phpbb und ständige Sicherheitslücken

adidas · Beitrag von **adidas** » 06.07.2005 11:39

NetHunter hat geschrieben:Wie jetzt?? Du meinst den security mod einmal eingebaut kann man reguläre updates vergessen? Das wäre doch zu schön um wahr zu sein.

ja für faule oder die keine zeit haben. auf jeden fall sollte phpBB Security eingebaut sein und updaten sollte man auch, aber phpBB Security blockt und bannt vieles

NetHunter · Beitrag von **NetHunter** » 06.07.2005 11:47

Das hört sich gut an. Warum wird das nicht standardmäßig mit eingestrickt?
Performancegründe?

Beitrag von **D@ve** » 06.07.2005 11:54

adidas hat geschrieben:
NetHunter hat geschrieben:Wie jetzt?? Du meinst den security mod einmal eingebaut kann man reguläre updates vergessen? Das wäre doch zu schön um wahr zu sein.
ja für faule oder die keine zeit haben. auf jeden fall sollte phpBB Security eingebaut sein und updaten sollte man auch, aber phpBB Security blockt und bannt vieles

Ich hatte bisher noch keine Mölichkeit mir den Mod anzusehen (da der von Dir gepostete Link derzeit nicht geht), dem möchte ich aber aufs eindringlichste wiedersprechen, da es keinen Mod gibt, der ein Board vor allen etwaigen Sicherheitslücken befreien können (außer wie gesagt den Knippex-Mod).

Also nochmal für alle: MODS KÖNNEN KEINE SICHERHEITS-UPDATES ERSETZEN

Das klingt in etwa so wie "Ich hab, ja einen Virenkiller und eine Personal Firewall, also brauche keine Windows-Updates machen"

Gruß, Dave

NetHunter · Beitrag von **NetHunter** » 06.07.2005 11:59

Genauso hatte ich mir das auch gedacht. Danke D@ve für diese klare Stellungnahme.

Beitrag von **D@ve** » 06.07.2005 12:17

NetHunter hat geschrieben:Genauso hatte ich mir das auch gedacht. Danke D@ve für diese klare Stellungnahme.

Naja ich verstehe irgendie nicht, warum wir diese Diskussion jede Woche einmal führen müssen... Bei Windows beschwert sich ja auch niemand über die ständigen Sicherheitslücken.

Gruß, Dave

NetHunter · Beitrag von **NetHunter** » 06.07.2005 12:25

Ich gehöre nicht zu der Gruppe der Beschwerer. Ich wollte nur etwas genaueres zum von adidas ins Spiel gebrachten security mod wissen.

Hätte ja auch sein können das das Ding tatsächlich das nonplusultra ist. Wie gesagt, hab mir aber gleich gedacht das dem nicht so ist. Das phpBB Team ist ja schliesslich auch nicht aus Dummsdorf und hätte das sonst sicher integriert.

Gruß NetHunter

kellanved · Beitrag von **kellanved** » 06.07.2005 13:05

Ich wäre mit der sogennaten "security" mod vorsichtig. Unabhängig von der Wirksamkeit, verbrät sie eine Menge Ressourcen, nur um eine Liste mit angeblich abgefangenen Exploits zu führen.
Das Filtern der Query Strings zwingt bei entsprechenden Antrang jeden Server in die Knie und bietet dabei nur fraglichen Nutzen.
<mutige These>
Denn die Abfragen hindern einen Hacker-in-spe nicht die Befehle einfach umzubennen/einen symLink einzufügen - und schon bringt der Filter gar nichts mehr.
</mutige These>

Ich kenne mich mit der Mod nicht aus; ich habe nur gerade Mal den Code quergelesen. Daher kann ich die Mod auch nicht bewerten; angesichts der Komplexität stellt sich die Frage, ob sie nicht eher neue Probleme schafft, als alte beseitigt.

Fundus · Beitrag von **Fundus** » 06.07.2005 14:58

als alternative kann man den Cracktracker von Cback verwenden, da dieser nicht auch noch DB abfragen ausführt und aktuell auch noch stetig weiter entwicklet wird (macht jetzt gerade beim SecurityCenter nicht so den anschein) außerdem reagiert dieser auch auf die "nigga" attacke.

aber als alheilmittel ist eigentlich keines der tools zu betrachten, da wie gesagt auch ab&an fehler auftauchen die davon unbeindruckt sind

Scotty · Beitrag von **Scotty** » 09.07.2005 15:26

Weiß einer was über diese Meldung:
http://www.boardunity.de/showthread.php?p=29042

?

kellanved · Beitrag von **kellanved** » 09.07.2005 15:54

Was willst Du darüber wissen?

Wenn der besprochene "Fix" allerdings der ist, der auch hier(in einem der drei Threads zu diesem Bug) gepostet wurde: Finger Weg!