Große Boards gehen von phpBB weg

[insanctus]

Wurde dieser Link schon gepostet?

http://www.big-boards.com/

Die TOP25 der größten Boards im Web

Platz 1: phpBB

[fanrpg]

Wurde dieser Link schon gepostet?

http://www.big-boards.com/

Die TOP25 der größten Boards im Web

Platz 1: phpBB

Also hebt das wohl die Theorie auf

[bloody_nOOb]

Ich kann mich meinen Vorrednern nur anschliessen, eine PERFEKTE Forensoftware gibt es sowohl im OpenSource als auch im kommerziellen Bereich nicht. Mir gefällt das phpBB ausgesprochen gut, das Forum hat gute Grundfeatures die leicht zu überblicken sind. Mit einigen Mod`s lässt sich verdammt viel draus machen und die Community die sich um das phpBB gebildet hat ist einfach genial.

Ich habe vor einiger Zeit das wBB2 erworben um mal ein kommerzielles Produkt als vergleich zu haben (meine phpBB Installs laufen nachwievor) und muss sagen das das wBB2 von Haus aus viele nützliche funktionen mitbringt die man beim phpBB erst rein"hacken" müsste allerdings ist das ACP in der tat unübersichtlich gehalten. Zu dem Vorurteil das Umsonst nicht taugt kann ich nur sagen FALSCH....

Leider lässt Olympus immernoch auf sich warten und die Version 2.014 weisst mal wieder Sicherheitslücken auf die bisher leider nicht gefixt wurden..... (Wobei ich anmerken möchte das bugfixes bei einem kommerziellem Anbieter wie WoltLAB auch auf sich warten lassen können, hat ne Woche bis zum Fix gebraucht nachdem ich die Informiert hatte...)

http://securityfocus.com/bid/13345
http://securityfocus.com/bid/13344
http://securityfocus.com/bid/13219 (2.0.14 NOT TESTED)

Last but not least eins meiner Lieblings phpBBboards:
http://essential-freebies.de

Wir haben 3836 registrierte Benutzer. Der neueste Benutzer ist XXX.
Unsere Benutzer haben insgesamt 30436 Beträge geschrieben.
Insgesamt sind 45 Benutzer online: 4 registrierte, kein versteckter und 41 Gäste

[Sorcio]

Ich finde, dass mittlerweile sich phpBB wieder nennenswert gemacht hat und ich bin mir sicher, dass ich die Forensoftware auch weiterhin einsetzen werde. Nur ist es halt so, dass ich aktuell phpBB2 nur als reines Testsystem zum lernen verwenden möchte und für alles andere taugt die wbb2 software allemale Nichts für ungut, aber bei phpbb kann ich wenigstens etwas verändern etc ohne ärger zu bekommen, was bei woltlab nicht gegeben ist.

[itst]

http://securityfocus.com/bid/13345
http://securityfocus.com/bid/13344
http://securityfocus.com/bid/13219 (2.0.14 NOT TESTED)

FYI: 13344 und 45 wurden zuerst in Bugtraq veröffentlicht - ich weiß nicht, ob der 'Autor' dieser 'Advisories' es mittlerweile geschafft hat, eine Mail an security@phpbb.com zu schreiben...

Die 13219 ist ein Report zu einem MOD, nicht zu phpBB selbst.

Nix für ungut, aber solche Dinge sollte man korrekt darstellen.

[bloody_nOOb]

Ich hatte probiert im Bugtrack auf http://www.phpbb.com/bugs/ nachzuschauen:

Page not found

We're sorry, but we can not find the page that you have requested. An e-mail has been sent to the webmaster, and we'll look into the problem.

The phpBB team

Naja und im Security Tracker auf http://www.phpbb.com/security/ steht auch nix darüber.

Sun Apr 17, 2005 12:05 pm HTML handling if global setting is off
Sun Apr 17, 2005 12:03 pm full path disclosure (maybe) in naughty words replacement
Sun Apr 17, 2005 12:01 pm phpBB 2.0.13 SQL error in session
Sun Apr 17, 2005 11:59 am phpBB 2.0.13 - user level exploit
Sun Apr 17, 2005 11:55 am Version Number available in 2.0.13

Mag sein das es zuerst auf Bugtraq veröffentlicht wurde, das ändert aber nix dran das es Sicherheitslöcher gibt. Will ja niemanden schlecht machen oderso ich hab nur meine Meinung abgegeben und aus aktuellem anlass 3 links zu Advisories gepostet...... Ferner möchte ich anmerken das ich kein Programmierer oder Scriptkiddie/Hacker bin, ich bin lediglich etwas Sicherheitsbewusster als manchanderer und aus diesem grund schau ich öfter bei securityfocus.com ob es Bugs in Software gibt die auch ich nutze um dann schnellstmöglich an eventuelle Updates zu kommen.......

[Jensemann]

Mag sein das es zuerst auf Bugtraq veröffentlicht wurde, das ändert aber nix dran das es Sicherheitslöcher gibt.

Natürlich, jede Software hat Sicherheitslöcher. Das Problem ist nur das es Idioten gibt die das finden von Sicherheitslöchern aus Profilierungssucht betreiben und nicht um Software sicherer zu machen. Was dazu führt das die Entwickler oft viel zu spät über Probleme informiert werden. Hier verstehen Leute nicht welche Verantwortung sie mit Ihrer Macht übernehmen fähig zu sein Software aus der Sicherheitsperspektive heraus zu bewerten. Erst die Werbetrommel für seine fähigkeiten auf Bugtraq und konsorten zu rühren ist leider viel Publicity trächtiger als erst den Autor/die Autoren zu informieren und anschliessend vielleicht nur ein "Thanks to XXX" im Advisory zu lesen.

Wenn man das ganze so betrachtet schneidet phpBB im Vergleich zu anderen, inbesondere auch kommerziellen Mitbewebern, auch was die Reaktion auf Sicherheitsprobleme angeht sehr gut.

[naderman]

Ich hatte probiert im Bugtrack auf http://www.phpbb.com/bugs/ nachzuschauen:

Page not found

We're sorry, but we can not find the page that you have requested. An e-mail has been sent to the webmaster, and we'll look into the problem.

The phpBB team

Ja, der Bugtracker is momentan nicht online, wenn man einen Bug findet muss man sich an ein Group Mitglied wenden. Sicherheitslücken sollten sowieso nur im Security Tracker gemeldet werden (und nicht an security@phpbb.com gesendet werden).

Naja und im Security Tracker auf http://www.phpbb.com/security/ steht auch nix darüber.

Sun Apr 17, 2005 12:05 pm HTML handling if global setting is off
Sun Apr 17, 2005 12:03 pm full path disclosure (maybe) in naughty words replacement
Sun Apr 17, 2005 12:01 pm phpBB 2.0.13 SQL error in session
Sun Apr 17, 2005 11:59 am phpBB 2.0.13 - user level exploit
Sun Apr 17, 2005 11:55 am Version Number available in 2.0.13

Da der Security Tracker Sicherheitsrelevante Daten enthält, die eigentlich nirgendwo anders bekannt gegeben werden sollten werden nur bereits gefixte Sicherheitslücken öffentlich angezeigt. Deshalb kann man danach nicht beurteilen, ob die Sicherheitslücken bekannt sind oder nicht.

Erst die Werbetrommel für seine fähigkeiten auf Bugtraq und konsorten zu rühren ist leider viel Publicity trächtiger als erst den Autor/die Autoren zu informieren und anschliessend vielleicht nur ein "Thanks to XXX" im Advisory zu lesen.

Das ist der Grund, warum phpBB diesen Idioten kein Thanks to XXX spendiert. In den Release Changes werden nur die Entdecker von Bugs gewürdigt, die diese nicht zuerst auf bugtraq oder anderswo veröffentlicht haben.

naderman

[FSKiller / Phoenix]

Servus,

also ich habe das Thema schon länger hier im Auge und ich muss sagen nun wird es mal interesant .

Zu den Stats das phpBB auf Platz ein ist, kann ich nur soviel sagen man kann jeder Statistik so drehen und wenden wie es einem selber passt oder mal ganz anders auslegen! Das heisst, es gibt immer mittel und wege gut und schlechte Sachen gut bzw schlecht dastehen zulassen.

Zu den Sicherheitslücken ^^, einen normalen User sprich sowas wie mich stört sowas nicht unbedingt, da ich weiss was das hier für eine Arbeit alleine schon ist und es ist umsonst, was soll man da erwarten? (Klar ist Fehler müssen früher oder später weg bevor schaden passiert!) Ich habe und werde mir auch nie ein anderes Forensystem nehmen, nicht weil ich das Geld nicht habe, sondern weil der Code vom phpBB schön übersichtlich und ordentlich in meinen Augen ist.

Ferner möchte ich anmerken das ich kein Programmierer oder Scriptkiddie/Hacker bin, ich bin lediglich etwas Sicherheitsbewusster als manchanderer und aus diesem grund schau ich öfter bei securityfocus.com ob es Bugs in Software gibt die auch ich nutze um dann schnellstmöglich an eventuelle Updates zu kommen.......

Hm ich frage mich was das mit Programmierer und oder Scriptkiddie/Hacker zutun hat! Öhm, heisst das nun ich bin ein Scriptkiddie? Ich bin weder Progger noch Kiddie und Hacker ^^, hm also mal so gefragt was bin ich dann wenn ich auch kein Sicherheitsbewusster Admin eines bzw mehreren phpBB-Boards bin? Oo Also mal ganz im ernst ich bin ein durchschnittlicher Bürger und/oder zogger der auch was in der Birne hat und ich nehme lieber das Risiko auf kleine Sicherheitslöcher zuhaben als Geld für was auszugeben wo kein Mensch durchblickt und es für den Ar*** ist, sollt das ein Verantwortlicher von einem anderen System lesen und sich angeriffen fühlen ist es nicht so gemeint wie es vielleicht da steht.

Zu den Modifikationen die man selber einbauen kann und/oder sollte, ist es jedem nach seinem Ermessen denke ich mal Überlassen was er tut, die Hälfte der hier runtergeladen phpBB-Foren ist denke ich mal immer noch NORMAL ohne mods und schnickschnack.

ps. Wenn man selber komplette Sicherheit haben will, dann solltest man an dein eigenen Rechner gehen und den Stecker ziehen!

[Acyd Burn]

Ich möchte mal kurz anmerken, das die verlinkten "Advisories" keine Sicherheitslücken sind, höchstens Bugs (die auch gefixt werden).

Die admin_forums.php-Lücke ist insofern ein Bug, das es beabsichtigt ist das der Admin HTML in seinen Forenbeschreibungen verwenden kann, um einen Admin in das Admin-Panel zu locken gehört sehr viel mehr als nur einen Link zu posten (die Daten werden per POST gesendet und es ist eine aktuelle, gültige Session ID notwendig).

Wenn Sicherheitslücken entdeckt werden die der sofortigen Beseitigung bedürfen, dann haben wir normalerweise innerhalb weniger Stunden ein neues Packet online, wenn wir mit dem Reporter in Kontakt stehen (was eigentlich der Normalfall sein sollte), dann kommt auch eine Testphase hinzu und das Abklären eines Veröffentlichungsdatums (die Advisories schreiben meist die Reporter mit Bezug auf die gefixte Version und den Fix).

Don't believe what you read on Bugtraq. I'm being generous when I say half the users on that list don't have a clue what they are talking about.

Ferner sollte den Bugtraq-Moderatoren verboten werden Mails freizugeben die keine Zeile "Vendor notified" beinhalten, wenn dann auch noch ein Exploit drin ist (geht ja nicht nur um phpBB), dann ist es unverantwortlich von den Moderatoren der Bugtraq-Liste diese freizugeben.