Diskussion zu "phpBB 3.1.2 veröffentlicht"

Projekte der phpBB.de-Community und Feedback zu phpBB.de.
Benutzeravatar
Crizzo
Administrator
Administrator
Beiträge: 11643
Registriert: 19.05.2005 21:45
Kontaktdaten:

Diskussion zu "phpBB 3.1.2 veröffentlicht"

Beitrag von Crizzo »

Hier könnt ihr über die Bekanntmachung phpBB 3.1.2 veröffentlicht diskutieren:
BlackHawk87 hat geschrieben:Liebe Nutzer von phpBB.de,

heute wurde phpBB 3.1.2 veröffentlicht.

Seit dem Erscheinen von phpBB 3.1.0 wurden mehr als 30 "Bugs" behoben. Darunter sowohl Verbesserungen als auch kleinere Sicherheitslücken, die von den phpBB-Entwicklern gefunden wurden. Bitte aktualisiert daher auf die neue Version.

Es wurden Probleme mit der URL-Weiterleitung behoben, die von Bestätigungs-Seiten des Sicherheitspatches von phpBB 3.1.1 hervorgerufen wurden. Dazu kommt eine große Anzahl von Bugfixes, die beim Aktualisieren von phpBB 3.0 Olympus zu 3.1 Ascraeus auftraten.

Mit einer speziellen Anfrage (XMLHttpRequest) war es Angreifern möglich, eine Endlosschleife in phpBB auszuführen, die auf dem Server eine sehr hohe Last verursacht. Durch die Versionabfrage von installierten Erweiterungen war es außerdem den Autoren der Erweiterung möglich, schadhaften Code auszuführen, wenn ihr euch auf der entsprechenden Seite im Administrationsbereich befindet. Unabhängig davon empfehlen wir nur Erweiterungen (Extensions) zu installieren, die in der Extension-Datenbank von http://www.phpbb.com bereitgestellt werden, da diese Erweiterungen auf ihre Sicherheit und Funktion überprüft werden.

Die aktuelle Version (nur in englisch) kann von der Download-Seite von phpBB.com runterladen werden.

Wir reichen die phpBB 3.1.2 Pakete mit der Deutschen Sprache so schnell es geht nach.
Gast234254
Gesperrt
Beiträge: 1999
Registriert: 08.02.2009 22:58

Re: Diskussion zu "phpBB 3.1.2 veröffentlicht"

Beitrag von Gast234254 »

Es gibt nicht viele Entwickler, die bereit sind ihre Styles/Mods/Erweiterungen auf phpBB.com, zu validieren. Es wird nicht nur nach Sicherheit oder Sonstiges validiert. Ich hatte meine Mod "Bord offline" (3.0.12) hier MPV - MOD pre validator überprüft. Es wurden keine Fehler gefunden, dennoch wurde die Mod nicht in der Mod-Datenbank auf phpBB.com freigegeben.
Unabhängig davon empfehlen wir nur Erweiterungen (Extensions) zu installieren, die in der Extension-Datenbank von http://www.phpbb.com bereitgestellt werden, da diese Erweiterungen auf ihre Sicherheit und Funktion überprüft werden.
Deswegen finde ich diese Aussage nicht ganz zutreffend. Eine Erweiterung kann auch funktionieren und sicher sein, ohne dass diese validiert ist.
Auffallend ist, das zahlreiche Autoren von Erweiterungen ihre Extensionen noch nicht in die Erweiterungs-Datenbank eingereicht haben. So auch für Syles für 3.1.*.
Benutzeravatar
Elsensee
Ehemaliges Teammitglied
Beiträge: 832
Registriert: 19.05.2010 15:14
Wohnort: Hamburg
Kontaktdaten:

Re: Diskussion zu "phpBB 3.1.2 veröffentlicht"

Beitrag von Elsensee »

wintstar hat geschrieben:Auffallend ist, das zahlreiche Autoren von Erweiterungen ihre Extensionen noch nicht in die Erweiterungs-Datenbank eingereicht haben. So auch für Syles für 3.1.*.
Natürlich haben bereits "zahlreiche Autoren von Erweiterungen" ihre Erweiterungen eingereicht. Nur wurden noch keine, außer den Offiziellen, angenommen: https://www.phpbb.com/customise/db/queu ... /extension :wink:

Darf ich mal (aus reinem Interesse) fragen, warum deine Erweiterung abgelehnt wurde? :-?
Posts mostly powered by GitHub and phpBB.de Cross-Reference

2015-03-20 - Never forget 8)
Gast234254
Gesperrt
Beiträge: 1999
Registriert: 08.02.2009 22:58

Re: Diskussion zu "phpBB 3.1.2 veröffentlicht"

Beitrag von Gast234254 »

@Elsensee, habe dir eine PN gesendet. Da es sonst zu weit von diesem Thema abkommen würde.

Das große Problem liegt auch daran, das nur in Englisch geschrieben wird für das einreichen von Styles/Mods/Erweiterungen. Der dem Englischem nicht mächtig ist, hat dann bei der Kommunikation Probleme. Sind dann die Styles/Mods/Erweiterungen, von denen die nicht fließend Englisch können, nicht tauglich für phpBB?
Ich bin sehr verärgert über die Aussage in dem eingehendem Beitrag! Diese Aussage verleitet dazu anzunehmen, das Styles/Mods/Erweiterungen die nicht in der Datenbank von phpBB.com sind, minderwertig sind.
Benutzeravatar
HabNurNeFrage
Ehemaliges Teammitglied
Beiträge: 1627
Registriert: 17.01.2010 20:22
Wohnort: An der Ostsee
Kontaktdaten:

Re: Diskussion zu "phpBB 3.1.2 veröffentlicht"

Beitrag von HabNurNeFrage »

Hi, das sehe ich anders.

Da steht lediglich, dass die validierten Styles/Extensions unter anderem einer Sicherheitsprüfung unterzogen werden und dadurch eventuell vertrauenswürdiger sind als andere, die sich dieser Prüfung nicht gestellt oder sie nicht bestanden haben. Außerdem wird bezüglich der Nutzung nur eine Empfehlung ausgesprochen.

Unbestritten ist, dass diese Prüfung dafür sorgt, die Qualität von Styles/Extensions auf einem guten Level zu halten. Geprüft wird ja hauptsächlich die Konformität mit den Coding-Guidelines und die Kompatibilität mit dem Produkt phpBB. Als Hersteller der Software ist es durchaus als legitim anzusehen, dass zusätzlicher Code einer Prüfung unterzogen wird, bevor dieser in den offiziellen Downloadberich aufgenommen wird. Du würdest bestimmt auch nicht anders vorgehen.

Das große FeedBack in den DEV-Foren deutet doch aber darauf hin, dass viele Leute auch Sachen ausprobieren, wenn sie noch nicht validiert sind.
Ich bin auch ein Typ, der gerne auch mal "Unorthodoxes" nutzt bzw. selbst zu etwas "unorthodoxen" Methoden greift :wink:

Es wäre tatsächlich schön, wenn dieser Validierungs-Service in unterschiedlichen Sprachen angeboten würde.

LG
| HomeStory.org - the friendly Community | Forum für alle Lebenslagen | <"}))}~ | Nicht nachmachen: Meine phpBB Spielereien |
var shoppen = geld.replace (/geld/g, 'bloedsinn'); if (geld < 1) { return home; };
Benutzeravatar
Talk19zehn
Ehemaliges Teammitglied
Beiträge: 4765
Registriert: 08.06.2009 12:03
Kontaktdaten:

Re: Diskussion zu "phpBB 3.1.2 veröffentlicht"

Beitrag von Talk19zehn »

Hello,
BlackHawk87 hat geschrieben:Mit einer speziellen Anfrage (XMLHttpRequest) war es Angreifern möglich, eine Endlosschleife in phpBB auszuführen, die auf dem Server eine sehr hohe Last verursacht. Durch die Versionabfrage von installierten Erweiterungen war es außerdem den Autoren der Erweiterung möglich, schadhaften Code auszuführen, wenn ihr euch auf der entsprechenden Seite im Administrationsbereich befindet.
Das habe ich zunächst nicht verstanden und wäre dankbar für eine verständlichere Erläuterung.

Gruß

Edit:
@Elsensee, ich danke für den Link zur Statistik.
Beste Grüße
phpBB3 Designs - My own works: Show-Room-Gallery , Stylearea Ongray-Designs
Benutzeravatar
Elsensee
Ehemaliges Teammitglied
Beiträge: 832
Registriert: 19.05.2010 15:14
Wohnort: Hamburg
Kontaktdaten:

Re: Diskussion zu "phpBB 3.1.2 veröffentlicht"

Beitrag von Elsensee »

XMLHttpRequest bezeichnet nach meinem Verständnis sowas wie "Ajax". Ajax ist dieses Konzept der "asynchronen Datenübertragung", was nun vermehrt in phpBB 3.1 eingesetzt wird. Dabei ist es möglich Daten vom Server zu laden, ohne die ganze Seite neu laden zu müssen.
Wurde die Anfrage nun entsprechend manipuliert, konnte man so eine Endlosschleife erreichen.

Und bei der Versionsabfrage war es so, dass man beispielsweise Javascript in die Datei für die Versionsabfrage hätte einschleusen können, der dann genauso ausgeführt werden würde, was natürlich nicht sein darf. Ich glaube das Stichwort hierzu lautet "XSS". :wink:
Posts mostly powered by GitHub and phpBB.de Cross-Reference

2015-03-20 - Never forget 8)
Benutzeravatar
HabNurNeFrage
Ehemaliges Teammitglied
Beiträge: 1627
Registriert: 17.01.2010 20:22
Wohnort: An der Ostsee
Kontaktdaten:

Re: Diskussion zu "phpBB 3.1.2 veröffentlicht"

Beitrag von HabNurNeFrage »

Hi @Talk19zehn,

einfach nach und nach ein bissl einlesen.
Start: http://173.194.112.165/#q=ajax+sicherheitsl%C3%BCcken
Ggf. dann "cross domain" und/oder "xmlhttprequest" in die Suche einbeziehen.

LG
| HomeStory.org - the friendly Community | Forum für alle Lebenslagen | <"}))}~ | Nicht nachmachen: Meine phpBB Spielereien |
var shoppen = geld.replace (/geld/g, 'bloedsinn'); if (geld < 1) { return home; };
Benutzeravatar
Crizzo
Administrator
Administrator
Beiträge: 11643
Registriert: 19.05.2005 21:45
Kontaktdaten:

Re: Diskussion zu "phpBB 3.1.2 veröffentlicht"

Beitrag von Crizzo »

Mungo hat geschrieben:Die deutschen Pakete sind nun auch veröffentlicht.

Komplett- und Update-Pakete: https://www.phpbb.de/downloads/pakete.php
Sprachpakete: https://www.phpbb.de/downloads/sprachpakete.php
Benutzeravatar
nickvergessen
Ehrenadmin
Beiträge: 11559
Registriert: 09.10.2006 21:56
Wohnort: Stuttgart, Germany
Kontaktdaten:

Re: Diskussion zu "phpBB 3.1.2 veröffentlicht"

Beitrag von nickvergessen »

wintstar hat geschrieben:Auffallend ist, das zahlreiche Autoren von Erweiterungen ihre Extensionen noch nicht in die Erweiterungs-Datenbank eingereicht haben...
Elsensee hat geschrieben:Nur wurden noch keine, außer den Offiziellen...
Der Grund dafür warum nach 3.1.1 keine Erweiterungen freigegeben wurden war ganz einfach.
Durch das Sicherheitsupdate 3.1.1 wurde build_url (oder wie die Funktion genau hieß) kaputt gemacht.
Das hatte zur Folge, dass keine Bestättigungs-Boxen confirm_box() funktionieren, Routes app.php/acme/demo nicht korrekt sind und alles was auf $user->page zu greift nicht richtig funktioniert.
Davon waren ungefähr 95% der Extensions betroffen. Deren Funktion konnte daher nicht richtig getestet werden.
Deshalb hat man einfach nur nach groben Schnitzern gesucht und das genaue Testen auf nach dem Update verschoben.
Leider hat sich das 3.1.2 Update allerdings dann nochmal etwas verzögert, wodurch jetzt doch einiger Zeit die Extension Kategorie leer war.
An den Ext Entwicklern lag das allerdings nicht.
kein Support per PN
Antworten

Zurück zu „Community Talk“