Diskussion zu "phpBB 3.0.8 veröffentlicht"
-
- Gesperrt
- Beiträge: 1999
- Registriert: 08.02.2009 22:58
Re: Diskussion zu "phpBB 3.0.8 veröffentlicht"
Wieso wurde bei der neuen Version der includes Ordner geschütz? Es dürfte doch auch den Entwicklern bekannt sein das da viele Mod Schreiber auch includes Dateien in extra Ordner einfügen.
Neu Entwicklung ist ja o.k. aber das ist doch ein Schritt zurück des stabilen phpBB3 oder?
Gruß
Stephan
Neu Entwicklung ist ja o.k. aber das ist doch ein Schritt zurück des stabilen phpBB3 oder?
Gruß
Stephan
Re: Diskussion zu "phpBB 3.0.8 veröffentlicht"
Beim Direktaufruf von einigen Dateien kann auf neueren PHP-Versionen (PHP 5.3+) eine Fehlermeldung vom Parser ausgegeben werden, die den vollen Pfad zum phpBB-Verzeichnis enthält. Um das zu verhindern haben wir, weil es keine andere Möglichkeit gab, den Zugriff auf includes via .htaccess gesperrt.wintstar hat geschrieben:Wieso wurde bei der neuen Version der includes Ordner geschütz? Es dürfte doch auch den Entwicklern bekannt sein das da viele Mod Schreiber auch includes Dateien in extra Ordner einfügen.
Das ist der "includes" Order, für PHP-Skripte die eingebunden werden. MOD-Autoren können selbstverständlich auch weiterhin ihre Skripte darin ablegen. Die Autoren die im includes-Order Dateien zum Download angeboten haben (z.B. JavaScript) müssen leider auf die harte Tour lernen, dass die da nicht hingehören.wintstar hat geschrieben:Neu Entwicklung ist ja o.k. aber das ist doch ein Schritt zurück des stabilen phpBB3 oder?
Powered by Coffee
Re: Diskussion zu "phpBB 3.0.8 veröffentlicht"
Warum ist die Veröffentlichung bzw. Freigabe der phpBB-Version 3.0.8 dem phpBB.de-Team keinen Newsletter wert? Derzeit erfahren es nur diejenigen welche sich hier im Forum zufällig / wegen einem Problem etc. aufhalten.
Gruß
Gruß
Der Mensch will manchmal höchlich sauer, mit seinem Kopf durch eine Mauer. Ein Kluger fragt erst mit Verstand, aus welchem Stoff ist den die Wand?
Re: Diskussion zu "phpBB 3.0.8 veröffentlicht"
Der Newsletter wird 1x im Monat verschickt und ich denke mal, spätestens beim nächsten Newsletter wird über das Update was drinnen stehen.mdietrich hat geschrieben:Warum ist die Veröffentlichung bzw. Freigabe der phpBB-Version 3.0.8 dem phpBB.de-Team keinen Newsletter wert?
...und DIEmdietrich hat geschrieben:Derzeit erfahren es nur diejenigen welche sich hier im Forum zufällig / wegen einem Problem etc. aufhalten.
- die in ihrem ACP nachschauen
- die bei phpBB.com vorbeischauen
- die hier auf phpBB.de vorbeischauen
...und der Rest wird es spätestens beim nächsten Newsletter oder der nächsten (monatlichen) Ankündigung erfahren.
MfG
Re: Diskussion zu "phpBB 3.0.8 veröffentlicht"
Weil es noch nie einen Sondernewsletter zur Veröffentlichung eines Bugfix-Release gab. Zum Release von phpBB 4.0 wäre das sicher etwas anderes. Im übrigen ist der November fast zuende, so dass sowieso in kürze der reguläre Newsletter versandt wird.mdietrich hat geschrieben:Warum ist die Veröffentlichung bzw. Freigabe der phpBB-Version 3.0.8 dem phpBB.de-Team keinen Newsletter wert?
KB:knigge
- larsneo
- Mitglied
- Beiträge: 2622
- Registriert: 07.03.2002 15:23
- Wohnort: schwäbisch gmünd
- Kontaktdaten:
Re: Diskussion zu "phpBB 3.0.8 veröffentlicht"
oder aber man nimmt in der .htaccess einige dateien von der sperre ausbantu hat geschrieben:Die Autoren die im includes-Order Dateien zum Download angeboten haben (z.B. JavaScript) müssen leider auf die harte Tour lernen, dass die da nicht hingehören.
Code: Alles auswählen
SetEnvIf Request_URI "\.js$" object_is_js=js
Order deny,allow
Deny from all
Allow from env=object_is_js
die sicherheit von .htaccess und web.config einstellungen hängt darüberhinaus natürlich auch immer von der unterstützung durch den webserver ab - nicht jeder nutzt apache bzw. iis...
Re: Diskussion zu "phpBB 3.0.8 veröffentlicht"
Es gibt eine phpBB Release Announcements eMail Liste:
http://lists.phpbb.com/mailman/listinfo/phpbb-announce
http://lists.phpbb.com/mailman/listinfo/phpbb-announce
Re: Diskussion zu "phpBB 3.0.8 veröffentlicht"
Im docs Ordner gibt es eine Beispiels-Konfiguration für nginx.larsneo hat geschrieben:die sicherheit von .htaccess und web.config einstellungen hängt darüberhinaus natürlich auch immer von der unterstützung durch den webserver ab - nicht jeder nutzt apache bzw. iis...
Re: Diskussion zu "phpBB 3.0.8 veröffentlicht"
Also ich will ja nicht meckern,
aber die .htaccess bringt mir beim posten beständig den 403 er. Nun kann ich auch nicht 100% sagen welches der js scripte oder der anderen Erweiterungen den Fehler bringt oder "verbotener"weise auf /includes zugreift - aber ich muß nun auch wieder sagen, das die besten Sicherheitsmaßnahmen ins Leere laufen, wenn sie bestehende Installationen den Garaus machen und bugs hervorrufen. Ich hab übrigens versucht, die javascripts auszunehmen, das Ergebnis war dennoch das Gleiche. Ich vermut mal, das irgendeine Mod einen nicht ganz so sauberen Zugriff versucht, das Problem ist hier nur: Welches.
War das nötig diese "Erziehungmaßnahme für unsaubere Programmierer" als -ziemlich störendes und lästiges-"feature" in ein Update zu bringen? Wars nicht schon vorher sicher genug? Nur mal meine 5ct Gedanken dazu.
Müde Grüsse
Uwe
aber die .htaccess bringt mir beim posten beständig den 403 er. Nun kann ich auch nicht 100% sagen welches der js scripte oder der anderen Erweiterungen den Fehler bringt oder "verbotener"weise auf /includes zugreift - aber ich muß nun auch wieder sagen, das die besten Sicherheitsmaßnahmen ins Leere laufen, wenn sie bestehende Installationen den Garaus machen und bugs hervorrufen. Ich hab übrigens versucht, die javascripts auszunehmen, das Ergebnis war dennoch das Gleiche. Ich vermut mal, das irgendeine Mod einen nicht ganz so sauberen Zugriff versucht, das Problem ist hier nur: Welches.
War das nötig diese "Erziehungmaßnahme für unsaubere Programmierer" als -ziemlich störendes und lästiges-"feature" in ein Update zu bringen? Wars nicht schon vorher sicher genug? Nur mal meine 5ct Gedanken dazu.
Müde Grüsse
Uwe
- redbull254
- Ehemaliges Teammitglied
- Beiträge: 10379
- Registriert: 05.01.2006 13:01
- Kontaktdaten:
Re: Diskussion zu "phpBB 3.0.8 veröffentlicht"
Hallo erstmal,
wenn er der Sicherheit meines Forums und dem Schutz der vielen erstellten Beiträge meiner Mitglieder dient bin ich gerne bereit eine Mod wieder zu deinstallieren, die mit dieser Schutzmaßnahme Probleme hat.
Aber scheinbar habe ich das Glück trotz 50 ! verbaute Mods keine Mod installiert zu haben, die wegen dieser neuen Schutzmaßnahme nicht mehr funktioniert.
Kann man etwas doch Mods entwickeln ohne auf den includes-Ordner zurück greifen zu müssen?
wenn er der Sicherheit meines Forums und dem Schutz der vielen erstellten Beiträge meiner Mitglieder dient bin ich gerne bereit eine Mod wieder zu deinstallieren, die mit dieser Schutzmaßnahme Probleme hat.
Aber scheinbar habe ich das Glück trotz 50 ! verbaute Mods keine Mod installiert zu haben, die wegen dieser neuen Schutzmaßnahme nicht mehr funktioniert.
Kann man etwas doch Mods entwickeln ohne auf den includes-Ordner zurück greifen zu müssen?
Beste Grüße
Walter
Walter