PHPBB 3 Security tricks

Diskussionen über aktuelle und zukünftige phpBB-Versionen.
Wichtig: Bitte unbedingt die Forum-FAQ beachten! Kein Support!
Forumsregeln
Bitte unbedingt die Forum-FAQ beachten!
Benutzeravatar
Robbi der Forenfreak
Mitglied
Beiträge: 409
Registriert: 11.01.2007 17:53
Kontaktdaten:

Re: PHPBB 3 Security tricks

Beitrag von Robbi der Forenfreak »

MartectX hat geschrieben:Eine Anmerkung dazu (die meisten wissen es sicherlich, passt aber so gut dazu): Deswegen sollte man gefundene Exploits nicht an wie auch immer geartete Hackerseiten weitergeben sondern den Entwicklern im besagten Tracker melden. Wenn's ernstzunehmen ist, werdet Ihr in den Update-Anmerkungen verewigt! :grin:
Haha. :D Du sagst es. Gibt's leider viele Beispiele.

Aber eig. ist das nichts anderes als wenn ein Exploit in einer alten phpBB Version gefunden wird und dafür dann ein Update veröffentlicht. Jeder der nicht in 'nem phpBB Support-Forum ist, kriegt davon nichts mit und denkt, Update?, das mach ich später. Und blub...

-> Das wars dann mit dem Forum.

Und danke an die Info mit dem BugTracker. :]

Aber nur mal so. Wie schnell werden die Tickets eigentlich gelesen? Also falls es jetzt mal wirklich ernst sein sollte.
Programmierer sterben nie. Sie beenden sich mit return 0.

http://www.robinrump.com :)
Benutzeravatar
nickvergessen
Ehrenadmin
Beiträge: 11559
Registriert: 09.10.2006 21:56
Wohnort: Stuttgart, Germany
Kontaktdaten:

Re: PHPBB 3 Security tricks

Beitrag von nickvergessen »

Robbi der Forenfreak hat geschrieben:Aber nur mal so. Wie schnell werden die Tickets eigentlich gelesen? Also falls es jetzt mal wirklich ernst sein sollte.
Also bei den öffentlichen gucken die QA-Teammember auch drüber, dauert meistens keine 12h. Bei den anderen weiß ich es nicht so genau.
kein Support per PN
Benutzeravatar
bantu
Server-Team
Beiträge: 7311
Registriert: 25.04.2006 16:12
Wohnort: Karlsruhe

Re: PHPBB 3 Security tricks

Beitrag von bantu »

Aber nur mal so. Wie schnell werden die Tickets eigentlich gelesen? Also falls es jetzt mal wirklich ernst sein sollte.
Ziemlich ziemlich schnell. :wink:
Powered by Coffee
Benutzeravatar
Kellergeist2
Mitglied
Beiträge: 1133
Registriert: 01.06.2003 00:21
Wohnort: Dortmund
Kontaktdaten:

Re: PHPBB 3 Security tricks

Beitrag von Kellergeist2 »

bantu hat geschrieben:
Aber nur mal so. Wie schnell werden die Tickets eigentlich gelesen? Also falls es jetzt mal wirklich ernst sein sollte.
Ziemlich ziemlich schnell. :wink:
Ich könnte mir sogar vorstellen, dass die zuständigen Team-Member per E-Mail oder PN über neue Einträge im SecurityTracker benachrichtigt werden.
Denn es könnte ja ein wirklich dringender Eintrag sein.
Beim BugTracker kann es ruhig ein paar Tage liegen bleiben, denn ein Bug ist einfach nur nervig, wohingegend ein Sicherheitsloch für alle Boards der betroffenen Versionen tödlich sein könnte (u. U. sogar für die darin enthaltenen Daten wie z. B. User-Daten).
Gruß, Kellergeist2
[MSDynamics.de - die deutschsprachige Microsoft Dynamics Community]
Benutzeravatar
nickvergessen
Ehrenadmin
Beiträge: 11559
Registriert: 09.10.2006 21:56
Wohnort: Stuttgart, Germany
Kontaktdaten:

Re: PHPBB 3 Security tricks

Beitrag von nickvergessen »

Kellergeist2 hat geschrieben:Ich könnte mir sogar vorstellen, dass die zuständigen Team-Member per E-Mail oder PN über neue Einträge im SecurityTracker benachrichtigt werden.
Ich bekomm auch bei normalen Bugs ne Mail ;) also das bestimmt ;)
kein Support per PN
Benutzeravatar
kellanved
Mitglied
Beiträge: 570
Registriert: 05.02.2005 15:15
Wohnort: Berlin

Re: PHPBB 3 Security tricks

Beitrag von kellanved »

Ja, natürlich gibt es einen Email-Alarm bei Security Sachen. Und in der Tat gibt es im Tracker keinen Eintrag.
Bitte keine Supportanfragen via PM
Benutzeravatar
Robbi der Forenfreak
Mitglied
Beiträge: 409
Registriert: 11.01.2007 17:53
Kontaktdaten:

Re: PHPBB 3 Security tricks

Beitrag von Robbi der Forenfreak »

Das beruhigt einen ja schon mal. :D. Nicht das das dann hinterher auch noch so ewig dauert. :D. Wobei eigentlich sind die Exploits ja dann für die und meisten alle frühere Versionen tödlich. Und wer da kein Backup macht...

Was mich mal interessieren würde, wieso das 3.0.4 Update so schnell kam. In der Beschreibung stand etwas von einer gefixten MÖGLICHEN Sicherheitslücke.

Weiß da jemand genaueres? Würde mich mal interessieren.
Programmierer sterben nie. Sie beenden sich mit return 0.

http://www.robinrump.com :)
Benutzeravatar
nickvergessen
Ehrenadmin
Beiträge: 11559
Registriert: 09.10.2006 21:56
Wohnort: Stuttgart, Germany
Kontaktdaten:

Re: PHPBB 3 Security tricks

Beitrag von nickvergessen »

Robbi der Forenfreak hat geschrieben:Weiß da jemand genaueres? Würde mich mal interessieren.
Es müssen nicht unbedingt "Sicherheits"lücken der Grund für ein schnellen Nachfolger sein. Manchmal reicht schon ein "unpraktischer" Bug (sind sie das nicht alle? :roll: ) z.B. damals vom RC6 auf RC7 mit der BBCode-UID, wo man keine Forenbeschreibungen usw mehr mit BBCodes machen konnte.

Ansonsten empfiehlt es sich, einfach den Changelog durchzulesen, da sollte man genug erfahren. Und wem das noch nicht reicht, der kann einfach die Dateiunterschiede im patch-Update angucken und sich dann angucken, was die Änderungen für folgen haben :geek:
kein Support per PN
rimbold
Mitglied
Beiträge: 8
Registriert: 27.09.2009 09:03

Re: PHPBB 3 Security tricks

Beitrag von rimbold »

Hallo
Ich weis nicht ob ich hier die Info richtig anmerke, aber seit neuersten werde ich trotz Sicherheitsabfrage von Russischen Spam zugemüllt. Ich habe über nacht locker 20 Anmeldungen und zig neue posts in Russisch. Meine Version 3.0.8
Ich hoffe das ein update auf 10 das löst. Jedenfalls scheint mir als wäre die Sicherheitsabfrage gehackt worden.
Ich habe nun vorerst auf Admin freischaltung umgestellt.
Ist euch da etwas bekannt in diese Richtung?
Benutzeravatar
nickvergessen
Ehrenadmin
Beiträge: 11559
Registriert: 09.10.2006 21:56
Wohnort: Stuttgart, Germany
Kontaktdaten:

Re: PHPBB 3 Security tricks

Beitrag von nickvergessen »

Du kannst auch einfach die Einstellung umstellen und statt des Bildes das man "lesen" muss, eine Frage zum Thema deines Boardes aktivieren:
ACP > Allgemein > CAPTCHA-Modul-Einstellungen >
Und da dann Q&A auswählen und konfigurieren
kein Support per PN
Antworten

Zurück zu „phpBB Diskussion“