Re: H@CK3D BY H@CK425
Verfasst: 08.06.2008 13:26
Soviel zu dem Thema 'Ctracker schützt mich vor Hackerangriffen' ...Matthaei hat geschrieben:Hallo liebe PHPbbler,
ich wurde heute mit aktueller PHPBB Software + Crackertracker gehacked.
Seite 2 von 3
Re: H@CK3D BY H@CK425
Verfasst: 08.06.2008 14:22
Oha, ganz so einfach sollte man solche Äusserungen nicht raushauen, denn man muss ja nachfragen nach:SteveHH hat geschrieben:Soviel zu dem Thema 'Ctracker schützt mich vor Hackerangriffen' ...Matthaei hat geschrieben:Hallo liebe PHPbbler,
ich wurde heute mit aktueller PHPBB Software + Crackertracker gehacked.
- Waren andere MODs installiert, die ggf. eine Sicherheitslücken hatten
- War der Webspace/Server abgedichtet genug
- Hatte die Datenbank vielleicht ein Leck
- Konnte man im Webserver eine Lücke finden
Der Cracker Tracker ist neben allen Sicherheitsupdates des phpBB auch kein Allheilmittel, das gilt auch für alle anderen Sicherheitstools und Vorkehrungen gleichermassen, nur ohne ist es einfacher, Lücken in einem phpBB (also gemeint ist hier das Board, nicht allein der phpBB Kern!) auszunutzen.
Und es gibt leider immer noch sehr viele MODs, die ettliche Sicherheitslücken und -risiken haben, die der CT aber zum grössten Teil abfangen kann. Aber eben nur zum grössten Teil, denn auch der CT hat technische Grenzen.
Daher ist dieses Aussage, nach dem Motto "Der CT hält doch nicht, was er verspricht", so nicht zutreffend, denn der Rest muss auch passen, sonst kann der CT nicht seinen Teil der Sicherheit beisteuern.
Bestes Beispiel sind auch Desktop Firewalls: Wenn man einem Programm erlaubt, alles im Internet zu dürfen und die Firewall dann den Traffic dieses Programms nicht mehr prüft, so muss das Programm selber sicher genug sein, damit Hacker und Cracker keine Chance haben.
Siehe eben alle Webbrowser, die in Firewalls meistens zu 100% zugelassen sind.
Auch beim CT kann man, aus Gründen der Kompatibilität, diverse Scripte aus der Sicherheitsprüfung gänzlich ausnehmen und öffnet damit alle ggf. enthaltenen Sicherheitslücken, was allerdings keine Lösung, sondern nur eine Hilfe sein sollte, bis das jeweilige Script angepasst wurde!
Und dafür kann dann der CT dann auch nichts, wenn diese "ausgeschalteten" Scripte folglich ausgenutzt werden können, oder
Noch besseres Beispiel sind Autos: Man fährt wohl heutzutage kaum noch ohne eine Masse an passiver und aktiver Sicherheit im Auto, aber was nutzt der beste Gurtstraffer, Airbag, Überrollbügel, wenn man z. B. von einer sagen wir mal 100 Meter hohen Talbrücke fällt, weil man wegen Übernachtigung kurz mal eingeschlafen war?
Scheiß Auto?
Verfasst: 08.06.2008 16:15
Wenn Du dir den Ursprungs-Text durchgelesen hättest, dann wüsstest Du, das der C-Tracker die einzige Mod. war .
Ich habe das auch nur so geschrieben, weil sehr viele User denken, sie wären mit diesem Teil absolut auf der sicheren Seite. Das dem nicht so ist, beweisen in letzter Zeit vermehrt die Postings, das Boards mit dem CTracker gehackt wurden. Es KANN natürlich sonstwo dran liegen - aber teilweise hat bestimmt auch der CTracker einem Angriff Tor und Tür geöffnet. Sind wir doch einmal ehrlich: KEIN Programmierer ist Perfekt .. auch nicht der Erfinder des Ctracker.
Gruß,
Steve
.Ich habe das auch nur so geschrieben, weil sehr viele User denken, sie wären mit diesem Teil absolut auf der sicheren Seite. Das dem nicht so ist, beweisen in letzter Zeit vermehrt die Postings, das Boards mit dem CTracker gehackt wurden. Es KANN natürlich sonstwo dran liegen - aber teilweise hat bestimmt auch der CTracker einem Angriff Tor und Tür geöffnet. Sind wir doch einmal ehrlich: KEIN Programmierer ist Perfekt .. auch nicht der Erfinder des Ctracker.
Gruß,
Steve
Verfasst: 08.06.2008 16:31
Nun mach mal das phpbb 2.0.23 und den CT nicht so schlecht 
Was nützt der beste Schutz, wenn die Plattforum unsicher ist?
In einem sehr aktuellen Fall wurde bei meinem Webhoster ein Server gehackt. Alle Seiten die darauf sind waren betroffen!
Mit Sicherheit einige Foren etc.
Deswegen eher meine Frage: Hat sich Matthaei auch mal an den Webhoster gewandt?
Ps: Mein Webhoster hat übrigens gut und schnell reagiert. Der Server stand eh schon auf der Abschussliste und die Leute sollten eh umziehen auf einen neueren sicheren Server. So wurde halt alles in einem Rutsch gemacht.
Was nützt der beste Schutz, wenn die Plattforum unsicher ist?
In einem sehr aktuellen Fall wurde bei meinem Webhoster ein Server gehackt. Alle Seiten die darauf sind waren betroffen!
Mit Sicherheit einige Foren etc.
Deswegen eher meine Frage: Hat sich Matthaei auch mal an den Webhoster gewandt?
Ps: Mein Webhoster hat übrigens gut und schnell reagiert. Der Server stand eh schon auf der Abschussliste und die Leute sollten eh umziehen auf einen neueren sicheren Server. So wurde halt alles in einem Rutsch gemacht.
Verfasst: 08.06.2008 17:53
@SteveHH
Bevor dieses Topic wieder zu einem Hassdiskussionspunkt wird, solltest Du mal lesen, was ich geschrieben habe:
Und damit wäre Deine folgende Aussage auch zu relativieren:
Wenn 1:1 hier passen, okay, dann ist der CT unzureichend oder gar gefährlich, aber rein diese Vermutung als Beweis anzuführen, ist schon schwach.
Und Vorsicht:
Hast Du Dir denn mal den CT angeschaut, wie der arbeitet?
Der CT verwendet für die Prüfung auf Angriffe keine Datenbankzugriffe, greift nicht auf Dateien ausserhalb des Forums zu und auch noch nicht einmal auf die Dateien des Boards selber, sondern er loggt Angriffsversuche in eigenen Textdateien noch bevor irgendeine phpBB Session erzeugt wurde!
Rein theoretisch kann hier noch nicht einmal eine Sicherheitslücke entstehen!
Alles andere, was an zusätzlichen Funktionen im CT steckt, ist mehrfach auch auf Sicherheit hin geprüft und vom Autor über einige Jahre hinweg entwickelt und permanent verbessert worden.
Klar, Lücken kann man nicht immer ausschliessen und ich will jetzt auch nicht behaupten, daß der CT nicht vielleicht doch eine Lücke hat, aber die wäre dann wirklich sehr neu entdeckt oder auch gut geheim gehalten worden, denn viele User setzen den CT ein und melden jede Lücke im CT dem Autor. Und unter diesen Anwendern sind auch viele Leute, die wissen, was Sicherheit bedeutet und die CT-Scripte machen.
Nur ist es aber auch immer leichter, etwas, was scheinbar (und ohne konkreten Beweis) doch geknackt wurde, zu verteufeln, als sich mit dem Teil selber auseinander zu setzen und die tatsächliche Ursache für die Hacks herauszufinden.
Verwender des CT, der nur ein einzelnes Baustein des Sicherheitskonzeptes einer Webseite darstellt (und sein sollte!), machen dann auch meist den Fehler, sich einzig und allein darauf zu verlassen.
Ist auch in diesem Punkt vergleichbar mit einem Antispam-Programm: Wenn das Programm z. B. eine Email als "Nicht-Spam" durchlässt und der Empfänger dieser Email selbige öffnet und gar noch Anhänge anklickt, ja dann kann das Antispam-Tool auch nicht mehr helfen, sondern nur noch ein Anti-Virus-Programm. Wenn überhaupt installiert und aktuell, denn ich habe auch in meinem Bekanntenkreis viele, Benutzer, die denken "Wenn ich ein Antispam-Programm habe, brauche ich doch kein Antivirus Programm mehr...". Konzept missverstanden und auch die Aktualisierungen werden immer wieder gerne mal vernachlässigt, denn "sooooo viel Spam bekommt man ja nicht". Wobei vergessen wird, daß einzig und alleine schon ein Schädling ausreicht, um einen Super-Gau zu verursachen.
Oder warum haben sich z. B. auch immer wieder "bekannte" Trojaner schlagartig verteilt, wo die User bewusst den Anhang der Emails öffnen mussten, um den Schädling freizusetzen?
Gleiches gilt 1:1 auch anwendbar für den Cracker Tracker, der, wie ich in meinem letzten Post auch schon schrieb, für einzelne Scripte im Forum abgeschaltet werden kann, damit diese, zunächst, weiter funktionieren. Und auch nur dafür ist diese Funktion gedacht!!!
Das entbindet aber den Forenbetreiber dann nicht von seiner Aufgabe, diese so ausgeklammerten Scripte anzupassen oder anpassen zu lassen, damit die Sicherheit wieder gegeben und der CT wieder eingeschaltet werden kann.
Und genau hier wird meist nichts unternommen (aus den unterschiedlichsten Gründen), was dann schnell zu erfolgreichen Hacks führen kann. Und wer oder was ist dann Schuld? Klar der CT, obwohl der überhaupt nichts dazu kann!
Ist auch wie ein installierter Sicherheitgurt in einem Auto, wenn den keiner anlegt: Er ist da, hilft dann aber überhaupt nicht!
Noch einmal:
Bitte keine voreiligen Schlüsse ziehen, die nicht bewiesen sind und Dinge schlecht reden, die es dann vielleicht gar nicht sind.
Wenn vermehrt Boards mit installiertem Cracker Tracker angegriffen werden, muss man sich klar fragen, ob es am CT lag, aber weil der eine Sicherheitslücke ins System reißt oder ob es doch an etwas anderem lag und nur Boards mit installiertem CT beliebte Angriffsziele geworden sind?
Bislang habe ich da jedenfalls noch kleinen Beweis gesehen, daß der CT selber tatsächlich geknackt worden wäre oder für einen erfolgreichen Hack eine Tür im Board geöffnet hätte.
Erst wenn das bekannt ist, können wir weiter darüber reden, ob der CT wirklich soooooo schlecht ist, wie er oft öffentlich hingestellt wurde.
Fazit:
Beweise sind was Feines, alles andere graue Vermutungen.
Und solange nicht bewiesen ist, daß der CT Lücken hat oder verursacht, bitte ich einfach nur darum, die hier getroffenen Aussagen, daß der CT Schuld an den erfolgreichen Hacks ist, zu unterlassen!
Bedenkt bitte immer, daß grössere Hoster ettliche phpBB-Foren auf ihren Servern hosten und wenn ein Hoster (durch was auch immer) gecrackt wurde, dann sind alle Foren mit gehackt. Der CT ist dann machtlos und nicht Schuld an der Misere.
Also immer schön differenzieren, was die Ursache war, dann können wir weiter über Sinn und Unsinn des CT diskutieren.
Nur leider erfährt man über diese Lücken meist nur wenig bis gar nichts. Schade, würde das doch eben allen anderen helfen, selber für höhere Sicherheit sorgen zu können...
Bevor dieses Topic wieder zu einem Hassdiskussionspunkt wird, solltest Du mal lesen, was ich geschrieben habe:
Auch der erste Punkt wird meist nicht korrekt beantwortet, denn selbst eigene Änderungen am phpBB sind MODs; MOD = Modifikation- Waren andere MODs installiert, die ggf. eine Sicherheitslücken hatten
- War der Webspace/Server abgedichtet genug
- Hatte die Datenbank vielleicht ein Leck
- Konnte man im Webserver eine Lücke finden
Und damit wäre Deine folgende Aussage auch zu relativieren:
SteveHH hat geschrieben:Wenn Du dir den Ursprungs-Text durchgelesen hättest, dann wüsstest Du, das der C-Tracker die einzige Mod. war
Wer so denkt, hat das Thema Sicherheit in IT-Systemen nicht verstanden oder sich darüber keine (ausreichenden) Gedanken gemacht.SteveHH hat geschrieben:Ich habe das auch nur so geschrieben, weil sehr viele User denken, sie wären mit diesem Teil absolut auf der sicheren Seite.
Das ist nur eine Annahme und noch lange kein Beweis! Und daher liebe ich solche Aussagen ganz besonders, denn hier wird wieder gegen etwas aufgehetzt, was vielleicht doch nicht Schuld ist.SteveHH hat geschrieben:Das dem nicht so ist, beweisen in letzter Zeit vermehrt die Postings, das Boards mit dem CTracker gehackt wurden. Es KANN natürlich sonstwo dran liegen - aber teilweise hat bestimmt auch der CTracker einem Angriff Tor und Tür geöffnet.
Wenn 1:1 hier passen, okay, dann ist der CT unzureichend oder gar gefährlich, aber rein diese Vermutung als Beweis anzuführen, ist schon schwach.
Und Vorsicht:
Hast Du Dir denn mal den CT angeschaut, wie der arbeitet?
Der CT verwendet für die Prüfung auf Angriffe keine Datenbankzugriffe, greift nicht auf Dateien ausserhalb des Forums zu und auch noch nicht einmal auf die Dateien des Boards selber, sondern er loggt Angriffsversuche in eigenen Textdateien noch bevor irgendeine phpBB Session erzeugt wurde!
Rein theoretisch kann hier noch nicht einmal eine Sicherheitslücke entstehen!
Alles andere, was an zusätzlichen Funktionen im CT steckt, ist mehrfach auch auf Sicherheit hin geprüft und vom Autor über einige Jahre hinweg entwickelt und permanent verbessert worden.
Klar, Lücken kann man nicht immer ausschliessen und ich will jetzt auch nicht behaupten, daß der CT nicht vielleicht doch eine Lücke hat, aber die wäre dann wirklich sehr neu entdeckt oder auch gut geheim gehalten worden, denn viele User setzen den CT ein und melden jede Lücke im CT dem Autor. Und unter diesen Anwendern sind auch viele Leute, die wissen, was Sicherheit bedeutet und die CT-Scripte machen.
Das hat auch keiner behauptet.SteveHH hat geschrieben:Sind wir doch einmal ehrlich: KEIN Programmierer ist Perfekt .. auch nicht der Erfinder des Ctracker.
Nur ist es aber auch immer leichter, etwas, was scheinbar (und ohne konkreten Beweis) doch geknackt wurde, zu verteufeln, als sich mit dem Teil selber auseinander zu setzen und die tatsächliche Ursache für die Hacks herauszufinden.
Verwender des CT, der nur ein einzelnes Baustein des Sicherheitskonzeptes einer Webseite darstellt (und sein sollte!), machen dann auch meist den Fehler, sich einzig und allein darauf zu verlassen.
Ist auch in diesem Punkt vergleichbar mit einem Antispam-Programm: Wenn das Programm z. B. eine Email als "Nicht-Spam" durchlässt und der Empfänger dieser Email selbige öffnet und gar noch Anhänge anklickt, ja dann kann das Antispam-Tool auch nicht mehr helfen, sondern nur noch ein Anti-Virus-Programm. Wenn überhaupt installiert und aktuell, denn ich habe auch in meinem Bekanntenkreis viele, Benutzer, die denken "Wenn ich ein Antispam-Programm habe, brauche ich doch kein Antivirus Programm mehr...". Konzept missverstanden und auch die Aktualisierungen werden immer wieder gerne mal vernachlässigt, denn "sooooo viel Spam bekommt man ja nicht". Wobei vergessen wird, daß einzig und alleine schon ein Schädling ausreicht, um einen Super-Gau zu verursachen.
Oder warum haben sich z. B. auch immer wieder "bekannte" Trojaner schlagartig verteilt, wo die User bewusst den Anhang der Emails öffnen mussten, um den Schädling freizusetzen?
Gleiches gilt 1:1 auch anwendbar für den Cracker Tracker, der, wie ich in meinem letzten Post auch schon schrieb, für einzelne Scripte im Forum abgeschaltet werden kann, damit diese, zunächst, weiter funktionieren. Und auch nur dafür ist diese Funktion gedacht!!!
Das entbindet aber den Forenbetreiber dann nicht von seiner Aufgabe, diese so ausgeklammerten Scripte anzupassen oder anpassen zu lassen, damit die Sicherheit wieder gegeben und der CT wieder eingeschaltet werden kann.
Und genau hier wird meist nichts unternommen (aus den unterschiedlichsten Gründen), was dann schnell zu erfolgreichen Hacks führen kann. Und wer oder was ist dann Schuld? Klar der CT, obwohl der überhaupt nichts dazu kann!
Ist auch wie ein installierter Sicherheitgurt in einem Auto, wenn den keiner anlegt: Er ist da, hilft dann aber überhaupt nicht!
Noch einmal:
Bitte keine voreiligen Schlüsse ziehen, die nicht bewiesen sind und Dinge schlecht reden, die es dann vielleicht gar nicht sind.
Wenn vermehrt Boards mit installiertem Cracker Tracker angegriffen werden, muss man sich klar fragen, ob es am CT lag, aber weil der eine Sicherheitslücke ins System reißt oder ob es doch an etwas anderem lag und nur Boards mit installiertem CT beliebte Angriffsziele geworden sind?
Bislang habe ich da jedenfalls noch kleinen Beweis gesehen, daß der CT selber tatsächlich geknackt worden wäre oder für einen erfolgreichen Hack eine Tür im Board geöffnet hätte.
Erst wenn das bekannt ist, können wir weiter darüber reden, ob der CT wirklich soooooo schlecht ist, wie er oft öffentlich hingestellt wurde.
Fazit:
Beweise sind was Feines, alles andere graue Vermutungen.
Und solange nicht bewiesen ist, daß der CT Lücken hat oder verursacht, bitte ich einfach nur darum, die hier getroffenen Aussagen, daß der CT Schuld an den erfolgreichen Hacks ist, zu unterlassen!
Bedenkt bitte immer, daß grössere Hoster ettliche phpBB-Foren auf ihren Servern hosten und wenn ein Hoster (durch was auch immer) gecrackt wurde, dann sind alle Foren mit gehackt. Der CT ist dann machtlos und nicht Schuld an der Misere.
Also immer schön differenzieren, was die Ursache war, dann können wir weiter über Sinn und Unsinn des CT diskutieren.
Nur leider erfährt man über diese Lücken meist nur wenig bis gar nichts. Schade, würde das doch eben allen anderen helfen, selber für höhere Sicherheit sorgen zu können...
Verfasst: 08.06.2008 19:33
Das sei' alles mal dahingestellt .. aber ich frage mich eins wirklich: Warum darf man sich eigentlich NIE kritisch gegen den CTracker äussern ? Ich habe schon eine PN mit der Aufforderung, die Kritik am CTracker zu unterlassen, bekommen - ansonsten würde man eine Klage auf Unterlassung gegen mich anstrengen ... und mindestens 1 anderer User (von dem ich weiss) hier auf dem Board hat schon ähnliches bekommen ..
Wie kann man nur derart von seinem eigenen Produkt überzeugt sein, das man nicht einmal Kritik zulässt ?
Wie kann man nur derart von seinem eigenen Produkt überzeugt sein, das man nicht einmal Kritik zulässt ?
Verfasst: 08.06.2008 21:07
Weil es den heiligen CBack zutiefst kränkt wenn man es wagt an seiner Unfehlbarkeit zu zweifeln.
Da er in seinem Forum negative Meinungen gerne löscht und hier seine Fanboys sofort einspringen glauben leider immer noch Leute das der CT unbedingt nötig ist.
Der CT ist sicher nicht schlecht, aber bei weitem nicht der Sicherheitsbringer als der er angepriesen wird.
Da er in seinem Forum negative Meinungen gerne löscht und hier seine Fanboys sofort einspringen glauben leider immer noch Leute das der CT unbedingt nötig ist.
Der CT ist sicher nicht schlecht, aber bei weitem nicht der Sicherheitsbringer als der er angepriesen wird.
Verfasst: 08.06.2008 23:44
Seis drum. Sicherheit ist ein Konzept und kann nicht oder kaum durch Tools erreicht werden. Ist der Server, das PHP, das MySql und alle anderen Komponenten optimal und sicher eingestellt (neueste Versionen und Distributionen sollten selbstverständlich sein) und ist auch die Forensoftware und deren Plugins sicher configuriert, dann braucht man kein zusätzliche Software.
Das gleiche gilt für Win32/64 und alle anderen Systeme.
Und nochmal zum mitschreiben: Sicherheit ist ein Konzept
Das gleiche gilt für Win32/64 und alle anderen Systeme.
Und nochmal zum mitschreiben: Sicherheit ist ein Konzept
Verfasst: 08.06.2008 23:54
@SteveHH
Kritik ist wichtig, sollte aber immer objektiv und konstruktiv sein, alles andere ist wirklich nicht brauchbar.
@darkon
Cback ist für jeden gemeldeten Fehler in seinen "Produkten" dankbar, aber ständige Hasstriarden gegen Sicherheitstools, wie es der CT nunmal ist, lassen einen schon verzweifeln.
Und wenn Du als Fanboy mich meinst, sorry, aber da bist Du bei diesem Thema an der falschen Adresse, denn ich verteidige nicht ihn, sondern stelle nur heraus, was der CT kann und wofür er gedacht ist.
Nein, er ist nicht das Alleinhilfsmittel gegen Angriffe, aber ein gutes Tool, unentdeckte Lücken im Board gut (gut = nicht 100% perfekt - möglich!) abzufangen.
Bei mir hat er vor langer Zeit sogar eine Kündigung meines damaligen Providers verhindert, da zahlreiche Angriffe gegen mein Forum damals zu hohen Serverload verursachte, mit der allerersten Version des CT war das dann schlagartig vorbei!
Und wenn ich den CT bei mir nur testweise abschalte, ist mein jetziger Server auch sofort extrem belastet, hier hilft der CT schon ungemein weiter.
Der CT schützt nur das Board, so weit er kann und ihm das auch gestattet wird, nicht mehr und nicht weniger.
Der Rest muss anderweitig abgesichert werden und das ist dann auch noch eine Menge mehr, als "nur" das Board alleine.
Das darf eben nie vergessen werden!!!!!
Selbst im phpBB 3.0.0 waren so viele Lücken, die mit dem schnell veröffentlichten Update auf 3.0.1 gestopft wurden, die der CT abgefangen hätte.
Gut, mittlerweile kann man davon ausgehen, daß keine kritischen Lücken im phpBB 2 mehr vorhanden sind, aber man weiß ja nie und bevor eben (wie ich bereits schrieb) das phpBB selber einen Datenstrom verarbeitet, filtert der CT bereits alle Schlüsselwörter raus und blockt schon bevor das phpBB überhaupt anfängt zu arbeiten.
Im phpBB 3.0.1 muss man sich aktuell dagegen allein darauf verlassen, daß keine kritschen Lücken da sind und man wird sicher noch einige finden.
Und BTW:
Wer sein Windows immer aktuell hält, braucht dann Deiner Meinung auch keine Sicherheitstools dafür? Also Firewall, Antivirus, Antispam, etc?
Wer so denkt, bzw. argumentiert, hat Sicherheit wirklich nicht verstanden.
Oder warum verdienen Firmen, die Sicherheit nicht nur an den "Kleinen Mann" verkaufen, einen heiden Geld mit Ihren Produkten?
Noch mal:
Auch ich halte den CT zwar für ein Werkzeug von vielen, daß die Sicherheit eines Boards erhöhen kann, aber nie als DAS Mittel zum Zweck, sondern eben nur als EIN Werkzeug neben vielen anderen.
@Matthaei
Hast Du den mittlerweile herausbekommen, wie Dein Board gehackt wurde?
Mich würde das brennend interessieren, damit hier endlich mal die falschen Anschuldigungen unterbleiben.
Das hat ja keiner untersagt, nur wird der CT oft so hingestellt, als wäre er absolut unbrauchbar und überhaupt nicht sicherheitsfördernd, was absolut falsch ist.Warum darf man sich eigentlich NIE kritisch gegen den CTracker äussern ?
Kritik ist wichtig, sollte aber immer objektiv und konstruktiv sein, alles andere ist wirklich nicht brauchbar.
@darkon
Wer behauptet denn sowas?Weil es den heiligen CBack zutiefst kränkt wenn man es wagt an seiner Unfehlbarkeit zu zweifeln.
Cback ist für jeden gemeldeten Fehler in seinen "Produkten" dankbar, aber ständige Hasstriarden gegen Sicherheitstools, wie es der CT nunmal ist, lassen einen schon verzweifeln.
Er lösche Meinungen, die unter die Gürtellinie gehen, soviel sollte man ihm auch zugestehen.Da er in seinem Forum negative Meinungen gerne löscht und hier seine Fanboys sofort einspringen glauben leider immer noch Leute das der CT unbedingt nötig ist.
Und wenn Du als Fanboy mich meinst, sorry, aber da bist Du bei diesem Thema an der falschen Adresse, denn ich verteidige nicht ihn, sondern stelle nur heraus, was der CT kann und wofür er gedacht ist.
Wer preist ihn denn so an? Auch wenn ich in früheren Posts meinerseits, und auch jetzt, den CT "verteidige", dann nur aus dem Grund, weil er mir bislang deutlich mehr geholfen hat als geschadet und auch intelligenter schützt als andere vergleichbare, mittlerweile auch eingestellte Tools.Der CT ist sicher nicht schlecht, aber bei weitem nicht der Sicherheitsbringer als der er angepriesen wird.
Nein, er ist nicht das Alleinhilfsmittel gegen Angriffe, aber ein gutes Tool, unentdeckte Lücken im Board gut (gut = nicht 100% perfekt - möglich!) abzufangen.
Bei mir hat er vor langer Zeit sogar eine Kündigung meines damaligen Providers verhindert, da zahlreiche Angriffe gegen mein Forum damals zu hohen Serverload verursachte, mit der allerersten Version des CT war das dann schlagartig vorbei!
Und wenn ich den CT bei mir nur testweise abschalte, ist mein jetziger Server auch sofort extrem belastet, hier hilft der CT schon ungemein weiter.
Richtig und genau das versuchte ich auch in meinen letzten Posts zu verdeutlichen.4seven hat geschrieben:Und nochmal zum mitschreiben: Sicherheit ist ein Konzept
Der CT schützt nur das Board, so weit er kann und ihm das auch gestattet wird, nicht mehr und nicht weniger.
Der Rest muss anderweitig abgesichert werden und das ist dann auch noch eine Menge mehr, als "nur" das Board alleine.
Das darf eben nie vergessen werden!!!!!
Das ist so nicht korrekt.4seven hat geschrieben:Ist der Server, das PHP, das MySql und alle anderen Komponenten optimal und sicher eingestellt (neueste Versionen und Distributionen sollten selbstverständlich sein) und ist auch die Forensoftware und deren Plugins sicher configuriert, dann braucht man kein zusätzliche Software.
Selbst im phpBB 3.0.0 waren so viele Lücken, die mit dem schnell veröffentlichten Update auf 3.0.1 gestopft wurden, die der CT abgefangen hätte.
Gut, mittlerweile kann man davon ausgehen, daß keine kritischen Lücken im phpBB 2 mehr vorhanden sind, aber man weiß ja nie und bevor eben (wie ich bereits schrieb) das phpBB selber einen Datenstrom verarbeitet, filtert der CT bereits alle Schlüsselwörter raus und blockt schon bevor das phpBB überhaupt anfängt zu arbeiten.
Im phpBB 3.0.1 muss man sich aktuell dagegen allein darauf verlassen, daß keine kritschen Lücken da sind und man wird sicher noch einige finden.
Und BTW:
Wer sein Windows immer aktuell hält, braucht dann Deiner Meinung auch keine Sicherheitstools dafür? Also Firewall, Antivirus, Antispam, etc?
Wer so denkt, bzw. argumentiert, hat Sicherheit wirklich nicht verstanden.
Oder warum verdienen Firmen, die Sicherheit nicht nur an den "Kleinen Mann" verkaufen, einen heiden Geld mit Ihren Produkten?
Noch mal:
Auch ich halte den CT zwar für ein Werkzeug von vielen, daß die Sicherheit eines Boards erhöhen kann, aber nie als DAS Mittel zum Zweck, sondern eben nur als EIN Werkzeug neben vielen anderen.
@Matthaei
Hast Du den mittlerweile herausbekommen, wie Dein Board gehackt wurde?
Mich würde das brennend interessieren, damit hier endlich mal die falschen Anschuldigungen unterbleiben.
Verfasst: 09.06.2008 00:21
Was das eilig gestopfte 3.0.0er betrifft, so ist das sicher richtig. Dennoch bleibt die Old-School das richtige Mittel. Fast immer wurden Server nicht wegen fehlerhafter Forensoftware gehackt, sondern weil die Basis-Software veraltet oder nicht richtig (oder sicher) konfiguriert war. Und jedes Forum basiert auf Funktionsabläufen der Basis-Software. Betrachte ich Forensoftware isoliert, dann habe ich seit den Tagen meiner ersten 2er Boards das phpBB sicherheitstechnisch immer manuell nachgebessert und nie Probleme gehabt mit Hacking, Bots, Spam etc. Dabei gibt es genial einfache aber extrem wirkungsvolle Sicherheitslösungen. Ist aber auch nur logisch: Je komplexer eine (zusätzliche) Sicherheitssoftware, desto mehr theoretische oder tatsächliche neue Löcher können dazukommen, die man ohne die Software nicht hätte (da ja alles 1a und damit ausreichend sicher eingestellt ist). Das ist natürlich bei den heutigen Billig-Providern und selbst ernannten Server-Admins leider nicht immer der FallIm phpBB 3.0.1 muss man sich aktuell dagegen allein darauf verlassen, daß keine kritschen Lücken da sind und man wird sicher noch einige finden.
