URL: foro.fecf.es
Plantilla(s) usuada(s): prosilver
MODs instalados: tapatalk (mobiquo), phpbb mChat, Safe GamerTag, ACP Announcement Centre y Prime Trash Bin
Versión de phpBB: 3.0.10
Servidor: 1&1, pago.
Mi consulta es la siguiente:
Hemos sufrido usurpación (literal) de cuentas de administradores mediante el uso de caracteres ascii html que se colaban a través de joomla y aunque joomla los diferencia perfectamente, el foro se los traga.
Ejemplo: si existe usuario llamado "solitario", creaban un usuario llamado "s"о"litario", donde о lo sustituían con la o en Cyrillic, y jfusion (el encargado de realizar la inscripción en el foro) pues lo daba por bueno y registraba el correo a otro usuario llamado "solitario", dando lugar al falso a poder recuperar la contraseña de ese perfil de usuario legítimo apoderándose de ella.
Por culpa de este error los administradores fuimos boicoteados, así que imaginaros el destrozo.
Hemos desactivado jfusion y el foro se traga los códigos ASCii HTML de todas formas... qué podemos hacer?
Saludos,
Esperamos que esta situación le pueda servir a alguien para evitar futuros dolores de cabeza.
Recordad que para pedir soporte alguno, debéis facilitar los datos de soporte oportunos por favor, mirad aquí y leer las Normas generales del foro, esto nos servirá de ayuda para dar el mejor soporte..
Gracias.
La Administración de phpBB España.
Intrusión mediante códigos ASCII
Re: Intrusión mediante códigos ASCII
Hola,
Lo que comentas es bastante grave y sinceramente no tengo idea como evitarlo, pero hay algo que no comprendí bien, entonces quedaban 2 usuarios con el mismo nick en el foro? porque eso no es posible, habría un conflicto en la base de datos.
Edito: Acabo de registrar en un foro de prueba como tú lo has dicho, usando ANSCII y lo registro con los caracteres, no hizo reemplazo alguno.
Lo que comentas es bastante grave y sinceramente no tengo idea como evitarlo, pero hay algo que no comprendí bien, entonces quedaban 2 usuarios con el mismo nick en el foro? porque eso no es posible, habría un conflicto en la base de datos.
Edito: Acabo de registrar en un foro de prueba como tú lo has dicho, usando ANSCII y lo registro con los caracteres, no hizo reemplazo alguno.
Re: Intrusión mediante códigos ASCII
Pues lo único que he descubierto es que en el momento de registrarse es distinto, pero el "clean username" es idéntico,y de ahí el fallo,y ya no sé si es BD, el foro,o el jfusion.
Hay alguna manera de que aparezcan esos caracteres en la base de datos? Es decir, cambiar el charset por algo más general que utf 8, ya que los trata idénticos los caracteres.
Saludos
Hay alguna manera de que aparezcan esos caracteres en la base de datos? Es decir, cambiar el charset por algo más general que utf 8, ya que los trata idénticos los caracteres.
Saludos
Re: Intrusión mediante códigos ASCII
El problema no es de phpBB, el username_clean también fue guardado con los caracteres en ASCII sin hacer reemplazo alguno, el problema viene de la plataforma que este haciendo el puente entre dicha plataforma y el registro en phpBB.
Si quieres compruébalo, entra a phpBB y registra un usuario desde el sistema de registro de phpBB para que veas que todo se guarda bien.
Tendrás que comprobarlo por otro lado.
Si quieres compruébalo, entra a phpBB y registra un usuario desde el sistema de registro de phpBB para que veas que todo se guarda bien.
Tendrás que comprobarlo por otro lado.
Re: Intrusión mediante códigos ASCII
pues en nuestro caso, realiza una conversión anómala... yo, por ejemplo, soy torrija, pero si quiero puedo loguearme con torrijА, a simple vista no te das cuenta que la A es А en ASCII HTML. Eso es lo que no entiendo, porque el phpbb se lo traga y puedo entrar con mi cuenta de siempre usando esos carácteres.
Supongo que por ese motivo, el plugin que hace de pasarela no tiene nada que ver.
Puede ser algo relacionado con el charset? la verdad es que nunca nos había pasado... y ahora pues no nos atrevemos a levantar el veto de registros.
Saludos.-
Supongo que por ese motivo, el plugin que hace de pasarela no tiene nada que ver.
Puede ser algo relacionado con el charset? la verdad es que nunca nos había pasado... y ahora pues no nos atrevemos a levantar el veto de registros.
Saludos.-
Re: Intrusión mediante códigos ASCII
No creo que sea por el charset, casi siempre es UTF 8, de igual manera si es verdad lo que dices sobre la distinción de Mayúsculas y minúsculas, puedo identificarme como alorse e igual el login funciona... Te explico por qué.
Cuando nos identificamos el (phpBB) lo que hace es limpiar el nombre de usuario para comprarlo con el username_clean más no con el username, por eso la comprobación de Mayúsculas y minúsculas le es indiferente, pero no pasa igual con los caracteres en HTML, estos los reconoce como texto, más no los interpreta.
Por eso te digo que el problema no viene de phpBB, sino de las otras plataformas y lastimosamente aquí solo podemos ayudarte con phpBB3.
Cuando nos identificamos el (phpBB) lo que hace es limpiar el nombre de usuario para comprarlo con el username_clean más no con el username, por eso la comprobación de Mayúsculas y minúsculas le es indiferente, pero no pasa igual con los caracteres en HTML, estos los reconoce como texto, más no los interpreta.
Por eso te digo que el problema no viene de phpBB, sino de las otras plataformas y lastimosamente aquí solo podemos ayudarte con phpBB3.
Re: Intrusión mediante códigos ASCII
Podría ser más concretamente un problema de almacenamiento en la BD?
Porque es lo que yo sospecho..
Porque es lo que yo sospecho..
Existen dos tipos de individuos, los que saben y los que no.
Re: Intrusión mediante códigos ASCII
Creo que exactamente es eso lo que le pasa, limpia el usuario dándole igual el carácter en sí. Por cierto, no es una A mayúscula, es una A de un alfabeto distinto al nuestro, y phpbb la cambia a "a" de nuestro alfabeto curiosamente.Alorse escribió:No creo que sea por el charset, casi siempre es UTF 8, de igual manera si es verdad lo que dices sobre la distinción de Mayúsculas y minúsculas, puedo identificarme como alorse e igual el login funciona... Te explico por qué.
Cuando nos identificamos el (phpBB) lo que hace es limpiar el nombre de usuario para comprarlo con el username_clean más no con el username, por eso la comprobación de Mayúsculas y minúsculas le es indiferente, pero no pasa igual con los caracteres en HTML, estos los reconoce como texto, más no los interpreta.
Por eso te digo que el problema no viene de phpBB, sino de las otras plataformas y lastimosamente aquí solo podemos ayudarte con phpBB3.
Dejaré el hilo abierto a ver si alguien puede aportar algo más, yo reportaré el problema al equipo de jfusion, ya que me parece un agujero bastante gordo. Si me contestaran lo publicaré por aquí.
Un saludo, y gracias por vuestros mensajes.
