Seite 2 von 9
Re: Diskussion zu "phpBB 3.0.8 veröffentlicht"
Verfasst: 22.11.2010 09:05
von Gast234254
Wieso wurde bei der neuen Version der includes Ordner geschütz? Es dürfte doch auch den Entwicklern bekannt sein das da viele Mod Schreiber auch includes Dateien in extra Ordner einfügen.
Neu Entwicklung ist ja o.k. aber das ist doch ein Schritt zurück des stabilen phpBB3 oder?
Gruß
Stephan
Re: Diskussion zu "phpBB 3.0.8 veröffentlicht"
Verfasst: 22.11.2010 11:55
von bantu
wintstar hat geschrieben:Wieso wurde bei der neuen Version der includes Ordner geschütz? Es dürfte doch auch den Entwicklern bekannt sein das da viele Mod Schreiber auch includes Dateien in extra Ordner einfügen.
Beim Direktaufruf von einigen Dateien kann auf neueren PHP-Versionen (PHP 5.3+) eine Fehlermeldung vom Parser ausgegeben werden, die den vollen Pfad zum phpBB-Verzeichnis enthält. Um das zu verhindern haben wir, weil es keine andere Möglichkeit gab, den Zugriff auf includes via .htaccess gesperrt.
wintstar hat geschrieben:Neu Entwicklung ist ja o.k. aber das ist doch ein Schritt zurück des stabilen phpBB3 oder?
Das ist der "includes" Order, für PHP-Skripte die eingebunden werden. MOD-Autoren können selbstverständlich auch weiterhin ihre Skripte darin ablegen. Die Autoren die im includes-Order Dateien zum Download angeboten haben (z.B. JavaScript) müssen leider auf die harte Tour lernen, dass die da nicht hingehören.
Re: Diskussion zu "phpBB 3.0.8 veröffentlicht"
Verfasst: 22.11.2010 12:29
von forant
Warum ist die Veröffentlichung bzw. Freigabe der phpBB-Version 3.0.8 dem phpBB.de-Team keinen Newsletter wert? Derzeit erfahren es nur diejenigen welche sich hier im Forum zufällig / wegen einem Problem etc. aufhalten.
Gruß
Re: Diskussion zu "phpBB 3.0.8 veröffentlicht"
Verfasst: 22.11.2010 12:39
von -Tanja-
mdietrich hat geschrieben:Warum ist die Veröffentlichung bzw. Freigabe der phpBB-Version 3.0.8 dem phpBB.de-Team keinen Newsletter wert?
Der Newsletter wird 1x im Monat verschickt und ich denke mal, spätestens beim nächsten Newsletter wird über das Update was drinnen stehen.
mdietrich hat geschrieben:Derzeit erfahren es nur diejenigen welche sich hier im Forum zufällig / wegen einem Problem etc. aufhalten.
...und DIE
- die in ihrem ACP nachschauen
- die bei phpBB.com vorbeischauen
- die hier auf phpBB.de vorbeischauen
...und der Rest wird es spätestens beim nächsten Newsletter oder der nächsten (monatlichen) Ankündigung erfahren.
MfG
Re: Diskussion zu "phpBB 3.0.8 veröffentlicht"
Verfasst: 22.11.2010 12:41
von Pyramide
mdietrich hat geschrieben:Warum ist die Veröffentlichung bzw. Freigabe der phpBB-Version 3.0.8 dem phpBB.de-Team keinen Newsletter wert?
Weil es noch nie einen Sondernewsletter zur Veröffentlichung eines Bugfix-Release gab. Zum Release von phpBB 4.0 wäre das sicher etwas anderes. Im übrigen ist der November fast zuende, so dass sowieso in kürze der reguläre Newsletter versandt wird.
Re: Diskussion zu "phpBB 3.0.8 veröffentlicht"
Verfasst: 22.11.2010 13:05
von larsneo
bantu hat geschrieben:Die Autoren die im includes-Order Dateien zum Download angeboten haben (z.B. JavaScript) müssen leider auf die harte Tour lernen, dass die da nicht hingehören.
oder aber man nimmt in der .htaccess einige dateien von der sperre aus
Code: Alles auswählen
SetEnvIf Request_URI "\.js$" object_is_js=js
Order deny,allow
Deny from all
Allow from env=object_is_js
bietet den erwünschten schutz, javascript kann aber troztdem referenziert werden. letztendlich stimme ich aber zu - der /includes-ordner sollte am besten einfach 'bestimmungsgemäss' gebraucht werden - dann gibt's überhaupt keine probleme.
die sicherheit von .htaccess und web.config einstellungen hängt darüberhinaus natürlich auch immer von der unterstützung durch den webserver ab - nicht jeder nutzt apache bzw. iis...
Re: Diskussion zu "phpBB 3.0.8 veröffentlicht"
Verfasst: 22.11.2010 13:26
von Dr.Death
Es gibt eine phpBB Release Announcements eMail Liste:
http://lists.phpbb.com/mailman/listinfo/phpbb-announce
Re: Diskussion zu "phpBB 3.0.8 veröffentlicht"
Verfasst: 22.11.2010 16:09
von igorw
larsneo hat geschrieben:die sicherheit von .htaccess und web.config einstellungen hängt darüberhinaus natürlich auch immer von der unterstützung durch den webserver ab - nicht jeder nutzt apache bzw. iis...
Im docs Ordner gibt es eine Beispiels-Konfiguration für nginx.
Re: Diskussion zu "phpBB 3.0.8 veröffentlicht"
Verfasst: 22.11.2010 21:54
von Lugsciath
Also ich will ja nicht meckern,
aber die .htaccess bringt mir beim posten beständig den 403 er. Nun kann ich auch nicht 100% sagen welches der js scripte oder der anderen Erweiterungen den Fehler bringt oder "verbotener"weise auf /includes zugreift - aber ich muß nun auch wieder sagen, das die besten Sicherheitsmaßnahmen ins Leere laufen, wenn sie bestehende Installationen den Garaus machen und bugs hervorrufen. Ich hab übrigens versucht, die javascripts auszunehmen, das Ergebnis war dennoch das Gleiche. Ich vermut mal, das irgendeine Mod einen nicht ganz so sauberen Zugriff versucht, das Problem ist hier nur: Welches.
War das nötig diese "Erziehungmaßnahme für unsaubere Programmierer" als -ziemlich störendes und lästiges-"feature" in ein Update zu bringen? Wars nicht schon vorher sicher genug? Nur mal meine 5ct Gedanken dazu.
Müde Grüsse
Uwe
Re: Diskussion zu "phpBB 3.0.8 veröffentlicht"
Verfasst: 22.11.2010 22:40
von redbull254
Hallo erstmal,
wenn er der Sicherheit meines Forums und dem Schutz der vielen erstellten Beiträge meiner Mitglieder dient bin ich gerne bereit eine Mod wieder zu deinstallieren, die mit dieser Schutzmaßnahme Probleme hat.
Aber scheinbar habe ich das Glück trotz 50 ! verbaute Mods keine Mod installiert zu haben, die wegen dieser neuen Schutzmaßnahme nicht mehr funktioniert.
Kann man etwas doch Mods entwickeln ohne auf den includes-Ordner zurück greifen zu müssen?