Update auf phpBB 2.0.20 oder warten auf Olympus?

ShateHunter · Beitrag von **ShateHunter** » 15.04.2006 12:08

OMG! Wer so denkt wie friedels-home wünsche ich viele Viren, Hack-Angriffe und alles schlecht zu Ostern! Und überhaupt: Nur weil DU keine Sicherheitslücken kennst, heißt das nicht, dass sie auch kein anderer kennt

.

easygo · Beitrag von **easygo** » 15.04.2006 14:56

Na ja trotz allem Selbstverständnis hier für Update 20, 21, 22, ...
vermisst man bei dieser Umfrage ein c) für weder noch

Wär vielleicht gar nicht so uninteressant, denn ich wage mal zu behaupten,
dass Modder X ab einer gewissen Erfahrung mit phpBB bei Code Changes von Fall zu
Fall entscheidet, ob manche Änderungen jetzt sinnvoll sind oder nicht.

und was das Warten auf Olympus angeht...

wer so tickt, der verliert auf jeden Fall ne ganze Menge

Zeit / so easy

friedels-home · Beitrag von **friedels-home** » 15.04.2006 19:08

Bei eallem Gemeckere an meinem Posting Hat immer noch niemand geschrieben, was denn an der neuen Version besser sein soll als an der alten. Offensichtlich weiß das keiner. Beim letzten Update hatte ich vorher keine visuelle Bestätigung. Ich wollte die visuelle Bestätigung und habe sie durch das Update bekommen. Jetzt ist mein Board so, wie ich es haben will, also werde ich es nicht verändern. Und schon gar nicht ohne zu wissen was ich dadurch verändere. Es ist wesentlich unsicherer blindlings alle Updates zu benutzen, als Sachen zu machen bei denen man weiß was sie bewirken.

Ist hier überhaupt jemand, der weiß welche Veränderungen durch das neue Update gemacht werden?

BB-BF-BM · Beitrag von **BB-BF-BM** » 15.04.2006 19:12

http://www.phpbb.com/phpBB/viewtopic.php?f=14&t=380687 hat geschrieben:What has changed in this release?

The changelog (contained within this release) is as follows:

* [Fix] Prevent login attempts from incrementing for inactive users
* [Fix] Do not check maximum login attempts on re-authentication to the admin panel - tomknight
* [Fix] Regenerate session keys on password change
* [Fix] retrieving category rows in index.php (Bug #90)
* [Fix] improved index performance by determining the permissions before iterating through all forums (Bug #91)
* [Fix] Better handling of short usernames within the search (bug #105)
* [Fix] Send a no-cache header on admin pages as well as normal board pages (Bug #149)
* [Fix] Apply word censors to the message when quoting it (Bug #405)
* [Fix] Improved performance of query in admin_groups (Bug #753)
* [Fix] Workaround for an issue in either PHP or MSSQL resulting in a space being returned instead of an empty string (bug #830)
* [Fix] Correct use of default_style config value (Bug #861)
* [Fix] Replace unneeded unset calls in admin_db_utilities.php - vanderaj
* [Fix] Improved error handling in modcp.php
* [Fix] Improved handling of forums to which the user does not have any explicit permissions - vanderaj
* [Fix] Assorted fixes and cleanup of admin_ranks.php, now requires confirmation of deletions
* [Fix] Assorted fixes and cleanup of admin_words.php, now requires confirmation of deletions
* [Fix] Addition and editing of smilies can no longer be performed via GET, now requires confirmation of deletions
* [Fix] Escape group names in admin_groups.php
* [Sec] Replace strip_tags with htmlspecialchars in private message subject
* [Sec] Some changes to HTML handling if enabled
* [Sec] Escape any special characters in reverse dns - Anthrax101
* [Sec] Typecast poll id values - Anthrax101
* [Sec] Added configurable search flood control to reduce the effect of DoS style attacks
* [Sec] Changed the way we create "random" values for use as keys - chinchilla/Anthrax101
* [Sec] Enabled Visual Confirmation by default
* [Change] Changed handling of the case where a selected style doesn't exist in the database
* [Change] Changed handling of topic pruning to improve performance
* [Change] Changed default forum permissions to only allow registered users to post in new forums

easygo · Beitrag von **easygo** » 15.04.2006 19:28

@ friedels-home

Seit RC-1 gibts sämtliche phpBB Changelogs zum online Nachlesen.

Was genau ist dein Problem?

Bist du gewohnt, dass man dir vorliest?

easy

Beitrag von **mad-manne** » 15.04.2006 20:11

friedels-home hat geschrieben:... was denn an der neuen Version besser sein soll als an der alten.

Du verstehst hier etwas total falsch!

Bei phpBB 2.0.x wird nichts "besser" im Sinne von neuen Features, sondern es werden Sicherheitslücken gefixt, die wie die Vergangenheit bewiesen hat früher oder später von ScriptKiddies und anderen unangenehmen Zeitgenossen ausgenutzt werden um Boards zu cracken.

Entgegen meiner obigen Aussage "Keine neue Features", gab es einige Features die im Laufe der Zeit bei phpBB 2.0.x hinzugekommen sind.
Diese haben ihre Ursache aber ausschliesslich widerum in Sicherheitslücken. So ist zum Beispiel in der aktuellen Version 2.0.20 eine "Flood-Control"-Zeitsperre für Suchanfragen hinzugekommen, da dies eine neue Variante von Angriffsversuchen auf phpBB's darstellt. Dies ist übrigens keine Sicherheitslücke im klassischen Sinne sondern stellt eher einen Angriff auf den Webserver dar, der bei entsprechender Last irgendwann die Segel streckt.
Genausowenig sind die BOT-Anmeldungen, die man mit der Visual COnfirmation einzudämmen versucht, echte Sicherheitslücken, sondern einfach nur "a pain in the ass"(sorry, aber da fällt mir nix passendes deutsches zu ein)

Also nochmal langsam zum Mitschreiben:
phpBB 2.0.x ist "feature-frozen", es kommen also keine neuen Features durch Updates sondern lediglich Sicherheits-Updates.
Diese durchzuführen ist mehr als ratsam, da es nur eine Frage von zeit und Zufall ist, wann ein veraltetes phpBB gecrackt wird!

Gruss,
Manne.

Beitrag von **Fähnchen** » 15.04.2006 21:50

Ich habe heute eine Stunde damit zugebracht ein phpBB-Board von 2.0.19 auf 2.0.20 upzudaten. Das ist ziemlich mühsam und teilweise habe ich mich gefragt "wozu und warum"? Denn einige Änderungen habe ich dabei für überflüssig gehalten.

Bei einem Board habe ich es versäumt rechtzeitig ein Update durchzuführen und es auf 2.0.17 gelassen. Dieses Board habe ich heute aus Sicherheitsgründen vom Server genommen weil eine Anwendung mit Sicherheitslücken auf dem Server gefunden werden muss.

Ich persönlich werde nun niicht mehr auf Olympus warten und lieber selber Anwendungen programmieren die ich benötige. Denn wenn keiner den Quellcode kennt kann ein Angreifer lange probieren bis er eine Lücke findet.

Beim update bin ich heute darüber gestolpert das im phpBB-Quellcode noch "HTTP_POST_VARS[]" und "HTTP_GET_VARS[]" verwendet wird. Für mich stellt sich da die Frage: Warum wird das nicht mal verbessert?

Beitrag von **Christian_W** » 15.04.2006 22:34

Fähnchen hat geschrieben:Ich persönlich werde nun niicht mehr auf Olympus warten und lieber selber Anwendungen programmieren die ich benötige. Denn wenn keiner den Quellcode kennt kann ein Angreifer lange probieren bis er eine Lücke findet.

Es gibt zahlreiche Möglichkeiten auch in unbekanntem Quelltext Sicherheitslücken zu finden.
Security through Obscurity ist eine ziemlich schlechter Versuch etwas sicher zu machen. (Der Artikel ist leider nicht besonders gut)
Wenn Du wirklich eine sichere Anwendung prgrammieren kannst und zusätzlich den Quelltext geheimhällst, bist Du tatsächlich besser dran als mit einer weit verbreiteten Anwendung.

Fähnchen hat geschrieben:Beim update bin ich heute darüber gestolpert das im phpBB-Quellcode noch "HTTP_POST_VARS[]" und "HTTP_GET_VARS[]" verwendet wird. Für mich stellt sich da die Frage: Warum wird das nicht mal verbessert?

Was ist daran schlecht? Davon abgesehe, soll phpBB2 mit PHP3 kompatibel sein/bleiben.

Generell gilt: Wer sich denkt: "Warum sollte gerade ich Ziel eines Crackers werden?" Dem kann man nur antworten "Warum gerade nicht Du?"

Gruß Christian

Beitrag von **Fähnchen** » 15.04.2006 22:52

Christian_W hat geschrieben: Generell gilt: Wer sich denkt: "Warum sollte gerade ich Ziel eines Crackers werden?" Dem kann man nur antworten "Warum gerade nicht Du?"

Gruß Christian

Ich habe schon ein gehacktes Forum hinter mir.
Und das war ein nicht "zurückgebliebenes" phpBB.

friedels-home · Beitrag von **friedels-home** » 16.04.2006 14:05

Es ist typisch, dass diejenigen, die auf andere Meinungen mit beleidigenden Außerungen reagieren, keine brauchbaren Informationen weiter geben. Offensichtlich habe diese Leute keine Ahnung.

@BB-BF-BM: Danke für diese Liste. Ich bettle seit Tagen um sowas ind er Art. Ich dachte schon dass es so eine Liste gar nicht gibt. Allerdings verstehe ich fast nichts davon, obwohl mein Englisch ganz gut ist. Immerhin spreche ich zu ause fast nur Englsch, obwohl meine Frau mittlerweile ganz gut Deutsch kann. Gibt es dazu eine Übersetzung?

@mad-manne: Aiuch dir ein Dankeschön. Das verstehe ich

. Ich werde also nicht updaten. Da es wohl in Kürze wesentlich mehr Boards der Version 2.0.20 als der Version 2.0.19 geben wird, wird die neue Version dann also für die Bots das beliebtere Ziel sein. Ob so ein Hackversuch erfolgreich ist, ist bei der neuen Version einige Tage der Veröffentlichung möglicherweise deutlich weniger wahrscheinlich, danach ist es gleich. Offensichtlich habe ich dieses Posting übersehen als ich meine Frage unter http://www.phpbb.de/viewtopic.php?t=118347 gestellt habe.