Hier wird nichts anderes schlechter gemacht. Ich erachte es nur als vollkommen sinnlos an, alle drei Tage die gleiche Diskussion zu führeniGEL hat geschrieben:Moin!Sorry, aber ich halte das für Schwachsinn. Nur mit dem Finger auf andere, die es möglicherweise noch schlechter machen, macht das eigene Projekt nicht besser.D@ve hat geschrieben:Nicht schon wieder...
KB:147
Dank für die Blumen... Reden wir uns jetzt schon in der dritten Person an? Aber ich stehe zu der Behauptung. Welches System ist sicherer? Das mit 5 Lücken die offen liegen, oder das mit 50 Lücken, die keiner kennt wo es aber nur eine Frage der Zeit ist, bis sie gefunden werden. Security by Obscurity funktioniert nicht (ist übrigens auch offizieller Microsoft-Tenor). Würde man den gleichen Maßstab an andere Foren-Systeme legen würde diese gnadenlos untergehen, weil sich dort schlicht und ergreifend noch niemand derart ausführliche Gedanken über das Thema Sicherheit gemacht hat?Und mit Behauptungen wiemacht sich der Autor lächerlich.D@ve hat geschrieben:Ich behaupte sogar, dass phpBB eines der sicheresten Software-Programme überhaupt ist, eben weil es Open Source ist.
Wir haben jetzt innerhalb von 3 Jahren 16 Patches gehabt. Das sind etwa 5 Updates pro Jahr. Schau Dir den IE an, da kommen fast monatlich soviele Patches raus. Wohlgemerkt: Ich möchte damit NICHT auf andere Leute verweisen um die Fehler in phpBB zu relativieren sondern ich will einfach damit aufzeigen, dass heute jede, ich wiederhole JEDE Software die auch nur im entferntesten etwas mit Internet zu tun hat regelmäßig gepatcht werden muss.Die Praxis zeigt doch, dass 3 Jahre nach einem Release immer noch haufenweise Sicherheitslücken gefunden werden. Open Source allein macht noch kein sicheres Produkt.
Wo ist denn der Code unübersichtlich? Schau Dir mal andere Open-Soruce-Projekte wie zB. osCommerce (eine Shopsoftware im Shopping-Bereich etwa das ist was phpBB im Forenbereich ist) an. DAS ist unübersichtlich.Schade auch, dass man zu dem angeblich so ausgereiften Sicherheitskonzept keine Details genannt bekommt, denn mir ist beim Durchsehen des Codes (beim Patchen/Modden) nicht viel in der Richtung aufgefallen. Kann natürlich sein, dass mir da aufgrund der Unübersichtlichkeit des Codes was durch die Lappen gegangen ist.
Der Vorteil liegt schlicht und ergreifend da, dass die Wahrscheinlichkeit sehr hoch ist, dass die Sicherheitslücken bei offener Software von den Usern gefunden werden (wie das ja auch im aktuellen Beispiel der Fall ist) und nicht von den Crackern.Dass die Verbreitung ein Grund für die vielen Hacks ist, ist sicher richtig, aber so recht kann ich da kein Vorteil für das phpBB rauslesen.
Bei normaler Software ist es so dass ein Sicherheitsloch erst dann gefixt werden kann, wenn das Kind schon in den Brunnen gefallen ist, sprich wenn es von einem Cracker genutzt wurde (selbst dann ist noch nicht gewährleistet, dass man es findet).
Ich habe letztlich gelesen, dass man vermutet dass im IE mindestens vier gravierende(!) Sicherheitslöcher vorhanden sind, von denen bisher nur einige Trojaner-Prgrammierer wissen.
Imo ist es nur eine Frage der Zeit, bis die Cracker sich auch andere Foren-Systeme vornehmen und dann geht das ganze von vorne los... Wir leben einfach in einer Zeit wo man viel patchen muss. Außerdem: Soooo viel Arbeit ist ein Patch auch nicht, wenn man nur die Sicherheitslöcher stopft...Ich habe einfach keine Lust mehr, alle zwei Monate wieder rumzupatchen, und was passiert, wenn man mal einen Patch auslässt, habe ich auch erfahren müssen (Durfte 70 EUR für Traffic nachzahlen, den ein Wurm in einer Nacht angerichtet hat).
Eine Hauptursache in dieser Grundsätzlichen Sicherheitsproblematik (auch was Viren und Tojaner angeht) sehe ich einfach bei den Browsern. Die ganzen Zusatzfunktionen wie Active-X, Java-Script und dergleichen sind einfach viel zu mächtig. Würde man hier etwas zurückfahren (oder einige Funktionen zumindestens per Default deaktivieren), hätten wir wesentlich weniger Probleme...
Gruß, Dave
Also morgen sollte es öffentlich sein 
