Hallo,
Ich suche eine möglichst einfache Seite, Quelle, die so SCHNELL wie möglich über ein mögliches Sicherheitsproblem in phpbb informiert.
1.) Es sollte so einfach und so gut wie möglich parsebar sein, mittels eines Scripts
2.) Die Quelle soll wirklich verlässlich sein und dort sollte möglichst schnell als erstes aufscheinen, dass eine Lücke gefunden wurde
3.) Es keine Details zur Lücke wichtig
Hintergrund: Es tut mir leid das sagen zu müssen, aber in Bezug auf Sicherheit fehlt mir das Vertrauen zu phpbb absolut. Das war mir bis jetzt egal, da unser Board nur intern zugaenglich war.
Aber jetzt ist es oeffentlich und wenn ich da an so manche Luecken denke, mit denen sogar Befehle ausgefuehrt werden koennen laeufts mir kalt den Ruecken hinunten. Auch wenn es ein "unpriviligierter" Benutzer ist.
Da mein Hauptberuf auch nicht die Wartung der Seite ist und ich unterm Jahr viel Stress haben kann, möchte ich nun ein cron-Script schreiben, das diese möglichst vertrauenswürdige Quelle parst und abfragt, ob eine Lücke gefunden wurde. Falls ja, wird ein Flag gesetzt (file erstellt zb).
Direkt in der common.inc.php wird dann ganz am Anfang abgefragt, ob die Datei existiert, und wenn ja, sofort ein die gemacht, bis ich den Fehler beseitigt habe.
Da unser Forum nicht soo viele User hat, ist mir das lieber, als mich dem Risiko eines Angriffs aussetzen zu müssen.
Und natürlich kann das keine gute oder vollständige Massnahme sein, aber eben eine, die mir ein bisschen weiterhilft.
Aus dem wird auch klar: Ankündigungen auf neue Versionen helfen mir nix, da die oft viel später rauskommen, als der Bug bekannt ist.
Vielen Dank für eure Tipps!
Möglichst einfachste, verlässliche Quelle für phpbb security
Forumsregeln
phpBB 2.0 hat das Ende seiner Lebenszeit überschritten
phpBB 2.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 2.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf phpBB 3.1, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
phpBB 2.0 hat das Ende seiner Lebenszeit überschritten
phpBB 2.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 2.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf phpBB 3.1, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
-
markusbauer
- Mitglied
- Beiträge: 9
- Registriert: 20.06.2004 19:25
-
larsneo
- Mitglied
- Beiträge: 2622
- Registriert: 07.03.2002 15:23
- Wohnort: schwäbisch gmünd
- Kontaktdaten:
da ich ein forum mit >200k beiträgen technisch betreue geht mein denken in eine ähnliche richtung - der ansatz ist allerdings ein anderer: http://www.phpbb.de/viewtopic.php?t=107499
während man mittels .htaccess schon viele nachlässigkeiten innerhalb von phpbb und insbesondere den zusatzmodulen beheben kann, ist modsecurity (zumindestens für leute die zugriff auf die server-kofig haben) ein wahrer segen als präventivmassnahme...
während man mittels .htaccess schon viele nachlässigkeiten innerhalb von phpbb und insbesondere den zusatzmodulen beheben kann, ist modsecurity (zumindestens für leute die zugriff auf die server-kofig haben) ein wahrer segen als präventivmassnahme...
-
markusbauer
- Mitglied
- Beiträge: 9
- Registriert: 20.06.2004 19:25
Danke einmal für den Post, der schaut mal nach einem netten Anfang aus 
Tja, was die Daten des Forums selbst betrifft - die sind mir egal, die werden täglich auf 2 verschiedene Quellen gesichert.
Es geht darum, dass das auf meinem eigenen Server läuft (habe deswegen natürlich auch Zugriff auf alle configs), den ich grundsätzlich natürlich so sicher wie möglich machen will, serverseitig passiert da schon viel, nach aussen is nix zugänglich ausser eben der apache und ssh und intern wird alle 2 tage cron-apt ausgeführt.
Zusätzlich wäre mir trotzdem eine Lösung für meine Idee nicht unangenhem, da unser Forum noch nicht so gross ist, sodass es durchaus einen Ausfall zugunsten der Sicherheit vertragen kann
mfg
Tja, was die Daten des Forums selbst betrifft - die sind mir egal, die werden täglich auf 2 verschiedene Quellen gesichert.
Es geht darum, dass das auf meinem eigenen Server läuft (habe deswegen natürlich auch Zugriff auf alle configs), den ich grundsätzlich natürlich so sicher wie möglich machen will, serverseitig passiert da schon viel, nach aussen is nix zugänglich ausser eben der apache und ssh und intern wird alle 2 tage cron-apt ausgeführt.
Zusätzlich wäre mir trotzdem eine Lösung für meine Idee nicht unangenhem, da unser Forum noch nicht so gross ist, sodass es durchaus einen Ausfall zugunsten der Sicherheit vertragen kann
mfg
