的

2. phpbb2 是以 md5 的加密方式, 將 會員密碼 寫入資料庫, 真的是 有如官網所說
　 此 加密過的會員密碼 是 無法還原解析和 破解 的嗎 ??

3. 納悶的是 就算他 破解資料庫裡加密過的會員密碼 or 他是從會員的電腦獲取會員帳密

　 A. 那他進入論壇後, 為什麼要更改會員的密碼, 導致原會員無法登入論壇呢
　 　 同一組帳密 在不同電腦 是可以同時登入 phpbb2, 沒有改的必要啊
　 　 他改了密碼 不是增加了 容易被發現的機會嗎

　 B. 難道 他進入論壇用的方法 非逼他一定得改 帳號的密碼不可 ~~ 不可能吧

　 C. 由 上述A 來判斷, 那他應該就不是 破解資料庫裡加密過的會員密碼
　 　 也不是 從會員的電腦獲取會員帳密 了吧, 有密碼 幹嘛還這樣搞


煩請各位先進 幫忙解惑 和 建議如何解決此現象
現在都不曉得 進論壇的 是不是會員本人 　　　謝謝 !!


●主機作業系統： 自建主機 Linux Fedora 7
●安裝的程式： Apache 2.2.4-4 + php 5.2.4-1 + mysql 5.0.37-2
●上網方式： 中華電信ADSL
●phpBB2 版本： phpBB 2.0.20
　

最初 寫:若是沒有網址能夠測試怎麼可能知道哪裡出問題?
除非你是知道問題在哪卻不會修正......
就是因為2.0.20有安全性上的顧慮所以才會有安全性修正2.0.21跟2.0.22出現阿..

Perfect 寫:感謝 心靈捕手大大 的回應

1. 貼出論壇網址
~ 因是朋友的私人論壇, 所以不便貼出, 請見諒
(請問：是一定要有論壇網址, 才比較好找出問題嗎 ?)

2. 升級最新版 2.0.22
那意思是指 目前所使用的 2.0.20 有這方面的漏洞嗎
可是看貴站 好像沒有人 有此類似的問題吔 (也許是我搜尋的不夠多)

是不是 光就我所說的過程, 因資訊不足 所以還是沒辦法作為判斷呢
除了更新論壇版本(當然這也要做), 還有那些可能該注意的地方

再次感謝各位 的 不吝指教 ~~
　
　

心靈捕手 寫:絕大部分是利用學校電腦上網, 登入論壇
因此帳號(密碼)被盜用, 是有可能的; 也許是離開教室前未登出.....

2. 離開電腦桌前, 記得按 '登出'

Perfect 寫:朋友的論壇是供會員發表攝影作品, 因其中有一版面是屬於人體作品, 所以不便在此公布網址
會員的族群大都是攝影玩家, 幾乎都是使用 家裡or公司的電腦上網,　想請教 心靈捕手大大 的是
撇開密碼被看見這點不說, 未登出論壇的狀態下 旁人怎麼取得其帳號的密碼呢
密碼不是有加密嗎? 而且在論壇裡也不會有顯示會員密碼的地方啊
除非那台電腦有安裝 鍵盤輸入記錄 之類的軟體, 否則光在 未登出狀態下的論壇裡, 如何能得知密碼呢

Perfect 寫: 最後想再請問 心靈捕手大大 有關於 login.php 的改法
我打算寫一個 VB之類的程式 寄給會員, 會員在進入論壇前必需先執行此程式
該程式會連至 MySQL資料庫, 在一個自建的新Table內 寫入會員電腦的一些硬體資訊....等資料
(其中細節 及 該程式後續所作的動作 就不再此贅述......)

想請教的是~ 如果我想在 登入畫面 增加一個驗証的欄位
讓會員登入時, 需 帳號、密碼、我所新增的欄位 都輸入正確, 方可成功登入
那我 需修改那幾支phpbb2的程式, 又該怎麼修改呢 ??

建Table、網頁加欄位...等動作 可略 (若能一併附 則更具完整性 當然最好)
想請教的是 以下動作的程式碼 該怎麼加寫修改、要加於何處 .....
1. 會員填完該三欄位 按確定後, 該怎麼改寫 讓php去多檢查 這個新增的欄位 (假設是 aTable.b欄位)
2. 只有在三個欄位 皆正確的情況下 可登入, 而若 新增的欄位 有誤
　 則會像原本 帳密錯誤 時一樣, 出現個 錯誤提示畫面, 數秒後返回登入畫面

※新增此欄位後, 我需注意 or 考慮到什麼嗎
　例如: 若會員有勾選 自動登入, 那 phpbb2程式 需為這個新欄位 再多加什麼程式碼 or 注意什麼 嗎

心靈捕手 寫: 2. 因為你未登出論壇, 所以我可以使用你的帳號 (去變更密碼); 我不一定需要知道, 你的原始密碼為何.

心靈捕手 寫:1. 要達到您的理想, 必須先從會員註冊時, 多填入相關認證資訊才有用.
2. 您的問題根源, 如果是使用者本身的習慣所致, 那麼再多的防備, 也於事無補, 只是徒增使用者的不便而已.

Perfect 寫:如果我想在 登入畫面 增加一個驗証的欄位, 讓會員登入時
需 帳號、密碼、我所新增的欄位 都輸入正確, 方可成功登入
那我 需修改那幾支phpbb2的程式, 又該怎麼修改呢 ??

建Table、網頁加欄位....等, 可簡略提一下 注意事項 即可
主要想請教的是 以下動作的程式碼 該怎麼加寫修改、要加於何處 .....
1. 會員填完該三欄位 按確定後, 該怎麼改寫 讓php去多檢查 這個新增的欄位 (假設是 aTable.b欄位)
2. 只有在三個欄位 皆正確的情況下 可登入, 而若 新增的欄位 有誤
　 則會像原本 帳密錯誤 時一樣, 出現個 錯誤提示畫面, 數秒後返回登入畫面

※新增此欄位後, 我需注意 or 考慮到什麼嗎
　例如: 若會員有勾選 自動登入, 那 phpbb2程式 需為這個新欄位 再多加什麼程式碼 or 注意什麼 嗎

Perfect 寫:再次感謝 心靈捕手大大 不厭其煩的回覆 ~~

心靈捕手 寫:1. 要達到您的理想, 必須先從會員註冊時, 多填入相關認證資訊才有用.
2. 您的問題根源, 如果是使用者本身的習慣所致, 那麼再多的防備, 也於事無補, 只是徒增使用者的不便而已.

目前除了帳密不明原因被盗的問題外, 還有會員將自己的帳密外借給非會員登入的問題
因論壇內 含有會員的人體攝影作品, 所以為了 讓會員有較安心的私密貼圖環境
防止非法會員的進入, 便成了 我們論壇管理人員 很重要的工作

小弟也有在 論壇的所在目錄 使用 .htaccess, 令 進入網站目錄 時, 需先輸入網站驗証的帳密後, 才能進入論壇的登入頁
但小弟認為~ 只要是由會員手動輸入的驗証動作, 那縱使管理員 設定再多的驗証動作 or 再增加任何資料的驗証欄位 都是枉然
因 會外借帳密 給 非法會員 者, 都可以一併將這些 所需輸入的資料內容 告知他人... 那再多的驗証動作及欄位 根本等同虛設 多此一舉

故小弟異想天開, 想要以 鎖會員電腦硬體序號 的方式, 限制註冊會員只能在固定的一台電腦登入論壇
這樣就算 會員的帳密被盗、被外借, 因不是在所註冊的電腦作登入 一樣進不了論壇
或許您會認為~ 如此會造成會員的使用不便 且 會員一樣可把下載的圖 直接傳給他人就好, 一樣無法防止會員作品被盗...
基於安全理由, 會員都可以體諒管理處的做法, 至於會員私下將圖轉傳給他人, 這也是無法控管 無可奈何的事了
但起碼還是防止了 以任何方式取得帳密者 之 非法登入..... 相對於 原本皆由會員輸入資料作驗証的機制 也能讓會員安心了許多


因 php 無法偵測硬體序號, 所以小弟的想法是 寫一個 VB之類的程式 寄給會員, 會員在進入論壇前必需先執行此程式
該程式會偵測取得 會員電腦的硬體序號 (如 主機板、CPU、網卡MAC.....) 並連進 MySQL內 將值寫入某Table
接著會..... (請容許保留後續的行為, 因小弟實在被駭的怕了、煩了)
參考資料：　1. 取得硬碟及主機板序號　　　2. 取得 CPU 序號
　　※ 硬碟序號 會因 格式化 而改變, 所以不採用 ; 有網路文章指出, 賽陽CPU 都是一樣的CPU ID, AMD杜龍也是如此
　 　　 另 網卡MAC 也可被模擬 or 藉IP分享器自訂成任何想要的一組對外 MAC Address
　 　　 故會以 主機板+CPU+網卡MAC 以某種自定規則組成一個硬體序號, 以達成 硬體序號唯一性 之目的

目前上述的需求, 小弟已初步完成, 但因對 phpbb2 的 整個原始驗証過程 並不甚了解, 且恐有 錯誤觀念 or 疏漏之處
所以想請 心靈捕手大大 能否針對以下需求, 不吝指教小弟該如何修攻php程式

Perfect 寫:如果我想在 登入畫面 增加一個驗証的欄位, 讓會員登入時
需 帳號、密碼、我所新增的欄位 都輸入正確, 方可成功登入
那我 需修改那幾支phpbb2的程式, 又該怎麼修改呢 ??

建Table、網頁加欄位....等, 可簡略提一下 注意事項 即可
主要想請教的是 以下動作的程式碼 該怎麼加寫修改、要加於何處 .....
1. 會員填完該三欄位 按確定後, 該怎麼改寫 讓php去多檢查 這個新增的欄位 (假設是 aTable.b欄位)
2. 只有在三個欄位 皆正確的情況下 可登入, 而若 新增的欄位 有誤
　 則會像原本 帳密錯誤 時一樣, 出現個 錯誤提示畫面, 數秒後返回登入畫面

※新增此欄位後, 我需注意 or 考慮到什麼嗎
　例如: 若會員有勾選 自動登入, 那 phpbb2程式 需為這個新欄位 再多加什麼程式碼 or 注意什麼 嗎

　
　

a9v589 寫:既然都限制電腦登入了
何不考慮用帳號綁定IP的方式呢

心靈捕手 寫:既然有 '使用 .htaccess' 驗證使用者, 還會有帳號密碼被盜用的情形,
那麼可想而知 '會員將自己的帳密外借給非會員登入' 應該才是問題的根源.

心靈捕手 寫:使用者在登入前, 先執行您所謂的 'VB之類的程式', 然後將其 '電腦的硬體序號' 存入論壇資料庫;
接下來, 再登入時, 除了原先的會員名稱, 密碼之外, 又多了一個驗證 '電腦的硬體序號' 的欄位.

您這邊要克服的問題是:
當使用者在執行您所謂的 'VB之類的程式' 時, 必須確認其身分是真正的會員, 而非盜 (借) 用別人帳號者.

比較不解的是:
"使用者在登入前, 先執行您所謂的 'VB之類的程式'" 這個動作, 是每次登入論壇前必做的程序, 還是只要執行一次就好呢?

如果說, 會員願意配合固定使用某台電腦登入論壇,
而上述這個動作, 是每次登入論壇前必做的程序, 那麼這個防範比較有效.

如果說, 上述這個動作只要執行一次就好, 那麼它的防範比較無效;
因為就好比 '會員將自己的帳密外借給非會員登入', 同樣也是可以將 '電腦的硬體序號' 告知非註冊會員的,
而且不一定要固定使用某台電腦登入論壇.

心靈捕手 寫:以下範例:
使用者登入論壇時, 必須填正確的會員名稱, 密碼, 網卡位址.
http://wang5555.dnsfor.me/test/phpbb2/login.php

ID / PD / MAC:
goodluck / 12345678 / 00-11-22-33-44-55

Perfect 寫:

心靈捕手 寫:以下範例:
使用者登入論壇時, 必須填正確的會員名稱, 密碼, 網卡位址.
http://wang5555.dnsfor.me/test/phpbb2/login.php

ID / PD / MAC:
goodluck / 12345678 / 00-11-22-33-44-55

沒錯~ 我要的就是這個.....
就是要 在會員按下確定 後, 程式如何對三個欄位做檢查 的程式碼, 可以煩請 心靈捕手大大 教我一下, 如何改寫嗎

那個 檢查MAC欄位的動作 我應可自行改成 去檢查VB程式所做的 硬體序號驗証
有無產生寫入值, 若到時改寫有問題 可能還需再請教....

另想請教 當程式碼改完後, 若會員在登入頁 有勾選 自動登入, 應不會對 登入驗証的執行 有何影響吧...
　
最後還是再次感謝 心靈捕手大大 多次的回覆、幫忙.........

　　

		'L_MARK_FORUMS_READ' => $lang['Mark_all_forums'],

		'L_MAC_ADDRESS' => $lang['Mac_Address'],

		$password = isset($HTTP_POST_VARS['password']) ? $HTTP_POST_VARS['password'] : '';

		$mac_address = isset($HTTP_POST_VARS['mac_address']) ? $HTTP_POST_VARS['mac_address'] : '';

$sql = "SELECT user_id, username, user_password

, mac_address

				if( md5($password) == $row['user_password'] && $row['user_active'] )

				if( md5($password) == $row['user_password'] && $row['user_active'] && $mac_address == $row['mac_address'] )

			'L_SEND_PASSWORD' => $lang['Forgotten_password'],

			'L_MAC_ADDRESS' => $lang['Mac_Address'],

$lang['Enter_password'] = '請輸入您的登入名稱及密碼';

$lang['Enter_password'] = '請輸入您的登入名稱, 密碼及網卡位址';

$lang['Error_login'] = '您輸入了無效的登入名稱或錯誤的密碼';

$lang['Error_login'] = '您輸入了無效的登入名稱, 錯誤的密碼或錯誤的網卡位址';

$lang['Mac_Address'] = '網卡位址';

		   {L_PASSWORD}: 
		<input class="post" type="password" name="password" size="10" maxlength="32" />

		   {L_MAC_ADDRESS}: 
		<input class="post" type="text" name="mac_address" size="10" maxlength="32" />

		  <tr> 
			<td align="right"><span class="gen">{L_PASSWORD}:</span></td>
			<td> 
			  <input type="password" class="post" name="password" size="25" maxlength="32" />
			</td>
		  </tr>

		  <tr> 
			<td align="right"><span class="gen">{L_MAC_ADDRESS}:</span></td>
			<td> 
			  <input type="text" class="post" name="mac_address" size="25" maxlength="32" />
			</td>
		  </tr>