Forenhack

Aus HeiseForenWiki
Zur Navigation springen Zur Suche springen

Als Forenhack oder Forumshack bezeichnet man salopp die Anwendung einer beliebigen Methode, welche die Forensoftware zu Aktionen veranlaßt, die von den Programmierern nicht vorgesehen sind.

Die meisten dieser Hacks funktioner(t)en durch simple Manipulation der verschiedenen Parameter in URLs, die auf Postings des Heise-Forums verweisen.

Auf diese Weise ist es z.B. möglich, den Thread bei einem per Suchfunktion gefundenen Beitrag wiederherzustellen. (Ersetzen eines Teils der URL mit dem Teil aus einem anderen Kommentar bis zur Message-ID).

Ein beliebter Forenhack bestand zum Beispiel in der Möglichkeit, einen durch die Heise-Administratoren gesperrten Beitrag ungeachtet der Sperre lesen zu können. Der Fehler in der Forensoftware, der diesen Forenhack ermöglichte, wurde bereits behoben.

Eine lang bekannte Sicherheitslücke, nämlich die Tatsache, daß der "personality"-Hash Bestandteil etlicher Links auf der Heise-Website, z.B. des "Benutzer ignorieren"-Links war, ermöglichte gar das Übernehmen eines fremden Heise-Accounts, wenn die/der Benutzer/in einen solchen kritischen Link selbst im Forum veröffentlichte. So ging es z.B. auch Tabsi: Ihr Account wurde temporär übernommen. Die Lücke wurde daraufhin geschlossen.

Aber auch danach gab es eine Angriffsfläche. Allerdings wurde sie nur zu Testzwecken exploitet.

Inzwischen auch nicht mehr möglich ist der Multi-Plonk, bei dem man einem (ungeliebten) Benutzer vortäuschen kann, daß er von wesentlich mehr Benutzern ignoriert wird, als dies tatsächlich der Fall ist. Dazu ist noch nicht einmal die Manipulation eines URL erforderlich, der Multi-Plonk ist mit einfachsten Mitteln zu bewerkstelligen: Es ist nicht mehr zu tun, als den gewünschten Benutzer in herkömmlicher Weise zu plonken und diesen Vorgang nach zwei Rückschritten im Browser einfach zu wiederholen. Auf diese Weise kann man z.B. sein ganzes Killfile mit bis zu 36 Einträgen des selben Benutzers füllen, wobei jeder dieser Einträge den Plonk-Counter dieses Benutzers inkrementiert.

Kein Hack, sondern wahrscheinlich einfach nur ein Bug in der Forensoftware ist die Heisesche Unschärferelation.

In die gleiche Kategorie dürfte dieses hier fallen: [http://martins.wunderkis.de/images/Welches-Forum.png In welchem Forum dieser Beitrag wohl erscheint?]

Gelegentlich führt die Beseitigung der durch einen Forenhack entdeckten Fehler zu Wartungsarbeiten