Search-Floodcontrol in phpBB 2.0.20

[plACEbo]

Hi,

Wie ich grade dem CVS entnommen habe wird ab 2.0.20 eine Floodcontrol für die Suche geben. Suchen wird dann nur noch in vom Administrator festgelegten Intervallen möglich sein. Ich frage mich ob, dass nur die Server entlasten soll oder auch sicherheitstechnisch relevant sein kann?


mfg

[DerGonzo]

Moin!

Das schützt den Server vor einem Überfluten von Suchanfragen per Scripten.
Im CrackerTracker von CBack gibts diese Funktion (neben etlichen anderen) bereits.

Schönen Gruß,
DerGonzo!

[itst]

Wie ich grade dem CVS entnommen habe wird ab 2.0.20 eine Floodcontrol für die Suche geben. Suchen wird dann nur noch in vom Administrator festgelegten Intervallen möglich sein. Ich frage mich ob, dass nur die Server entlasten soll oder auch sicherheitstechnisch relevant sein kann?

Sicherheitstechnisch im Sinne von 'Einbrüche verhindern' nicht, nein. Wenn man aber einen DoS als Angriff bezeichnet, ist eine Such-Bremse ein Mittel, diesen Angriff abzuwehren bzw. abzuschwächen.

Ich spiele immer mehr mit dem Gedanken, einen Drittanbieter (Abache, Google, ...) einzubinden, der hier eine Volltextsuche anbieten kann. Zumindest würde das einige Probleme der phpBB-Suche lösen, zum Beispiel, dass keine Phrasensuche zur Verfügung steht... Nachteile hätte es natürlich aber auch, ganz klar, von daher wird es erstmal bei Gedankenspielen bleiben

[Seether]

Wie ich grade dem CVS entnommen habe wird ab 2.0.20 eine Floodcontrol für die Suche geben. Suchen wird dann nur noch in vom Administrator festgelegten Intervallen möglich sein. Ich frage mich ob, dass nur die Server entlasten soll oder auch sicherheitstechnisch relevant sein kann?

Wundert mich eh, dass es bisher noch nicht geschehen ist. Gute Idee!!


S.

[Jensemann]

Wundert mich eh, dass es bisher noch nicht geschehen ist. Gute Idee!!

Naja, gut im Sinne von, es schützt einige Leute vor nervenden Webhostern weil das Board zuviel Last verursacht.

Im Grunde betrachte ich eine solche Entwicklung aber zumindest mit ein bisschen Sorge, weil Software durch solche Dinge immer fetter wird, wenn man es übertreibt leider endlos fetter. Ich denke ein solches Feature hat mehr was im Webserver zu suchen, warum etwa gibt es kein Apache Modul das misst wie lange ein Script zur Ausführung braucht und diesen maximale Aufruf-Intervalle und Summe der Parallel-Betriebe erzwingt.

[larsneo]

Ich denke ein solches Feature hat mehr was im Webserver zu suchen, warum etwa gibt es kein Apache Modul das misst wie lange ein Script zur Ausführung braucht und diesen maximale Aufruf-Intervalle und Summe der Parallel-Betriebe erzwingt.

mod_throttle war ja zumindestens ein netter ansatz für 1.3... letztendlich stimme ich aber mit itst überein - die suchfunktion im phpbb2 ist ein krampf...

[Seether]

Was genau ist so schlecht an ihr?
Man war doch eigentlich froh nachdem man von der 1.X-Suche weg war....


S.

[itst]

Die Architektur der Suche ist ein Krampf. Der Aufwand, der getrieben wird (werden musste) ist sehr hoch. Und das Resultat der Bemühungen ist nicht mehr zeutgemäß. Siehe zum Beispiel die fehlende Phrasensuche. Das Hauptproblem aber ist die Tatsache, das phpBB auf so vielen Datenbanken wie möglich standardmäßig laufen soll. Kompatibilität bezahlt man eben immer mit dem Preis des kleinsten gemeinsamen Nenners... MySql zum Beispiel bietet ab Version 4.x einen Volltextindex an. Den kann phpBB aber nicht nutzen, weil es eben auch auf MySql 3.x sowie sechs anderen DBMS laufen soll.

[miccom]

Überfluten von Suchanfragen per Scripten.

ist jemanden von euch in dieser hinsicht schon mal die ip 213.163.120.38 negativ aufgefallen?

schön das dieses feature in 2.0.20 einzug halten wird

[Fundus]

beim CH von ptirhiik soll die mysql Volltextsuche funktionieren
http://ptifo.clanmckeen.com/viewtopic.p ... text#18914

hilft zwar den anderen DBs wenig, aber ich denke ein guter schritt, warum das noch keiner als eigenständigen mod ins auge gefasst hat