Hallo,
an vielen Stellen hört man immer das phpbb3 eines der sichersten Foren im Netz ist.
Aber im Vergleich zu anderen Produkten würde es mich jetzt gerne mal interessieren was genau phpbb3 so sicher macht.
Was unterscheidet phpbb3 von anderen Produkten?
Würde mich mal interessieren.
Was macht phpbb3 eigentlich so sicher
Forumsregeln
Bitte unbedingt die Forum-FAQ beachten!
Bitte unbedingt die Forum-FAQ beachten!
Re: Was macht phpbb3 eigentlich so sicher
KB:phpbb_sicher
Wodurch wird etwas Unsicher?
Meist dadurch das Eingaben ungeprüft übernommen werden oder sogar in Datenbanken eingetragen werden, wenn man diese Eingaben geschickt manipuliert kann man z.B. alle Datensätze der Datenbank auslesen.
Oft kam die Unsicherheit dadurch das Mod-Autoren Eingaben nicht richtig geprüft haben, hier gibts bei phpBB z.B. eine Funktion die die Eingaben für dich richtig prüft. Alle Daten werden dann einheitlich an einer Stelle geprüft.
Zusätzlich wird gegen "unsichere" Servereinstellungen zu arbeiten (z.B. register_globals).
Falls doch mal irgendwer in die Datenbank kommt ist es dennoch nicht möglich die User-Passwörter zu knacken (Mit heutigen Rechnern und wenigen Jahren Rechenzeit), da jedes Passwort mit einem Salz etwas anderes verschlüsselt ist.
Ein weiterer Vorteil ist das jeder sich den Code anschauen kann, klar hat es ein Cracker dann einfacher, aber es schauen ja auch Profis drauf, so dass Löcher schnell an die Entwickler weitergeleitet werden können. In der nächsten Version ist die Lücke dann behoben.
Wodurch wird etwas Unsicher?
Meist dadurch das Eingaben ungeprüft übernommen werden oder sogar in Datenbanken eingetragen werden, wenn man diese Eingaben geschickt manipuliert kann man z.B. alle Datensätze der Datenbank auslesen.
Oft kam die Unsicherheit dadurch das Mod-Autoren Eingaben nicht richtig geprüft haben, hier gibts bei phpBB z.B. eine Funktion die die Eingaben für dich richtig prüft. Alle Daten werden dann einheitlich an einer Stelle geprüft.
Zusätzlich wird gegen "unsichere" Servereinstellungen zu arbeiten (z.B. register_globals).
Falls doch mal irgendwer in die Datenbank kommt ist es dennoch nicht möglich die User-Passwörter zu knacken (Mit heutigen Rechnern und wenigen Jahren Rechenzeit), da jedes Passwort mit einem Salz etwas anderes verschlüsselt ist.
Ein weiterer Vorteil ist das jeder sich den Code anschauen kann, klar hat es ein Cracker dann einfacher, aber es schauen ja auch Profis drauf, so dass Löcher schnell an die Entwickler weitergeleitet werden können. In der nächsten Version ist die Lücke dann behoben.
Standart: Am besten mit beiden Beinen auf dem Boden
Standardmäßig antworte ich nicht auf PMs
Standardmäßig antworte ich nicht auf PMs
Re: Was macht phpbb3 eigentlich so sicher
Naja ich wollte eben wissen was phpbb3 so stark von anderen Foren unterscheidet. Was ist gute an phpbb3 in Sachen Sicherheit.
Re: Was macht phpbb3 eigentlich so sicher
Ich würde mal so sagen:
Es wurde sehr viel von den Problemen mit phpBB2 gelernt, was dann in phpBB3 eingeflossen ist, und nicht das zweifelhafte Vergnügen angegangen auf einer vorhandenen Codebasis weiter zu machen, sondern phpBB3 wurde von Grund auf neu aufgebaut.
Dabei wurde von Anfang an sehr stark auf die Sicherheit im Grundkonzept geachtet, um potenzielle Lücken erst gar nicht einzubauen.
Zusätzlich hat eine externe Firma phpBB3 noch vor dem RC7 ein Security Audit gemacht. Siehe auch hier: http://www.phpbb.com/community/viewtopi ... &p=3222782
Man hat sich also bereitwillig die Arbeit in Hinsicht auf Sicherheit "auseinander nehmen" / prüfen lassen.
Naja, und wir haben das Glück das das Dev-Team sehr fit und gut aufeinander eingespielt zu sein scheint und schnell reagiert. Herausforderungen wird mit guten Ideen begegnet. Aktuelles Beispiel: die neue Captcha Schnittstelle in phpBB3.0.6, womit man auch zukünftig den Spam Plagegeistern effektiv, schnell und flexibel den Hahn abdrehen kann. Und Spambots es nun nicht mehr nur mit einer Art Captcha in allen Foren zu tun haben, sondern mit diversen verschiedenen mit unterschiedlicher Funktionsweise. Und mit der Zeit werden es immer mehr werden.
So, genug gelobhudelt.
Es wurde sehr viel von den Problemen mit phpBB2 gelernt, was dann in phpBB3 eingeflossen ist, und nicht das zweifelhafte Vergnügen angegangen auf einer vorhandenen Codebasis weiter zu machen, sondern phpBB3 wurde von Grund auf neu aufgebaut.
Dabei wurde von Anfang an sehr stark auf die Sicherheit im Grundkonzept geachtet, um potenzielle Lücken erst gar nicht einzubauen.
Zusätzlich hat eine externe Firma phpBB3 noch vor dem RC7 ein Security Audit gemacht. Siehe auch hier: http://www.phpbb.com/community/viewtopi ... &p=3222782
Man hat sich also bereitwillig die Arbeit in Hinsicht auf Sicherheit "auseinander nehmen" / prüfen lassen.
Naja, und wir haben das Glück das das Dev-Team sehr fit und gut aufeinander eingespielt zu sein scheint und schnell reagiert. Herausforderungen wird mit guten Ideen begegnet. Aktuelles Beispiel: die neue Captcha Schnittstelle in phpBB3.0.6, womit man auch zukünftig den Spam Plagegeistern effektiv, schnell und flexibel den Hahn abdrehen kann. Und Spambots es nun nicht mehr nur mit einer Art Captcha in allen Foren zu tun haben, sondern mit diversen verschiedenen mit unterschiedlicher Funktionsweise. Und mit der Zeit werden es immer mehr werden.
So, genug gelobhudelt.
Re: Was macht phpbb3 eigentlich so sicher
Für jene die etwas englisch verstehen, ich habe gerade kürzlich etwas zu den Sicherheitsfeatures von phpBB geschrieben: http://phpbbdevelopers.net/board/viewto ... 2570#p2570. Dort wird es etwas stärker von einer Programmierer-Perspektive beschrieben.
Grundsätzlich kann ich Saint nur zustimmen, er hat die wichtigsten Punkte erwähnt.
Grundsätzlich kann ich Saint nur zustimmen, er hat die wichtigsten Punkte erwähnt.
