Code: Alles auswählen
viewtopic.php?t=78
Code: Alles auswählen
viewtopic.php?t=78 VERKNÜPFUNG Dies ist ein geändert Text admin true
Was soll das sein? Der Exploit im phpBB? Welche Version?hmueller hat geschrieben:Hallo zusammen,
so, jetzt kann ich endlich mehr zu diesem Thema sagen.
1. Der Beitrag wurde ungefähr so geändert:
an die Zeilewurde einfach das hier angefügt:Code: Alles auswählen
viewtopic.php?t=78also: in das Topic wird "Dies ist ein geändert Text" eingefügt, der Login erfolgt als Admin, mit "true" wird das Paßwort (welches nicht bekannt ist und nicht eingegeben wurde) für richtig erklärtCode: Alles auswählen
viewtopic.php?t=78 VERKNÜPFUNG Dies ist ein geändert Text admin true
Wer den genauen Code kennt, sende ihn doch bitte per PM an mich (sollte aus Sicherheitsgründen wohl besser nicht hier im Forum stehen).
Komische Logikkette... Auf der Seite habe ich keinerlei Hinweise auf S.... gefunden...hmueller hat geschrieben: 3. Die Kritik des W. am phpBB (vs. Versatile Bulletin Board):
a) der Entwickler des Versatile arbeitet als Entwickler bei einem großen deutschen Elektronikkonzern (S...) und daher ist für ihn selbstverständlich Sicherheit das oberste Gebot - im Gegensatz zu phpbb.
Wie mein voriges Posting beweist, gibt es zumindest ein Loch im vBB... Davon abgesehen konnte ich auf der Seite keinen Bugtracker o. ä. finden.hmueller hat geschrieben: b) mein Argument, es seien nur deshalb keine Bugmeldungen zum Versatile auf Security-Sites vorhanden, weil dieses Board niemand kennt, lässt er nicht gelten. Es ist vielmehr so, daß es ganz einfach keine Bugs/Sicherheitslücken gibt.
Das phpBB wird von der phpBB Group entwickelt, nicht von den Usern.hmueller hat geschrieben: c) das Versatile wird vom Entwickler weiterentwickelt, im Gegensatz zum phpBB - das wird nämlich von den Usern weiterentwickelt. Das ist dann schon mal grundsätzlich schlecht.
Aha. Und wie überträgt vBB seine Daten?hmueller hat geschrieben: d) das phpBB ist furchtbar unsicher, denn alles was übertragen wird (z.B. Browserkopfzeilen etc.) ist für jedermann im Internet einsichtbar.
Jo. Zugegeben, ein Nachteil.hmueller hat geschrieben: e) beim phpBB kann man ja nicht mal eine Datei an Posts anhängen!
Dann bekommt er die Session-ID an die URL angehängt... Wie macht den das vBB das?hmueller hat geschrieben: f) Das mit dem Registrieren ist viel zu umständlich. Das Einloggen ist zu umständlich (nicht die Vorgehensweise, sondern daß es überhaupt erforderlich ist). Die Cookie-Funktion ist auch Mist - was ist, wenn einer Cookies im Browser gesperrt hat?
Hmm... Kein Problem. Man schreibe einen Konverter und fertig ist.hmueller hat geschrieben: g) die Daten muss man 1:1 aus anderen DBs übernehmen können, ohne registieren usw.
Du meinst das Concurrent Versioning System?hmueller hat geschrieben: h) by the way: kennt ihr ein FTP-Programm namens "CVS" der "CSV"?
Da muss ich ihm im Prinzip recht geben: selber bauen ist fast immer die bessere Lösung. Fasthmueller hat geschrieben: Fazit: das Skriptkiddy will selber ein Forum programmieren. Das dauert zwar noch ein 3/4-Jahr, aber das ist allemal besser als so ein phpbb.
Oh natürlich, der coder von vBB ist also ein Gott, in _jeder_ Software gibt es sicherheitslöcher, wer das nicht weis oder ignoriert ist in aller regel der erste der gehackt wird wenn die seite oder die software bekannt wird. Ich weis nicht wie es beim vBB ist, aber beim phpBB werden sicherheitslöcher schnell beseitigt und es steht ein einfach einzuspielender Patch oder sogar eine neue Version bereit-hmueller hat geschrieben: 3. Die Kritik des W. am phpBB (vs. Versatile Bulletin Board):
a) der Entwickler des Versatile arbeitet als Entwickler bei einem großen deutschen Elektronikkonzern (S...) und daher ist für ihn selbstverständlich Sicherheit das oberste Gebot - im Gegensatz zu phpbb.
b) mein Argument, es seien nur deshalb keine Bugmeldungen zum Versatile auf Security-Sites vorhanden, weil dieses Board niemand kennt, lässt er nicht gelten. Es ist vielmehr so, daß es ganz einfach keine Bugs/Sicherheitslücken gibt.
Nein, das phpBB wird wie itst schon sagte von der phpBB Group entwickelt und oft steuern user verbesserungen bei, so funktioniert es bei funktionierenden OpenSource Projekten, phpBB ist eines davon. Ich weis nicht was daran schlecht sein soll, auf diese weise funktioniert auch Linux und viele andere Projekte, wenn das unsicher ist frage ich mich doch allenernstes warum grade im bereich sicherheitskritischer anwendungen immer mehr auf openSource/Freie Software setzt, das kannst d oder dieser "Webmaster" mir dann sicherlich erklären? (ja, ich bin wirklich interessiert, weil ich grade für 5 Server zuständig bin die allesamt mit solcher art von software laufen)hmueller hat geschrieben: c) das Versatile wird vom Entwickler weiterentwickelt, im Gegensatz zum phpBB - das wird nämlich von den Usern weiterentwickelt. Das ist dann schon mal grundsätzlich schlecht.
Nun du kannst dein phpBB auch über SSL betreiben, damit wird jeglicher Datenverkehr verschlüsselt. Was du bemängelst ist eher ein generelles problem des HTT Protokolls, des gibts es auch HTTPS, beim vBB und bei jeder anderen websoftware besteht das selbe problem. Und jetzt komm mir nicht mit post übertragung, das ist erstens bei links unmöglich und zweitens werden auch dort die daten unverschlüsselt übertragen.hmueller hat geschrieben: d) das phpBB ist furchtbar unsicher, denn alles was übertragen wird (z.B. Browserkopfzeilen etc.) ist für jedermann im Internet einsichtbar.
Ja, das ist ein problem das ich gelten lasse. Ab 2.2 geht es aber. Und der grund das es noch nicht geht ist das sich die phpBB Group (ja, die entwickler entwickeln wirklich, ist das nicht toll?) nicht einnig darüber war wie soetwas sicher zu machen ist, es wird dort also sehr über sicherheit nachgedacht und ein Feature wird ausgelassen wenn man sich nicht darüber einig werden kann ob es sicher ist. Auch so funktionieen andere gute Projekte die als sichere software bekannt sind (Beispiel pure-ftpd, vsftpd und viele andere)hmueller hat geschrieben: e) beim phpBB kann man ja nicht mal eine Datei an Posts anhängen!
Nun auch das ist ein "Problem" des HTT Protokolls in diesem fall aber auch des HTTPS, dieses problem haben alle webanendungen. Wenn cookies nicht funktionieren wird eine session id angehängt, dies ist eine gängige Methode, die bei korrekter anwendung auch nicht sonderlich unsicher ist (phpBB2 wendet diese korrekt an).hmueller hat geschrieben: f) Das mit dem Registrieren ist viel zu umständlich. Das Einloggen ist zu umständlich (nicht die Vorgehensweise, sondern daß es überhaupt erforderlich ist). Die Cookie-Funktion ist auch Mist - was ist, wenn einer Cookies im Browser gesperrt hat?
Wie itst sagte du kannst konverter schreiben, dieses "Problem" hat jede anwendung solange keine festen standards bestehen wie und wo man daten im falle von foren speichern soll, da jedes forum teils sehr unterschiedliche features und lösung für ein problem hat ist hier ein standard sehr zu etablieren, mir wäre keiner bekannt. Auch xml wäre hierbei keine lösung, falls das als gegen argument kommen sollte.hmueller hat geschrieben: g) die Daten muss man 1:1 aus anderen DBs übernehmen können, ohne registieren usw.
Willst du uns damit beweisen das du doch keine ahnung hast? CVS ist das Concurent Versioning System und wird verwendet um mit mehreren Personen an einer software zu arbeiten. Mit FTP hat es nichts zu tun. CSV ist ein Dateiformat welches datensätze komma seperiert speichert, beides hat mit ftp nun wirklich nichts zu tun.hmueller hat geschrieben: h) by the way: kennt ihr ein FTP-Programm namens "CVS" der "CSV"?
Das kann er gerne machen, sag mir bescheid wenn es fertiog ist und ich sage euch bescheid wenn die ersten sicherheitslücken gefunden wurden die so tif im system verankert sind das aufgeben oder neu schreiben das sinnvollste ist, nach den ganzen abstrusen punkten die du genannt hast rechne ich fest damit das es so kommen wird. Nun sollte es wirklich besser sein als so ein phpBB werde ich mir auch evtl. mal überlegen ob ich es einsetzen werde, natürlich nur solange die Lizens nicht gegen meine prinzipien verstöst.hmueller hat geschrieben: Fazit: das Skriptkiddy will selber ein Forum programmieren. Das dauert zwar noch ein 3/4-Jahr, aber das ist allemal besser als so ein phpbb.
was ist "Exploit?itst hat geschrieben: Der Exploit im phpBB? Welche Version?
das hab' ich ihm auch gesagt.itst hat geschrieben: Das phpBB wird von der phpBB Group entwickelt, nicht von den Usern.
Ich bemängele gar nichts, ich stehe voll hinter dem phpbb. Die hier vorgebrachte Kritik sind alles Aussagen des besagten Webmasters (der übrigens auch Linux einsetzt).jensemann hat geschrieben: (...)
Nee, der "Webmaster" hat in meinen phpbb-Verzeichnissen eine ws_ftp.log gefunden. Er bekam einen Lachkrampf und fragte, ob ich denn tatsächlich WS-FTP verwende. Ich sagte "ja früher, mittlerweile verwende ich Smart-FTP". Er lachte dann noch mehr und sagte, das einzig brauchbare FTP-Programm sei eben dieses "CSV" oder "CVS" (oder auch "VCS", ich weis es nicht mehr genau).jensemann hat geschrieben: Willst du uns damit beweisen das du doch keine ahnung hast? CVS ist das Concurent Versioning System und wird verwendet um mit mehreren Personen an einer software zu arbeiten. Mit FTP hat es nichts zu tun. CSV ist ein Dateiformat welches datensätze komma seperiert speichert, beides hat mit ftp nun wirklich nichts zu tun
So kommt mir das auch vor. Er stellt praktisch die ganze phpbb-Gemeinde als "Deppen" hin.jensemann hat geschrieben: Nun ich warte dringenst auf sicherheits technische aufklärung, am besten auch direkt von diesem "webmaster", da ich furchtbare angst habe das ich seit 5 Jahren unrecht habe mit meinem empfinden für sicheren code.
