phpBB.de

The real Indigo hat geschrieben:Schlimm find ich nur wenn im Heiseforum wieder irgendwelche Nasen auf phpBB rumhacken, die wahrscheinlich von dem System keine Ahnung haben.

Das Heiseforum ist ein Irrenhaus und nicht unbedingt ein Maßsstab...

D@ve hat geschrieben:Das Heiseforum ist ein Irrenhaus und nicht unbedingt ein Maßsstab...

Leider war, die Seite ist die beste , in diesem bereich, (meiner Meinung nach) aber das Forum ist voller Trolle. Macht echt kein spaß da was zu lesen, geschweige denn da was zu schreiben.

80% der user (schreibenden) hier können die welt retten.
85% der user (schreibenden) hier wissen wir man deutschland aus dem
loch bekommt.
90% der user (schreibenden) hier wissen eh alles besser.

5% der user wollen nur stänkern, weil sie genau wissen, dass sie
einmal kurz auf dem weg an den strand schreiben müssen "wieder so
eine frickelsoftware - da lobe ich mir MS" und schon springen 100%
der oben genannten user drauf an und beschäftigen sich den rest dest
tages mit sich selbst.

Quelle: http://www.heise.de/security/news/foren ... m_id=81859

e-hahn hat geschrieben:

D@ve hat geschrieben:Das Heiseforum ist ein Irrenhaus und nicht unbedingt ein Maßsstab...

Leider war, die Seite ist die beste , in diesem bereich, (meiner Meinung nach) aber das Forum ist voller Trolle. Macht echt kein spaß da was zu lesen, geschweige denn da was zu schreiben.

Yep, wobei ich der Meinung bin, dass die Redaktion da nicht ganz unschuldig dran ist. Die CT ist in letzter Zeit ziemlich in Richtung Meinstream abgedrifftet.

Gruß, Dave

Moin!

D@ve hat geschrieben:Nicht schon wieder...

KB:147

Sorry, aber ich halte das für Schwachsinn. Nur mit dem Finger auf andere, die es möglicherweise noch schlechter machen, macht das eigene Projekt nicht besser. Und mit Behauptungen wie

Ich behaupte sogar, dass phpBB eines der sicheresten Software-Programme überhaupt ist, eben weil es Open Source ist.

macht sich der Autor lächerlich. Die Praxis zeigt doch, dass 3 Jahre nach einem Release immer noch haufenweise Sicherheitslücken gefunden werden. Open Source allein macht noch kein sicheres Produkt.

Schade auch, dass man zu dem angeblich so ausgereiften Sicherheitskonzept keine Details genannt bekommt, denn mir ist beim Durchsehen des Codes (beim Patchen/Modden) nicht viel in der Richtung aufgefallen. Kann natürlich sein, dass mir da aufgrund der Unübersichtlichkeit des Codes was durch die Lappen gegangen ist. Dass die Verbreitung ein Grund für die vielen Hacks ist, ist sicher richtig, aber so recht kann ich da kein Vorteil für das phpBB rauslesen.

Ich will das phpBB nicht unnötig schlecht reden, ich finde es ebenfalls sehr schade, wie es mit dem Projekt gerade läuft. Das phpBB ist auf Userseite eine schöne Sache und ich setze es seit Jahren selbst ein, aber solche "Reden wir das Problem einfach weg"-Artikel ala http://www.microsoft.com/germany/diefakten/ finde ich einfach unpassend. Eines von zwei Foren habe ich schon auf eine andere schnuckelige Software migriert, das zweite folgt wohl demnächst. Ich habe einfach keine Lust mehr, alle zwei Monate wieder rumzupatchen, und was passiert, wenn man mal einen Patch auslässt, habe ich auch erfahren müssen (Durfte 70 EUR für Traffic nachzahlen, den ein Wurm in einer Nacht angerichtet hat).

iGEL

iGEL hat geschrieben:Moin!

Sorry, aber ich halte das für Schwachsinn. Nur mit dem Finger auf andere, die es möglicherweise noch schlechter machen, macht das eigene Projekt nicht besser.

Da hast Du teilweise recht - Fehler sollten nicht vorkommen. Da es aber praktisch keine fehlerfreie Software gibt, hilft manchmal nur der "Finger auf die anderen". Was hilft es den Nutzern, wenn sie auf die harte Tour herausfinden, daß es eine Lücke in ihrem Forum gab, über diese auf heise aber nicht berichtet wurde.

Der einfache Fakt ist: Es gibt keine Forensoftware (keine Internet-Software), bei der man es sich erlauben könnte einen Patch auszulassen.

Ich weiß garnicht, was das Theater soll.

Es ist völlig normal, dass es immer Leute mit einer gewissen kriminellen Energie gibt, die nicht nur Lücken suchen, sondern mittels anderen Scripten erst die Lücke erzeugen.
Das sowas nicht von den Machern vorhersehbar ist, sollte wohl klar sein.
Alle wachsen mit den Anforderungen. Woher soll denn jetzt jemand wissen, was sich in 3 Monaten andere als Werkzeug ausdenken?

Kann man ganz locker mit der Entwicklung von Sicherheitsschlössern vergleichen - da gab das lange eine ähnliche, spiralenartige Entwicklung - aber auch dort geht mit einer gewissen Menge Gewalt und zusätzlichen Werkzeug alles.
Fakt ist, wer ein altes Fahrradschloß von ASUS nimmt, muss sich nicht wundern, dass das "geknackt" wird, wer dagegen immer sein Schloß aktuell hält und nach Möglichkeit auch den Schlüßel nicht stecken lässt, hat eine hohe Wahrscheinlichkeit, dass das Schloß nicht geknackt wird - fühlt sich aber ein Dieb herausgefordert, dann ist das Schloß auch für den A....


Ich für meinen Teil bin zufrieden mit dem phpBB 2.0.aktuell und werde einfach immer die Schloßverstärkungen/nachbesserungen nachrüsten, die es dann gibt.
Das muss man bei absolut jeder Software, davon sind ganz sicher auch nicht andere Forensysteme ausgeschlossen, nur bekommt man dort die Nachbesserungen nicht mit.
Der Rest beruht auf dem viel genannten Masseneffekt - wer interessiert sich dafür, wenn man nur jedes 100. Board mit der Software findet.
Und wenn man dann noch guckt, wieviele Leute mit 2.0.11 oder niedriger ein Forum betreiben.... da stellt es einem die Nackenhaare hoch.
Und wenn dann so ein Forum abgeschossen wird, ist ja nicht der Betreiber schuld, sondern 1. die Entwickler von phpBB (die hätten das ja vorraus ahnen können) und dann der Hacke usw. aber bei sich selbst suchen die betroffenen Admins nicht.
Andere Updatende bilden sich ein, dass es reicht, nur das Datenbankupdate laufen zu lassen - schließlich steht dann ja die neue Version im Footer.


Gruß Max

Der Patch scheint wohl doch aufwendiger zu sein? Ich mein nun haben ja schon so viele Seiten über diese Lücke berichtet, und noch kein Patch da . Am besten nun jeden Tag ein DB Backup machen?

e-hahn hat geschrieben:Am besten nun jeden Tag ein DB Backup machen?

die lücke fügt m.w. dem board ansich keinen schaden zu, sondern 'nur' dem nutzer, und hier wiederum 'nur' den IE nutzern, denn in allen anderen browsern soll der code nicht ausführbar sein (wenn ich AcydBurn richtig verstanden habe).

rabbit hat geschrieben:die lücke fügt m.w. dem board ansich keinen schaden zu, sondern 'nur' dem nutzer, und hier wiederum 'nur' den IE nutzern, denn in allen anderen browsern soll der code nicht ausführbar sein (wenn ich AcydBurn richtig verstanden habe).

Nicht dem Board sondern nur dem Nutzer, na ja aber was ist wenn das der Admin ist, dann kann auch dem Board geschadet werden . IE nutzer sind’s dann ja auch genügend, immerhin noch mehr als 90%.