phpBB.de

iGEL hat geschrieben:Moin!

D@ve hat geschrieben:Nicht schon wieder...

KB:147

Sorry, aber ich halte das für Schwachsinn. Nur mit dem Finger auf andere, die es möglicherweise noch schlechter machen, macht das eigene Projekt nicht besser.

Hier wird nichts anderes schlechter gemacht. Ich erachte es nur als vollkommen sinnlos an, alle drei Tage die gleiche Diskussion zu führen

Und mit Behauptungen wie

D@ve hat geschrieben:Ich behaupte sogar, dass phpBB eines der sicheresten Software-Programme überhaupt ist, eben weil es Open Source ist.

macht sich der Autor lächerlich.

Dank für die Blumen... Reden wir uns jetzt schon in der dritten Person an? Aber ich stehe zu der Behauptung. Welches System ist sicherer? Das mit 5 Lücken die offen liegen, oder das mit 50 Lücken, die keiner kennt wo es aber nur eine Frage der Zeit ist, bis sie gefunden werden. Security by Obscurity funktioniert nicht (ist übrigens auch offizieller Microsoft-Tenor). Würde man den gleichen Maßstab an andere Foren-Systeme legen würde diese gnadenlos untergehen, weil sich dort schlicht und ergreifend noch niemand derart ausführliche Gedanken über das Thema Sicherheit gemacht hat?

Die Praxis zeigt doch, dass 3 Jahre nach einem Release immer noch haufenweise Sicherheitslücken gefunden werden. Open Source allein macht noch kein sicheres Produkt.

Wir haben jetzt innerhalb von 3 Jahren 16 Patches gehabt. Das sind etwa 5 Updates pro Jahr. Schau Dir den IE an, da kommen fast monatlich soviele Patches raus. Wohlgemerkt: Ich möchte damit NICHT auf andere Leute verweisen um die Fehler in phpBB zu relativieren sondern ich will einfach damit aufzeigen, dass heute jede, ich wiederhole JEDE Software die auch nur im entferntesten etwas mit Internet zu tun hat regelmäßig gepatcht werden muss.

Schade auch, dass man zu dem angeblich so ausgereiften Sicherheitskonzept keine Details genannt bekommt, denn mir ist beim Durchsehen des Codes (beim Patchen/Modden) nicht viel in der Richtung aufgefallen. Kann natürlich sein, dass mir da aufgrund der Unübersichtlichkeit des Codes was durch die Lappen gegangen ist.

Wo ist denn der Code unübersichtlich? Schau Dir mal andere Open-Soruce-Projekte wie zB. osCommerce (eine Shopsoftware im Shopping-Bereich etwa das ist was phpBB im Forenbereich ist) an. DAS ist unübersichtlich.

Dass die Verbreitung ein Grund für die vielen Hacks ist, ist sicher richtig, aber so recht kann ich da kein Vorteil für das phpBB rauslesen.

Der Vorteil liegt schlicht und ergreifend da, dass die Wahrscheinlichkeit sehr hoch ist, dass die Sicherheitslücken bei offener Software von den Usern gefunden werden (wie das ja auch im aktuellen Beispiel der Fall ist) und nicht von den Crackern.
Bei normaler Software ist es so dass ein Sicherheitsloch erst dann gefixt werden kann, wenn das Kind schon in den Brunnen gefallen ist, sprich wenn es von einem Cracker genutzt wurde (selbst dann ist noch nicht gewährleistet, dass man es findet).
Ich habe letztlich gelesen, dass man vermutet dass im IE mindestens vier gravierende(!) Sicherheitslöcher vorhanden sind, von denen bisher nur einige Trojaner-Prgrammierer wissen.

Ich habe einfach keine Lust mehr, alle zwei Monate wieder rumzupatchen, und was passiert, wenn man mal einen Patch auslässt, habe ich auch erfahren müssen (Durfte 70 EUR für Traffic nachzahlen, den ein Wurm in einer Nacht angerichtet hat).

Imo ist es nur eine Frage der Zeit, bis die Cracker sich auch andere Foren-Systeme vornehmen und dann geht das ganze von vorne los... Wir leben einfach in einer Zeit wo man viel patchen muss. Außerdem: Soooo viel Arbeit ist ein Patch auch nicht, wenn man nur die Sicherheitslöcher stopft...

Eine Hauptursache in dieser Grundsätzlichen Sicherheitsproblematik (auch was Viren und Tojaner angeht) sehe ich einfach bei den Browsern. Die ganzen Zusatzfunktionen wie Active-X, Java-Script und dergleichen sind einfach viel zu mächtig. Würde man hier etwas zurückfahren (oder einige Funktionen zumindestens per Default deaktivieren), hätten wir wesentlich weniger Probleme...

Gruß, Dave

Muss man wirklich so ein Thema (oder in der Art) alle 3 Tage führen? -.-

phpBB ist sicher, sicherer als meine Scripte auf jeden Fall, und wie WBB und VB auch, da wenn da Sicherheitslöcher entdeckt werden es min. 1 Woche braucht bin ein Patch draussen ist, bei phpBB hat man dank der vielen User die auch was können in 2 Stunden einen luaffähigen Patch in der Hand (muss ja nicht vom phpBB Team sein).

Und wenn man sich das so durchliest im WBB Forum, werden dort mehr Sicherheitslücken gefunden als in phpBB bei der gleichen Zeitspanne!

So auf der sf.net seite ist phpbb2.0.17 erschienen Also morgen sollte es öffentlich sein
Da einige Bugs behoben wurden denke und hoffe ich mal haben wir längere Zeit ruhe


MfG
Dave

Ist draußen , hab auch grad das Update gemacht , war doch recht umfangreich .

Das Patch File 2.0.16 zu 2.0.17 gibt’s aber im Moment nur bei Acid Burne auf der HP.

Schon wieder Updaten erst grad damit fertig geworden alle anderen Boards auf 2.0.16 updaten <.< (sind so 10 Stück, zu Teil von Freunden die keine Ahnung haben wie das geht und das zum frekke nicht kapieren wolle n >.>)
ich glaube bei denen werde ich nur die bbcode.php machen <.<

Aber des soll jetzt nicht abwertend sein zu phpBB sondern ich finds gut das so schnell auf alles reagiert wird!

Mich würde mal interessieren ob das Forum hier schon nen 2.0.17 ist?

Sicher nicht...