Hier für'n Master https://github.com/vanilla/vanilla/commits/master
/** * Filter a rich body to remove sensitive information. * * @param array $row The row to filter. * @return array Returns the filtered row. */ public static function editBodyFilter($row) { if (!is_array($row) || strcasecmp($row['format'] ?? $row['Format'] ?? '', 'rich') !== 0) { return $row; } $key = array_key_exists('Body', $row) ? 'Body' : 'body'; $row[$key] = self::stripSensitiveInfoRich($row[$key]); return $row; } /** * Strip sensitive user info from a rich string and rewrite it. * * @param string $input The rich text input. * @return string The string. */ private static function stripSensitiveInfoRich(string $input): string { if (strpos($input, "password") === false) { return $input; // Bailout because it doesn't actually have user record. } $operations = json_decode($input, true); if (json_last_error() !== JSON_ERROR_NONE || !is_array($operations)) { return $input; } foreach ($operations as &$op) { $insertUser = $op['insert']['embed-external']['data']['insertUser'] ?? null; if (!$insertUser) { // No user. continue; } $op['insert']['embed-external']['data']['insertUser'] = [ 'userID' => $insertUser['userID'], 'name' => $insertUser['name'], 'photoUrl' => $insertUser['photoUrl'], 'dateLastActive' => $insertUser['dateLastActive'], 'label' => $insertUser['label'], ]; } $output = json_encode($operations, JSON_UNESCAPED_UNICODE); return $output; }
ZOS_KaiSchober schrieb: »Als Vorsichtsmaßnahme in Antwort auf ein mögliches Sicherheitsproblem in ihrer Forensoftware, werdet ihr werdet aufgefordert, neue Passwörter zu wählen.
Die Erklärung lässt ziemlich viel Spielraum zur Interpretation, daher:
- Gab es ein Sicherheitsvorfall, ja oder nein?
- Um ein Problem welcher Art handelte es sich?
- Falls Passwort Daten für Außenstehende zugänglich waren, wie groß ist der Schaden?
- Wie werden die Passwörter gesichert? Von in Klartext gespeicherten Kennwörtern bis mehrfach „gesalzenen“ Hashes habe ich leider schon alles gesehen...
ZOS_KaiSchober schrieb: »Sobald wir mehr Informationen von unserem Dienstleiter erhalten, geben wir sie weiter.
Ich erwarte eine vollständige Aufklärung des Sachverhalts, die nun veröffentlichte Erklärung bietet eigentlich keinerlei Informationsgehalt.
StrongPassion schrieb: »ZOS_KaiSchober schrieb: »Als Vorsichtsmaßnahme in Antwort auf ein mögliches Sicherheitsproblem in ihrer Forensoftware, werdet ihr werdet aufgefordert, neue Passwörter zu wählen.
Die Erklärung lässt ziemlich viel Spielraum zur Interpretation, daher:
- Gab es ein Sicherheitsvorfall, ja oder nein?
- Um ein Problem welcher Art handelte es sich?
- Falls Passwort Daten für Außenstehende zugänglich waren, wie groß ist der Schaden?
- Wie werden die Passwörter gesichert? Von in Klartext gespeicherten Kennwörtern bis mehrfach „gesalzenen“ Hashes habe ich leider schon alles gesehen...
ZOS_KaiSchober schrieb: »Sobald wir mehr Informationen von unserem Dienstleiter erhalten, geben wir sie weiter.
Ich erwarte eine vollständige Aufklärung des Sachverhalts, die nun veröffentlichte Erklärung bietet eigentlich keinerlei Informationsgehalt.
In Faceboo, Instagram und Co sämtliche private Infos bekannt geben und hier einen auf dicke Welle machen..hach wie süß 😂😂
InvitationNotFound schrieb: »StrongPassion schrieb: »ZOS_KaiSchober schrieb: »Als Vorsichtsmaßnahme in Antwort auf ein mögliches Sicherheitsproblem in ihrer Forensoftware, werdet ihr werdet aufgefordert, neue Passwörter zu wählen.
Die Erklärung lässt ziemlich viel Spielraum zur Interpretation, daher:
- Gab es ein Sicherheitsvorfall, ja oder nein?
- Um ein Problem welcher Art handelte es sich?
- Falls Passwort Daten für Außenstehende zugänglich waren, wie groß ist der Schaden?
- Wie werden die Passwörter gesichert? Von in Klartext gespeicherten Kennwörtern bis mehrfach „gesalzenen“ Hashes habe ich leider schon alles gesehen...
ZOS_KaiSchober schrieb: »Sobald wir mehr Informationen von unserem Dienstleiter erhalten, geben wir sie weiter.
Ich erwarte eine vollständige Aufklärung des Sachverhalts, die nun veröffentlichte Erklärung bietet eigentlich keinerlei Informationsgehalt.
In Faceboo, Instagram und Co sämtliche private Infos bekannt geben und hier einen auf dicke Welle machen..hach wie süß 😂😂
Daher sind auch die oben aufgeführten Fragen auch nicht verkehrt. (Ebenso könnten andere Aspekte dadurch betroffen sein)
Und dennoch wäre es schön, weitergehend informiert zu werden. Also, abwarten und Tee trinken.
ist bei einer Risikobeurteilung - zumal auf dieser Informationsbasis - leider Mumpitz.StrongPassion schrieb: », war das ganze eine reine Vorsichtsmaßnahme aufgrund EVENTUELLER Sicherheitslücken.
StrongPassion schrieb: »ZOS_KaiSchober schrieb: »Als Vorsichtsmaßnahme in Antwort auf ein mögliches Sicherheitsproblem in ihrer Forensoftware, werdet ihr werdet aufgefordert, neue Passwörter zu wählen.
Die Erklärung lässt ziemlich viel Spielraum zur Interpretation, daher:
- Gab es ein Sicherheitsvorfall, ja oder nein?
- Um ein Problem welcher Art handelte es sich?
- Falls Passwort Daten für Außenstehende zugänglich waren, wie groß ist der Schaden?
- Wie werden die Passwörter gesichert? Von in Klartext gespeicherten Kennwörtern bis mehrfach „gesalzenen“ Hashes habe ich leider schon alles gesehen...
ZOS_KaiSchober schrieb: »Sobald wir mehr Informationen von unserem Dienstleiter erhalten, geben wir sie weiter.
Ich erwarte eine vollständige Aufklärung des Sachverhalts, die nun veröffentlichte Erklärung bietet eigentlich keinerlei Informationsgehalt.
In Faceboo, Instagram und Co sämtliche private Infos bekannt geben und hier einen auf dicke Welle machen..hach wie süß 😂😂
StrongPassion schrieb: »ZOS_KaiSchober schrieb: »Als Vorsichtsmaßnahme in Antwort auf ein mögliches Sicherheitsproblem in ihrer Forensoftware, werdet ihr werdet aufgefordert, neue Passwörter zu wählen.
Die Erklärung lässt ziemlich viel Spielraum zur Interpretation, daher:
- Gab es ein Sicherheitsvorfall, ja oder nein?
- Um ein Problem welcher Art handelte es sich?
- Falls Passwort Daten für Außenstehende zugänglich waren, wie groß ist der Schaden?
- Wie werden die Passwörter gesichert? Von in Klartext gespeicherten Kennwörtern bis mehrfach „gesalzenen“ Hashes habe ich leider schon alles gesehen...
ZOS_KaiSchober schrieb: »Sobald wir mehr Informationen von unserem Dienstleiter erhalten, geben wir sie weiter.
Ich erwarte eine vollständige Aufklärung des Sachverhalts, die nun veröffentlichte Erklärung bietet eigentlich keinerlei Informationsgehalt.
In Faceboo, Instagram und Co sämtliche private Infos bekannt geben und hier einen auf dicke Welle machen..hach wie süß 😂😂
natürlich ist ZOS der Betreiber des Forums, auch wenn sie die Wartung und Pflege abgegeben haben an einen externen Dienstleister.
Auch wenn es Dir vollkommen egal ist, ich möchte wissen, ob weiterer Handlungsbedarf besteht. Denn, falls sowohl E-Mail Adressen als auch Passwörter abhanden gekommen sind, möchte ich rechtzeitig weitere Maßnahmen ergreifen können.
StrongPassion schrieb: »StrongPassion schrieb: »ZOS_KaiSchober schrieb: »Als Vorsichtsmaßnahme in Antwort auf ein mögliches Sicherheitsproblem in ihrer Forensoftware, werdet ihr werdet aufgefordert, neue Passwörter zu wählen.
Die Erklärung lässt ziemlich viel Spielraum zur Interpretation, daher:
- Gab es ein Sicherheitsvorfall, ja oder nein?
- Um ein Problem welcher Art handelte es sich?
- Falls Passwort Daten für Außenstehende zugänglich waren, wie groß ist der Schaden?
- Wie werden die Passwörter gesichert? Von in Klartext gespeicherten Kennwörtern bis mehrfach „gesalzenen“ Hashes habe ich leider schon alles gesehen...
ZOS_KaiSchober schrieb: »Sobald wir mehr Informationen von unserem Dienstleiter erhalten, geben wir sie weiter.
Ich erwarte eine vollständige Aufklärung des Sachverhalts, die nun veröffentlichte Erklärung bietet eigentlich keinerlei Informationsgehalt.
In Faceboo, Instagram und Co sämtliche private Infos bekannt geben und hier einen auf dicke Welle machen..hach wie süß 😂😂
natürlich ist ZOS der Betreiber des Forums, auch wenn sie die Wartung und Pflege abgegeben haben an einen externen Dienstleister.
Auch wenn es Dir vollkommen egal ist, ich möchte wissen, ob weiterer Handlungsbedarf besteht. Denn, falls sowohl E-Mail Adressen als auch Passwörter abhanden gekommen sind, möchte ich rechtzeitig weitere Maßnahmen ergreifen können.
1. hat Kai selbst im Statement gesagt das sie NICHT die Betreiber des Forums sind, also lass doch deine Behauptungen
2. du wirst Infos bekommen, sobald welche vorliegen und auch das wurde bereits von Kai erwähnt
Ich möchte mich in eure Diskussion nicht einmischen, aber lies dir das nochmal in Ruhe durch und du solltest sehen, dass das Argument absurd ist.Auch wenn es Dir vollkommen egal ist, ich möchte wissen, ob weiterer Handlungsbedarf besteht. Denn, falls sowohl E-Mail Adressen als auch Passwörter abhanden gekommen sind, möchte ich rechtzeitig weitere Maßnahmen ergreifen können.
StrongPassion schrieb: »StrongPassion schrieb: »ZOS_KaiSchober schrieb: »Als Vorsichtsmaßnahme in Antwort auf ein mögliches Sicherheitsproblem in ihrer Forensoftware, werdet ihr werdet aufgefordert, neue Passwörter zu wählen.
Die Erklärung lässt ziemlich viel Spielraum zur Interpretation, daher:
- Gab es ein Sicherheitsvorfall, ja oder nein?
- Um ein Problem welcher Art handelte es sich?
- Falls Passwort Daten für Außenstehende zugänglich waren, wie groß ist der Schaden?
- Wie werden die Passwörter gesichert? Von in Klartext gespeicherten Kennwörtern bis mehrfach „gesalzenen“ Hashes habe ich leider schon alles gesehen...
ZOS_KaiSchober schrieb: »Sobald wir mehr Informationen von unserem Dienstleiter erhalten, geben wir sie weiter.
Ich erwarte eine vollständige Aufklärung des Sachverhalts, die nun veröffentlichte Erklärung bietet eigentlich keinerlei Informationsgehalt.
In Faceboo, Instagram und Co sämtliche private Infos bekannt geben und hier einen auf dicke Welle machen..hach wie süß 😂😂
natürlich ist ZOS der Betreiber des Forums, auch wenn sie die Wartung und Pflege abgegeben haben an einen externen Dienstleister.
Auch wenn es Dir vollkommen egal ist, ich möchte wissen, ob weiterer Handlungsbedarf besteht. Denn, falls sowohl E-Mail Adressen als auch Passwörter abhanden gekommen sind, möchte ich rechtzeitig weitere Maßnahmen ergreifen können.
1. hat Kai selbst im Statement gesagt das sie NICHT die Betreiber des Forums sind, also lass doch deine Behauptungen
2. du wirst Infos bekommen, sobald welche vorliegen und auch das wurde bereits von Kai erwähnt
1. Nirgendwo in Kais Post steht, dass ZOS nicht Betreiber des Forums ist, sondern die Sicherstellung des technischen Betriebs wurde lediglich an einen externen Dienstleister ausgelagert
2. Ja, nur die Ruhe. Die Informationen werden schon noch kommen. Ist ja auch ein ganz normaler Vorgang, der hier passiert ist.
InvitationNotFound schrieb: »Da ich nicht weiss, wo und wie die Funktionen aufgerufen werden können, weiss ich nicht genau, was der Impact ist.
Aber es sieht so aus, als wie zu viele Informationen Preis gegeben werden konnten (Passwort oder Passwort-Hash, abhängig davon, wie das Password gespeichert wurde oder ob das nur das eigene gerade betrifft und allenfalls in der Session ist. Aber dafür kenne ich den Code bzw. das Forum zu schlecht. Also wieder reine Spekulation).
TorvenTool schrieb: »Ich glaube, der Forendienstleister wurde von ZOS dazu angehalten, ab und an mal unsere Kennwörter zurück zu setzen. Nur, damit unser Entertainment-Faden nicht abreißt, sobald die ESO-Server rumzicken oder halt einfach wegen Überlastung explodieren.
ZOS_KaiSchober schrieb: »TorvenTool schrieb: »Ich glaube, der Forendienstleister wurde von ZOS dazu angehalten, ab und an mal unsere Kennwörter zurück zu setzen. Nur, damit unser Entertainment-Faden nicht abreißt, sobald die ESO-Server rumzicken oder halt einfach wegen Überlastung explodieren.
Tatsächlich fände ich es gut, wenn man alle 6 Monate aufgefordert würde, ein neues Passwort zu wählen.
StrongPassion schrieb: »InvitationNotFound schrieb: »StrongPassion schrieb: »ZOS_KaiSchober schrieb: »Als Vorsichtsmaßnahme in Antwort auf ein mögliches Sicherheitsproblem in ihrer Forensoftware, werdet ihr werdet aufgefordert, neue Passwörter zu wählen.
Die Erklärung lässt ziemlich viel Spielraum zur Interpretation, daher:
- Gab es ein Sicherheitsvorfall, ja oder nein?
- Um ein Problem welcher Art handelte es sich?
- Falls Passwort Daten für Außenstehende zugänglich waren, wie groß ist der Schaden?
- Wie werden die Passwörter gesichert? Von in Klartext gespeicherten Kennwörtern bis mehrfach „gesalzenen“ Hashes habe ich leider schon alles gesehen...
ZOS_KaiSchober schrieb: »Sobald wir mehr Informationen von unserem Dienstleiter erhalten, geben wir sie weiter.
Ich erwarte eine vollständige Aufklärung des Sachverhalts, die nun veröffentlichte Erklärung bietet eigentlich keinerlei Informationsgehalt.
In Faceboo, Instagram und Co sämtliche private Infos bekannt geben und hier einen auf dicke Welle machen..hach wie süß 😂😂
Daher sind auch die oben aufgeführten Fragen auch nicht verkehrt. (Ebenso könnten andere Aspekte dadurch betroffen sein)
Nicht verkehrt ? Es ist immer noch eine Frage des Anstands, aber der scheint bei vielen hier verloren gegangen zu sein.Hier wird sich benommen wie wie eine wilde Meute mit Mistgabel und brennenden Fackeln.
Wie Kai bereits geschrieben hat, war das ganze eine reine Vorsichtsmaßnahme aufgrund EVENTUELLER Sicherheitslücken.
StrongPassion schrieb: »StrongPassion schrieb: »StrongPassion schrieb: »ZOS_KaiSchober schrieb: »Als Vorsichtsmaßnahme in Antwort auf ein mögliches Sicherheitsproblem in ihrer Forensoftware, werdet ihr werdet aufgefordert, neue Passwörter zu wählen.
Die Erklärung lässt ziemlich viel Spielraum zur Interpretation, daher:
- Gab es ein Sicherheitsvorfall, ja oder nein?
- Um ein Problem welcher Art handelte es sich?
- Falls Passwort Daten für Außenstehende zugänglich waren, wie groß ist der Schaden?
- Wie werden die Passwörter gesichert? Von in Klartext gespeicherten Kennwörtern bis mehrfach „gesalzenen“ Hashes habe ich leider schon alles gesehen...
ZOS_KaiSchober schrieb: »Sobald wir mehr Informationen von unserem Dienstleiter erhalten, geben wir sie weiter.
Ich erwarte eine vollständige Aufklärung des Sachverhalts, die nun veröffentlichte Erklärung bietet eigentlich keinerlei Informationsgehalt.
In Faceboo, Instagram und Co sämtliche private Infos bekannt geben und hier einen auf dicke Welle machen..hach wie süß 😂😂
natürlich ist ZOS der Betreiber des Forums, auch wenn sie die Wartung und Pflege abgegeben haben an einen externen Dienstleister.
Auch wenn es Dir vollkommen egal ist, ich möchte wissen, ob weiterer Handlungsbedarf besteht. Denn, falls sowohl E-Mail Adressen als auch Passwörter abhanden gekommen sind, möchte ich rechtzeitig weitere Maßnahmen ergreifen können.
1. hat Kai selbst im Statement gesagt das sie NICHT die Betreiber des Forums sind, also lass doch deine Behauptungen
2. du wirst Infos bekommen, sobald welche vorliegen und auch das wurde bereits von Kai erwähnt
1. Nirgendwo in Kais Post steht, dass ZOS nicht Betreiber des Forums ist, sondern die Sicherstellung des technischen Betriebs wurde lediglich an einen externen Dienstleister ausgelagert
2. Ja, nur die Ruhe. Die Informationen werden schon noch kommen. Ist ja auch ein ganz normaler Vorgang, der hier passiert ist.
1.Der erste Satz im Post.
ZOS_GinaBruno schrieb: »
Der Anbieter, mit dem wir die ESO-Foren betreiben, setzt alle Benutzerkennwörter für Partner zurück, die auf ihre neueste Softwareversion aktualisiert haben, einschließlich der ESO-Foren.Sobald wir weitere Informationen vom Anbieter erhalten, geben wir diese weiter. ( da steht nicht...wir)
2. Ja, ein ganz normaler Vorhang. Dein Virenprogramm blockiert ja auch bevor etwas passiert, genau so wurde hier gehandelt es wurden die Passwörter zurückgesetzt bevor etwas passiert
InvitationNotFound schrieb: »Da ich nicht weiss, wo und wie die Funktionen aufgerufen werden können, weiss ich nicht genau, was der Impact ist.
Aber es sieht so aus, als wie zu viele Informationen Preis gegeben werden konnten (Passwort oder Passwort-Hash, abhängig davon, wie das Password gespeichert wurde oder ob das nur das eigene gerade betrifft und allenfalls in der Session ist. Aber dafür kenne ich den Code bzw. das Forum zu schlecht. Also wieder reine Spekulation).
Ich habe den Code mal kurz überflogen, das ist keine gründliche Analyse der Änderungen, es ist 8:30, ich hatte keinen Kaffee, der Computer wurde eben erst angeschaltet, usw. daher sind die folgenden Angaben ohne Gewähr oder irgendeine Garantie.
So wie es aussieht, war es möglich, den Seitenaufruf zum Bearbeiten eines Posts zu manipulieren, um mit den Postdaten (wenn man auf "Bearbeiten" klickt, wird ja unter anderem der Beitrag in seiner Reinform übertragen) auch den gespeicherten Passworthash zu bekommen. Das sollte aber auch nur dann funktionieren, wenn man das entsprechende Post bearbeiten kann, d.h. nur die eigenen Posts bzw. Nutzerdaten, wenn man kein Administrator oder Moderator ist. Die Gefahr für die einzelnen Daten sehe ich hier also extrem gering.
Möglicher Angriff: Um das sinnvoll ausnutzen zu können, müsste ein Angreifer wohl den Forencode bei Fremden anpassen (z.B. über Malware), wodurch er dann deren Passwort-Hash wohl abgreifen könnte. Dass das wirklich in der Form in größerem Ausmaß passiert, halte ich für etwas weit hergeholt, weshalb ich das als unbedenklich sehen könnte. Theoretisch könnte eben auch ein Moderator seinen lokalen Browser passend modifizieren, aber auch da sehe ich keine große Gefahr. Sie haben die Passwörter also im Grunde nur vorsorglich "für den Fall dass" zurückgesetzt.
dinosaurier520 schrieb: »Bei mir hat der "Administrator" noch einen drauf gesetzt. Obwohl ich das WE an der Ostsee war, mein Account weder gehackt noch von einem zweiten User benutzt worden ist...hatte ich, beim Login am Sonntagabend, angeblich bereits meine Login„Belohnung“ abgeholt.
Nicht das ich den Mist irgendwie brauchen/haben wollen würde, aber ich denke hier läuft gerade einiges schief.
golden_Chaos schrieb: »Als ich möchte nicht dauernd mein PW ändern müssen, bin 100% dagegen!