Diskussion zu "phpBB 3.1.2 veröffentlicht"

[Crizzo]

Hier könnt ihr über die Bekanntmachung phpBB 3.1.2 veröffentlicht diskutieren:

Liebe Nutzer von phpBB.de,

heute wurde phpBB 3.1.2 veröffentlicht.

Seit dem Erscheinen von phpBB 3.1.0 wurden mehr als 30 "Bugs" behoben. Darunter sowohl Verbesserungen als auch kleinere Sicherheitslücken, die von den phpBB-Entwicklern gefunden wurden. Bitte aktualisiert daher auf die neue Version.

Es wurden Probleme mit der URL-Weiterleitung behoben, die von Bestätigungs-Seiten des Sicherheitspatches von phpBB 3.1.1 hervorgerufen wurden. Dazu kommt eine große Anzahl von Bugfixes, die beim Aktualisieren von phpBB 3.0 Olympus zu 3.1 Ascraeus auftraten.

Mit einer speziellen Anfrage (XMLHttpRequest) war es Angreifern möglich, eine Endlosschleife in phpBB auszuführen, die auf dem Server eine sehr hohe Last verursacht. Durch die Versionabfrage von installierten Erweiterungen war es außerdem den Autoren der Erweiterung möglich, schadhaften Code auszuführen, wenn ihr euch auf der entsprechenden Seite im Administrationsbereich befindet. Unabhängig davon empfehlen wir nur Erweiterungen (Extensions) zu installieren, die in der Extension-Datenbank von http://www.phpbb.com bereitgestellt werden, da diese Erweiterungen auf ihre Sicherheit und Funktion überprüft werden.

Die aktuelle Version (nur in englisch) kann von der Download-Seite von phpBB.com runterladen werden.

Wir reichen die phpBB 3.1.2 Pakete mit der Deutschen Sprache so schnell es geht nach.

[Gast234254]

Es gibt nicht viele Entwickler, die bereit sind ihre Styles/Mods/Erweiterungen auf phpBB.com, zu validieren. Es wird nicht nur nach Sicherheit oder Sonstiges validiert. Ich hatte meine Mod "Bord offline" (3.0.12) hier MPV - MOD pre validator überprüft. Es wurden keine Fehler gefunden, dennoch wurde die Mod nicht in der Mod-Datenbank auf phpBB.com freigegeben.

Unabhängig davon empfehlen wir nur Erweiterungen (Extensions) zu installieren, die in der Extension-Datenbank von http://www.phpbb.com bereitgestellt werden, da diese Erweiterungen auf ihre Sicherheit und Funktion überprüft werden.

Deswegen finde ich diese Aussage nicht ganz zutreffend. Eine Erweiterung kann auch funktionieren und sicher sein, ohne dass diese validiert ist.
Auffallend ist, das zahlreiche Autoren von Erweiterungen ihre Extensionen noch nicht in die Erweiterungs-Datenbank eingereicht haben. So auch für Syles für 3.1.*.

[Elsensee]

Auffallend ist, das zahlreiche Autoren von Erweiterungen ihre Extensionen noch nicht in die Erweiterungs-Datenbank eingereicht haben. So auch für Syles für 3.1.*.

Natürlich haben bereits "zahlreiche Autoren von Erweiterungen" ihre Erweiterungen eingereicht. Nur wurden noch keine, außer den Offiziellen, angenommen: https://www.phpbb.com/customise/db/queu ... /extension

Darf ich mal (aus reinem Interesse) fragen, warum deine Erweiterung abgelehnt wurde?

[Gast234254]

@Elsensee, habe dir eine PN gesendet. Da es sonst zu weit von diesem Thema abkommen würde.

Das große Problem liegt auch daran, das nur in Englisch geschrieben wird für das einreichen von Styles/Mods/Erweiterungen. Der dem Englischem nicht mächtig ist, hat dann bei der Kommunikation Probleme. Sind dann die Styles/Mods/Erweiterungen, von denen die nicht fließend Englisch können, nicht tauglich für phpBB?
Ich bin sehr verärgert über die Aussage in dem eingehendem Beitrag! Diese Aussage verleitet dazu anzunehmen, das Styles/Mods/Erweiterungen die nicht in der Datenbank von phpBB.com sind, minderwertig sind.

[HabNurNeFrage]

Hi, das sehe ich anders.

Da steht lediglich, dass die validierten Styles/Extensions unter anderem einer Sicherheitsprüfung unterzogen werden und dadurch eventuell vertrauenswürdiger sind als andere, die sich dieser Prüfung nicht gestellt oder sie nicht bestanden haben. Außerdem wird bezüglich der Nutzung nur eine Empfehlung ausgesprochen.

Unbestritten ist, dass diese Prüfung dafür sorgt, die Qualität von Styles/Extensions auf einem guten Level zu halten. Geprüft wird ja hauptsächlich die Konformität mit den Coding-Guidelines und die Kompatibilität mit dem Produkt phpBB. Als Hersteller der Software ist es durchaus als legitim anzusehen, dass zusätzlicher Code einer Prüfung unterzogen wird, bevor dieser in den offiziellen Downloadberich aufgenommen wird. Du würdest bestimmt auch nicht anders vorgehen.

Das große FeedBack in den DEV-Foren deutet doch aber darauf hin, dass viele Leute auch Sachen ausprobieren, wenn sie noch nicht validiert sind.
Ich bin auch ein Typ, der gerne auch mal "Unorthodoxes" nutzt bzw. selbst zu etwas "unorthodoxen" Methoden greift

Es wäre tatsächlich schön, wenn dieser Validierungs-Service in unterschiedlichen Sprachen angeboten würde.

LG

[Talk19zehn]

Hello,

Mit einer speziellen Anfrage (XMLHttpRequest) war es Angreifern möglich, eine Endlosschleife in phpBB auszuführen, die auf dem Server eine sehr hohe Last verursacht. Durch die Versionabfrage von installierten Erweiterungen war es außerdem den Autoren der Erweiterung möglich, schadhaften Code auszuführen, wenn ihr euch auf der entsprechenden Seite im Administrationsbereich befindet.

Das habe ich zunächst nicht verstanden und wäre dankbar für eine verständlichere Erläuterung.

Gruß

Edit:
@Elsensee, ich danke für den Link zur Statistik.

[Elsensee]

XMLHttpRequest bezeichnet nach meinem Verständnis sowas wie "Ajax". Ajax ist dieses Konzept der "asynchronen Datenübertragung", was nun vermehrt in phpBB 3.1 eingesetzt wird. Dabei ist es möglich Daten vom Server zu laden, ohne die ganze Seite neu laden zu müssen.
Wurde die Anfrage nun entsprechend manipuliert, konnte man so eine Endlosschleife erreichen.

Und bei der Versionsabfrage war es so, dass man beispielsweise Javascript in die Datei für die Versionsabfrage hätte einschleusen können, der dann genauso ausgeführt werden würde, was natürlich nicht sein darf. Ich glaube das Stichwort hierzu lautet "XSS".

[HabNurNeFrage]

Hi @Talk19zehn,

einfach nach und nach ein bissl einlesen.
Start: http://173.194.112.165/#q=ajax+sicherheitsl%C3%BCcken
Ggf. dann "cross domain" und/oder "xmlhttprequest" in die Suche einbeziehen.

LG

[Crizzo]

Die deutschen Pakete sind nun auch veröffentlicht.

Komplett- und Update-Pakete: https://www.phpbb.de/downloads/pakete.php
Sprachpakete: https://www.phpbb.de/downloads/sprachpakete.php

[nickvergessen]

Auffallend ist, das zahlreiche Autoren von Erweiterungen ihre Extensionen noch nicht in die Erweiterungs-Datenbank eingereicht haben...

Nur wurden noch keine, außer den Offiziellen...

Der Grund dafür warum nach 3.1.1 keine Erweiterungen freigegeben wurden war ganz einfach.
Durch das Sicherheitsupdate 3.1.1 wurde build_url (oder wie die Funktion genau hieß) kaputt gemacht.
Das hatte zur Folge, dass keine Bestättigungs-Boxen confirm_box() funktionieren, Routes app.php/acme/demo nicht korrekt sind und alles was auf $user->page zu greift nicht richtig funktioniert.
Davon waren ungefähr 95% der Extensions betroffen. Deren Funktion konnte daher nicht richtig getestet werden.
Deshalb hat man einfach nur nach groben Schnitzern gesucht und das genaue Testen auf nach dem Update verschoben.
Leider hat sich das 3.1.2 Update allerdings dann nochmal etwas verzögert, wodurch jetzt doch einiger Zeit die Extension Kategorie leer war.
An den Ext Entwicklern lag das allerdings nicht.