Diskussion zu "phpBB 3.0.8 veröffentlicht"

[Gast234254]

Wieso wurde bei der neuen Version der includes Ordner geschütz? Es dürfte doch auch den Entwicklern bekannt sein das da viele Mod Schreiber auch includes Dateien in extra Ordner einfügen.
Neu Entwicklung ist ja o.k. aber das ist doch ein Schritt zurück des stabilen phpBB3 oder?

Gruß
Stephan

[bantu]

Wieso wurde bei der neuen Version der includes Ordner geschütz? Es dürfte doch auch den Entwicklern bekannt sein das da viele Mod Schreiber auch includes Dateien in extra Ordner einfügen.

Beim Direktaufruf von einigen Dateien kann auf neueren PHP-Versionen (PHP 5.3+) eine Fehlermeldung vom Parser ausgegeben werden, die den vollen Pfad zum phpBB-Verzeichnis enthält. Um das zu verhindern haben wir, weil es keine andere Möglichkeit gab, den Zugriff auf includes via .htaccess gesperrt.

Neu Entwicklung ist ja o.k. aber das ist doch ein Schritt zurück des stabilen phpBB3 oder?

Das ist der "includes" Order, für PHP-Skripte die eingebunden werden. MOD-Autoren können selbstverständlich auch weiterhin ihre Skripte darin ablegen. Die Autoren die im includes-Order Dateien zum Download angeboten haben (z.B. JavaScript) müssen leider auf die harte Tour lernen, dass die da nicht hingehören.

[forant]

Warum ist die Veröffentlichung bzw. Freigabe der phpBB-Version 3.0.8 dem phpBB.de-Team keinen Newsletter wert? Derzeit erfahren es nur diejenigen welche sich hier im Forum zufällig / wegen einem Problem etc. aufhalten.

Gruß

[-Tanja-]

Warum ist die Veröffentlichung bzw. Freigabe der phpBB-Version 3.0.8 dem phpBB.de-Team keinen Newsletter wert?

Der Newsletter wird 1x im Monat verschickt und ich denke mal, spätestens beim nächsten Newsletter wird über das Update was drinnen stehen.

Derzeit erfahren es nur diejenigen welche sich hier im Forum zufällig / wegen einem Problem etc. aufhalten.

...und DIE
- die in ihrem ACP nachschauen
- die bei phpBB.com vorbeischauen
- die hier auf phpBB.de vorbeischauen

...und der Rest wird es spätestens beim nächsten Newsletter oder der nächsten (monatlichen) Ankündigung erfahren.


MfG

[Pyramide]

Warum ist die Veröffentlichung bzw. Freigabe der phpBB-Version 3.0.8 dem phpBB.de-Team keinen Newsletter wert?

Weil es noch nie einen Sondernewsletter zur Veröffentlichung eines Bugfix-Release gab. Zum Release von phpBB 4.0 wäre das sicher etwas anderes. Im übrigen ist der November fast zuende, so dass sowieso in kürze der reguläre Newsletter versandt wird.

[larsneo]

Die Autoren die im includes-Order Dateien zum Download angeboten haben (z.B. JavaScript) müssen leider auf die harte Tour lernen, dass die da nicht hingehören.

oder aber man nimmt in der .htaccess einige dateien von der sperre aus

Code: Alles auswählen

SetEnvIf Request_URI "\.js$" object_is_js=js
Order deny,allow
Deny from all
Allow from env=object_is_js

bietet den erwünschten schutz, javascript kann aber troztdem referenziert werden. letztendlich stimme ich aber zu - der /includes-ordner sollte am besten einfach 'bestimmungsgemäss' gebraucht werden - dann gibt's überhaupt keine probleme.

die sicherheit von .htaccess und web.config einstellungen hängt darüberhinaus natürlich auch immer von der unterstützung durch den webserver ab - nicht jeder nutzt apache bzw. iis...

[Dr.Death]

Es gibt eine phpBB Release Announcements eMail Liste:

http://lists.phpbb.com/mailman/listinfo/phpbb-announce

[igorw]

die sicherheit von .htaccess und web.config einstellungen hängt darüberhinaus natürlich auch immer von der unterstützung durch den webserver ab - nicht jeder nutzt apache bzw. iis...

Im docs Ordner gibt es eine Beispiels-Konfiguration für nginx.

[Lugsciath]

Also ich will ja nicht meckern,

aber die .htaccess bringt mir beim posten beständig den 403 er. Nun kann ich auch nicht 100% sagen welches der js scripte oder der anderen Erweiterungen den Fehler bringt oder "verbotener"weise auf /includes zugreift - aber ich muß nun auch wieder sagen, das die besten Sicherheitsmaßnahmen ins Leere laufen, wenn sie bestehende Installationen den Garaus machen und bugs hervorrufen. Ich hab übrigens versucht, die javascripts auszunehmen, das Ergebnis war dennoch das Gleiche. Ich vermut mal, das irgendeine Mod einen nicht ganz so sauberen Zugriff versucht, das Problem ist hier nur: Welches.
War das nötig diese "Erziehungmaßnahme für unsaubere Programmierer" als -ziemlich störendes und lästiges-"feature" in ein Update zu bringen? Wars nicht schon vorher sicher genug? Nur mal meine 5ct Gedanken dazu.

Müde Grüsse

Uwe

[redbull254]

Hallo erstmal,

wenn er der Sicherheit meines Forums und dem Schutz der vielen erstellten Beiträge meiner Mitglieder dient bin ich gerne bereit eine Mod wieder zu deinstallieren, die mit dieser Schutzmaßnahme Probleme hat.

Aber scheinbar habe ich das Glück trotz 50 ! verbaute Mods keine Mod installiert zu haben, die wegen dieser neuen Schutzmaßnahme nicht mehr funktioniert.

Kann man etwas doch Mods entwickeln ohne auf den includes-Ordner zurück greifen zu müssen?