Hallo,
vorweg etwas Lesestoff zur Erklärung für diejenigen die Rat/Hilfe zur Diagnose suchen (wofür das Thema ja
eigentlich geöffnet wurde):
Der CTracker kann natürlich nur schützen, wenn er geladen wird, also sprich auf der phpBB Basis und dort nur bei Dateien die auch die common.php einbinden (bzw. beim ACP ist es die pagestart.php). Man sollte also als Admin der geschützt sein möchte auch folgendes beachten:
http://www.blog.cback.de/?p=33 (2006 bereits beschrieben). So kann man schon mal mit dem Ausschlussverfahren arbeiten um mögliche Scripte, die eigentlich nur eingebunden werden sollen und nicht direkt ausgeführt werden sollten, zu identifizieren. Auch gab es schon das Problem, dass bei manuellen phpBB Updates etwas übersehen wurde, was dann nachträglich doch noch ausgenutzt werden konnte.
Außerdem muss natürlich Serversoftware sowie andere Scripte die nicht durch CT geschützt werden auf dem neuesten Stand sein. Vor einiger Zeit lief z.B. eine schwere Attacke gegen eine alte Version des Joomla CMS (aktuelle Versionen von Joomla sind natürlich wieder gesichert!). Dort angebundene phpBB Foren wurden dann mit infiziert, da Joomla natürlich nicht geprüft war. Eine zusätzliche Sicherheit, die ja auch vom CTracker empfohlen wird wäre die PHP Einstellung safe_mode on und register_globals off. Gerade letzteres sorgt dafür, dass die meisten Angriffe auf bekannte Software nicht mehr funktionieren.
Das also mal noch überprüfen, da findet man oft Schwachstellen von denen man bislang noch nichts wusste. Hier spricht 4seven durchaus sehr gute Punkte an. Der Benutzer muss natürlich auch ein entsprechendes Wissen haben, damit ein Tool helfen kann oder man anderweitige Flüchtigkeitsfehler verhindern kann. (Thx 4seven!) Zusätzliche Tools erleichtern die Arbeit jedoch ungemein und Fakten, wie häufig Dinge verhindert werden, liegen klar nicht nur von meiner Seite vor. Vorgestern bei mir erst wieder jemanden ertappt der versuchte von einem 1&1 Zugang mein Passwort herauszufinden. Versuche wurden schön protokolliert und so sah man was los war. Und auch der ersparte Datenverkehr bei den vielen automatischen Scripten die einfach mal alle Attacken ausprobieren ist enorm. Also hier sind Tools schon sehr sehr nützlich, aber natürlich
zusätzlich zu aktueller Serversoftware / Forensoftware.
Ansonsten:
Wer eine
vernünftige Diskussion führt sollte allerdings lieber Tatsachen und Fakten vorbringen, als blind Angriffe gegen meine Person (oder auch andere die nun gerne mit hereingezogen werden) zu fahren. Dies ist am Besten zu unterlassen. Sowas geht auch in Foren schnell ins Auge. Für die Sicherheit des Mods selbst bin außerdem nicht nur ich als der Entwickler des Systems verantwortlich. Hier sind auch noch weitere erfahrene Programmierer mit dabei die regelmäßig die Sicherheit überprüfen und auch neue Wurmarten Recherchieren, sodass die Engine immer sofort aktualisiert wird, wenn etwas neues gemeldet wurde. Außerdem ist in der unmittelbaren Modentwicklung seit der 5er Version, obwohl ich eigentlich sonst keinen mehr dazulassen wollte, kein anderer als cYbercOsmOnauT mit im Boot. Ein wie ich sagen muss gerade in der Sicherheitssparte sehr erfahrener Programmierer der sein Fachwissen sehr in das Development eingebracht hat und unter anderem Ideen wie den Debugger geliefert hatte was ich sehr zu schätzen weiß. Ich bin froh, dass das Entwicklerteam sich so also aus einem sehr reaktionsschnellen Duo zusammensetzt, dass in der entsprechenden Brache lange Erfahrungen vorweisen kann. Außerdem reagieren wir auch immer wieder gerne auf konstruktive Meldungen von Usern, wie der Changelog sicherlich beweist.
Mit Angriffen und auch "Kritiken" allerdings, die eben auch so formuliert sind à la "der heilige CBACK" (was ich übrigens direkt unterbinden könnte wenn ich kurz laut gebe), ist es doch legitim, dass man auf
solche Dinge anders reagiert. Es fielen auch schon gelegentlich in "Kritiken" Wörter, die man so hier nicht wiedergeben darf, da ich sonst gegen die Regeln dieses Forums verstoßen würde. Auch per E-Mail kamen schon die ein oder anderen Hämmer. Wer blind beleidigt - und das mit Wörtern die nicht gerade von Zivilisation oder Intelligenz zeugen - muss sich nicht wundern, dass man dann eingreift denn es verstößt gegen Personenrechte und gegen die normalen Sitten. Nur soviel sei gesagt: eine derartige Fraktion bei erfolgreichen Produkten - die sogar von Hostern eingesetzt werden und von Leuten mit Erfahrung deutlich empfohlen werden - taucht immer wieder auf. Wer die Inhalte liest und auch wie primitiv sie gegenüber einer oder mehreren Personen gelegentlich formuliert werden (das mit den Fanboys ist ja auch wieder so ein blinder Schuss mangels Argumentationsfähigkeit, oxpus hat da so schön das "unter der Gürtellinie" gebraucht) kann sich selbst Gedanken machen, mit wem er es da zu tun hat und wie ernst man den Gegenüber dann zu nehmen hat. Soviel dazu.
Gegen Konstruktive Kritik habe ich definitiv nichts. Wer das nicht glaubt kann gerne in Changelogs etc. nachsehen wie häufig Benutzerwünsche umgesetzt wurden. Der Ton macht die Musik. Nicht mehr, nicht weniger.
Da dieses Topic wie so viele andere von den Themen abschweift und diversen Leuten nur eine Platform gibt sich zu profilieren ohne sich dabei auf Tatsachen oder eine sachliche Diskussion zu berufen sage ich zu solchen Dingen allerdings nichts mehr gezielt zu diesen Personen.
Jedem steht es frei ein Tool zu nutzen oder nicht. Und das es auch Leute gibt die einem einfach nicht mögen und dann Scheuklappen aufhaben, jessgott, da muss jeder mit Leben.
Es gibt da kleine aber doch feine und Ausschlaggebende Unterschiede was Kritik ist, was Verbesserungsvorschläge sind und was geplante Schädigung ist oder einfach nur Miesmache ist.
Statt hier Leuten mit Problemen zu helfen stürzt man sich lieber gleich auf eine vermeintliche Gelegenheit wieder was schlechtzureden. Jedenfalls kommt es mir so vor. Jemand fragt hier nach Hilfe und möchte in diesem Thema Antworten finden. Stattdessen wird die Anfrage übergangen und lieber Seitenweise Schuldzuweisung betrieben. Hilft dem Threadsteller nicht wirklich, kann sogar noch mehr schaden, wenn es sich um Einsteiger handelt die bei solchen Diskussionen weiter verunsichert werden. Aber naja, gibt halt alle möglichen Hobbys auf der Welt.
(Ist im Guten gesagt, nicht an jemanden speziell gerichtet).
Gruß,
Chris