.htaccess Referrerabfrage

Beitrag von **Chris2005** » 22.11.2005, 19:05

Hallo zusammen,

ich habe ein Problem bzw. eine Frage zur .htaccess. Ich habe das Problem, dass sich in meinem phpBB Forum in regelmaessigen Abstaenden irgendwelche Bots anmelden und mir die Memberlist zuspammen. Zwar muessen alle User vom Admin authorisiert werden, aber das verhindert nicht, dass die User in der Memberlist auftauchen.

Ich habe mir nun ueberlegt eine Referrerabfrage auf die profile.php des Forums zu legen. Sprich: Wenn kein Referrer mitgesendet wird, dann gibt es einen 403er.

Leider sind meine .htaccess Kentnisse nicht wirklich doll. Ausgehend von den Referrersperren beim Bilderklau habe ich mir folgendes ueberlegt:

Code: Alles auswählen

RewriteCond %&#123;REQUEST_FILENAME&#125; /forum/profile.php
RewriteCond %&#123;HTTP_REFERER&#125; !^http&#58;//&#40;www\.&#41;?domain\.de&#40;/.*&#41;?$ &#91;NC&#93;
RewriteRule ^.* - &#91;F,L&#93;

Wuerde sowas funktionieren?

Danke im Forum fuer die Antwort.

Chris

von **Anzeige von ABAKUS** »

Beitrag von **tobsn** » 22.11.2005, 19:31

bei phpBB haste die möglichkeit einzustellen dass man einen "sicherheitscode" eingeben muss. das sieht so aus dass er dann ein bild mit einer nummer einblendet die man eingeben muss.

diese lösung ist glaub ich besser als den referer zu checken, weil viele user diesen ausschalten oder eine "firewall" laufen haben die den auch rausschneiden.

Beitrag von **Chris2005** » 22.11.2005, 19:37

ahh ok. Danke fuer die Info. Das werde ich heute abend mal ausprobieren. Ist das eine Mod oder funktioniert das schon mit dem Standard phpBB... 2.0.18 ist bei mir online.

Gruss
Chris

Beitrag von **tobsn** » 22.11.2005, 19:38

funktioniert als standard der aktuellen version.
falls du nicht die aktuellste hast bitte updaten.

phpBB hat viele, viele, viele, viele sicherheitslücken, deswegen immer updaten.

Beitrag von **Chris2005** » 22.11.2005, 19:41

2.0.18 ist die aktuelle Version...

ok. Dann gucke ich heute abend mal! Danke!

Beitrag von **Chris2005** » 22.11.2005, 19:48

https://www.phpbb.com/kb/article.php?article_id=227

Beitrag von **Hobby-SEO** » 22.11.2005, 23:54

Hallo Chris2005,

für Dein Problem gibt es eine viel einfachere Lösung als über die .htaccess-Datei: https://www.phpbb.de/viewtopic.php?t=50842

Die visuelle Bestätigung ist übrigens im Admin Control Panel unter Allgemeines/Konfiguration zu aktivieren.

LG, Hobby-SEO

Beitrag von **Chris2005** » 23.11.2005, 00:00

Vielen Dank. Das ist in der Tat die schnellste und einfachste Loesung.... Das in Kombination mit den visuellen Bestaetigung sollte erstmal das groebste verhindern...

Beitrag von **tobsn** » 23.11.2005, 00:02

und das is besser als die !referer auszuschließen

Beitrag von **Chris2005** » 23.11.2005, 16:22

Hobby-SEO hat geschrieben:Die visuelle Bestätigung ist übrigens im Admin Control Panel unter Allgemeines/Konfiguration zu aktivieren.

Bin ich blind? Ich habe bei 2.0.18 installiert und finde diese Option nicht. Das muesste doch unter "General Board Settings" laufen, oder muss ich die open beschriebene Modifikation durchfuehren?

Chris

Beitrag von **Hobby-SEO** » 23.11.2005, 16:44

Hallo,

im ACP unter dem Punkt Allgemeine Konfiguration steht "Aktiviere visuelle Bestätigung" zwischen "Account-Freischaltung aktivieren" und "Erlaube automatisches Einloggen".

Wenn es den Punkt bei Dir nicht gibt, dann stimmt irgendetwas nicht...

LG, Hobby-SEO

Beitrag von **Chris2005** » 23.11.2005, 16:53

hmm... ich verwende die englische Version von phpBB... Kann es sein, dass die deutsche Version dahingehend schon gemoddet ist?

Muss ich spaeter mal ueberpruefen. Hier im Moment kein FTP Zugriff. Danke fuers Feedback.

Beitrag von **Hobby-SEO** » 23.11.2005, 17:55

@Chris2005:

Nein, die visuelle Bestätigung ist sowohl im englischen als auch im deutschen phpbb Standard, und zwar seit Version 2.0.11.
Hast Du Dein Board schon als 2.0.18 installiert oder hast Du upgedatet? Vielleicht hast Du ja mal ein Update (jenes auf 2.0.11) ausgelassen?
Folgender Thread könnte auch interessant für Dich sein: https://www.phpbb.de/viewtopic.php?t=73383

Viel Spaß bei der Fehlersuche!
Hobby-SEO

Beitrag von **Chris2005** » 23.11.2005, 18:04

hmm... Jetzt muss ich ueberlegen mit welche Version ich angefangen habe... Board habe ich Anfang Mai installiert. Da sollte aber 2.0.11 schon lange draussen gewesen sein, oder?

Ich muss das heute abend mal checken...

Beitrag von **Hobby-SEO** » 24.11.2005, 00:50

Im Mai waren die Versionen 2.0.14 und 2.0.15 aktuell. Von daher dürfte es diesbezüglich keine Probleme geben - vorausgesetzt, Du hast damals die gerade aktuelle Version installiert.

Es sieht so aus, als hättest Du beim Updaten oder beim Mod-Einbau irgend etwas verbockt (oder Du bist wirklich blind

). Wenn Du keine oder kaum Mods eingebaut hast UND Deine Datenbank auf dem Stand der Version 2.0.18 ist, kannst Du Deine Dateien ja einfach mit den neuen Versionen (vorzugsweise gleich das deutsche Sprachpaket von phpbb.de) überschreiben - dann gibt es auch keine Probleme mit der visuellen Bestätigung. Bei zahlreichen oder umfangreichen Mods ist dieser Tipp natürlich weniger empfehlenswert.

Auf Fehlersuche solltest Du Dich aber auf jeden Fall begeben, denn irgend etwas stimmt nicht mit Deinem Board! Vielleicht fehlt ja nicht nur die Option, die "visuelle Bestätigung" zu aktivieren. Es könnten ja auch andere bereits bekannte Sicherheitslücken nicht gestopft worden sein.

Alles Gute,
Hobby-SEO