Diskussion zu phpBB wieder ein beliebtes Angriffsziel
Na wenn 5000 Leute ein Forum haben, davon 4500 ein phpBB und sich diese 4500 auf einem Forum treffen, dann hören die 4500 nur noch von phpBB, die restlichen 500 teilen sich auf andere Foren auf und hören logischerweise nicht viel voneinander.
Nun haben von den 4500 phpBB-Nutzern aber 3900 ihr Forum nicht auf dem neuesten Stand, weil sie seit ca. 18 Monaten nix an dem Forum gemacht haben - sie waren ja froh, dass nun alles läuft - und dann kommt ein "Experte" unf findet Freude daran, jemanden zu schaden.
Was meinst Du, welche Zielgruppe der "Experte wählt; die 500, die noch weiter aufgesplittet werden oder die 4500, von denen 3900 geschlampt haben?
Genau, er greift sich die 3900 Schluser und sucht eine gemeinsame Lücke, greift und und bekommt seinen Abgang.
Danach rüsten ca. 20% der Schluser auf und machen ein Update, also muss der "Experte" auch nachlegen. Aber sein Ziel steht fest, es war ja schon mal so geil.
Im Prinzip das selbe Phänomen wie mit M$ oder Linux - das weiter verbreitete System wir als schlecht bezeichnet, weil es mehr Leute trifft. Tatsächlich gibt es nix 100%iges. Wenn Linux auch mal irgendwann an jeder 2. oder 3. Ecke zu treffen ist, wird das nahezu genau so oft zerlegt werden wie M$
Ich hoffe mal, dass das als Erklärung reicht.
Übrigens - ich habe seit über 3 Jahren phpBB-Foren im Einsatz, immer jedes Update gemacht und es wurde noch nie gehackt. (außer einmal, da habe ich das selber zerlegt; aprospos - ich vermute eh, das min. 40% der Hackmeldungen Eigenleistung sind)
Gruß Max
Nun haben von den 4500 phpBB-Nutzern aber 3900 ihr Forum nicht auf dem neuesten Stand, weil sie seit ca. 18 Monaten nix an dem Forum gemacht haben - sie waren ja froh, dass nun alles läuft - und dann kommt ein "Experte" unf findet Freude daran, jemanden zu schaden.
Was meinst Du, welche Zielgruppe der "Experte wählt; die 500, die noch weiter aufgesplittet werden oder die 4500, von denen 3900 geschlampt haben?
Genau, er greift sich die 3900 Schluser und sucht eine gemeinsame Lücke, greift und und bekommt seinen Abgang.
Danach rüsten ca. 20% der Schluser auf und machen ein Update, also muss der "Experte" auch nachlegen. Aber sein Ziel steht fest, es war ja schon mal so geil.
Im Prinzip das selbe Phänomen wie mit M$ oder Linux - das weiter verbreitete System wir als schlecht bezeichnet, weil es mehr Leute trifft. Tatsächlich gibt es nix 100%iges. Wenn Linux auch mal irgendwann an jeder 2. oder 3. Ecke zu treffen ist, wird das nahezu genau so oft zerlegt werden wie M$
Ich hoffe mal, dass das als Erklärung reicht.
Übrigens - ich habe seit über 3 Jahren phpBB-Foren im Einsatz, immer jedes Update gemacht und es wurde noch nie gehackt. (außer einmal, da habe ich das selber zerlegt; aprospos - ich vermute eh, das min. 40% der Hackmeldungen Eigenleistung sind)
Gruß Max
eine kurze und schlüssige analogie ist:longboardz hat geschrieben: warum zur hölle wird dieses phpBB eigentlich so oft gehackt???
wenn ein buch von zwei leuten je einmal gelesen wird ist die wahrscheinlichkeit das ein tippfehler gefunden wird relativ gering, wird das gleiche buch aber von 100.000 leuten je einmal gelesen findet man event. doch einen tippfehler.
tippfehler passieren nunmal, genauso ist es auch bei der programmierung komplexer software. phpbb hat dementsprechend sogar einen grossen vorteil gegenüber weniger verbreiteten forensystem: es wird immer sicherer! jeder gefundene und behobene bug ist ein schritt in die richtige richtung!
von einem buch das nie gelesen wird, wird auch nie ein tippfehler bekannt werden
-
D@ve
- Ehemaliges Teammitglied
- Beiträge: 3842
- Registriert: 28.08.2002 19:33
- Wohnort: Bretzfeld
- Kontaktdaten:
Ein phpBB ist, wenn man es absolut betrachtet, zwar wesentlich sicherer als beispielsweise ein vBB. Relativ gesehen ist ein vBulletin aber sicherer weil es eben nicht Open Source ist. Es existieren zwar Fehler, die werden aber nie entdeckt, weder von Hackern noch von den Entwicklern.
Deswegen ist der Vorteil von Open Source immer ein zweischneidiges Schwert.
Windows ist das am weitesten verbreitetste Betriebssystem, ist aber ein Closed Source. Linux ist zwar Open Source hat aber dafür den Vorteil, dass es nicht so weit verbreitet ist (weniger Angriffsfläche).
phpBB hat hier das beide Probleme zu tragen:
a) es ist das mit Abstand am meisten eingesetze Board und
b) es ist Open Source
Allein das Beseitigen einer Sicherheitslücke in einem neuen Release ruft einen ganzen Haufen Scriptkiddies auf den Plan, welche diese Lücke (die ja mit dem Release quasi offen publiziert wird) ausnutzen.
Gruß, Dave
Wenn nämlich von den 100.000 Leuten 5000 irgendwelche Idioten sind, welche die "Tippfehler" ausnutzen, ist das Buch mit den zehn Tippfehlern die keiner kennt besser als das mit den zwei Tippfehlern die aber publik sind.wenn ein buch von zwei leuten je einmal gelesen wird ist die wahrscheinlichkeit das ein tippfehler gefunden wird relativ gering, wird das gleiche buch aber von 100.000 leuten je einmal gelesen findet man event. doch einen tippfehler.
Deswegen ist der Vorteil von Open Source immer ein zweischneidiges Schwert.
Windows ist das am weitesten verbreitetste Betriebssystem, ist aber ein Closed Source. Linux ist zwar Open Source hat aber dafür den Vorteil, dass es nicht so weit verbreitet ist (weniger Angriffsfläche).
phpBB hat hier das beide Probleme zu tragen:
a) es ist das mit Abstand am meisten eingesetze Board und
b) es ist Open Source
Allein das Beseitigen einer Sicherheitslücke in einem neuen Release ruft einen ganzen Haufen Scriptkiddies auf den Plan, welche diese Lücke (die ja mit dem Release quasi offen publiziert wird) ausnutzen.
Gruß, Dave
There are only 10 types of people in the world: Those who understand binary, and those who don't
Nunja.. das zeigt ja eher 'nur' die Dringlichkeit, mit der man Fehler bzw eben offene Bereiche patchen muss. Wenn bei MS Lücken bekannt sind, werden die auch extrem ausgenutzt und wenn man sich die letzten 10 wirklich grossen 'Angriffe' anguckt, dann sind die auch nur möglich gewesen, weil es Punkte betraf, die schon seit Monaten (teilweise auch schon seit nem Jahr) bekannt waren...
Ich bin mir ehrlich gesagt noch überhaupt nicht sicher, was wirklich besser ist und ich glaube auch nicht, das phpBB so viel 'sicherer' wäre (wäre es ja eben nicht.. ich spreche jetzt von gefühlt), wenn es closed Source wäre...
Vor allem wäre es aber sicher auch nicht so beliebt :!:
Ich bin mir ehrlich gesagt noch überhaupt nicht sicher, was wirklich besser ist und ich glaube auch nicht, das phpBB so viel 'sicherer' wäre (wäre es ja eben nicht.. ich spreche jetzt von gefühlt), wenn es closed Source wäre...
Vor allem wäre es aber sicher auch nicht so beliebt :!:
Hi Fränky,longboardz hat geschrieben:
warum zur hölle wird dieses phpBB eigentlich so oft gehackt???
weil es a. keine fehlerfreie Software gibt (s.a. M$ Windoof, usw.) b. es auch Leutchens gibt, die programmiertechnisch ebenso gut drauf sind um solche Fehler zu finden und auszunutzen (deren Potential könnte man gut bei phpBB nutzen ...
) und c. weil es leider viel zuviele phpBB-Webmaster gibt, die meinen, dass das updaten nur unnützer Zeitvertreib ist bzw. unnötig Arbeit macht ... (das sind dann auch die Personen die - trotz aller Warnungen - am lautesten um Hilfe schreien, wenn deren Foren geknackt wurden ...Dank zeitigem Einspielen der Updates kann man das ganze "Theater" vergessen und muss hinterher nicht mühsam neu aufsetzen ...
Ich sehe mich auch noch als Neuling in Punkto phpBB. Aber mit der perfekten Unterstützung vom phpBB-Forum bekommt eigentlich jeder alles gewuppt....
cu Tom
-
Loewenherz
- Mitglied
- Beiträge: 624
- Registriert: 10.02.2003 20:11
- Wohnort: Saarlouis
- Kontaktdaten:
Bei einer anderen, ebenfalls kostenlos erhältlichen Boardsoftware ist das Ganze recht easy gelöst - auch für DAU's: im ACP wird angezeigt, sobald es Updates gibt und diese werden dann über ein/zwei Klicks automatisch eingespielt. Mods stören dabei nicht, diese können genauso übers ACP installiert bzw. auch wieder deinstalliert werden.Highwayman hat geschrieben:In einem phpbb mit etlichen Modifikationen ist es nicht einfach, mal das 2.0.17 auf 2.0.18 zu updaten!
Sollte phpBB eines Tages über eine solche Funktion verfügen, könnte es m.E. die Sicherheit wesentlich verbessern, da die gesamten Updatehürden für alle weniger versierten User entfallen würden.
Downloads für phpBB, die ich seit 2001 angeboten habe, gibt es nicht mehr - die Mitarbeit beim Übersetzer-Team von phpBB3 war mein letzter aktiver Beitrag zu phpBB, zeitlich geht leider nichts mehr. Aktuell blogge ich nur noch phasenweise auf SEO Scene.
Ceterum censeo Google esse delendam
Ceterum censeo Google esse delendam
Welche Boardsoftware denn?Loewenherz hat geschrieben:Bei einer anderen, ebenfalls kostenlos erhältlichen Boardsoftware ist das Ganze recht easy gelöst ...Highwayman hat geschrieben:In einem phpbb mit etlichen Modifikationen ist es nicht einfach, mal das 2.0.17 auf 2.0.18 zu updaten!
Ca. 80% aller Computerprobleme sitzen vor dem Bildschirm!
-
Loewenherz
- Mitglied
- Beiträge: 624
- Registriert: 10.02.2003 20:11
- Wohnort: Saarlouis
- Kontaktdaten:
Ich hab den Namen bewusst nicht erwähnt. Aber in irgendeinem älteren Posting von mir steht es-Jo- hat geschrieben:Welche Boardsoftware denn?
Ach ja, der letzte Satz sollte am Ende lauten: "da die gesamten Updatehürden für alle weniger versierten User oder stark gemoddeten Boards entfallen würden."
Downloads für phpBB, die ich seit 2001 angeboten habe, gibt es nicht mehr - die Mitarbeit beim Übersetzer-Team von phpBB3 war mein letzter aktiver Beitrag zu phpBB, zeitlich geht leider nichts mehr. Aktuell blogge ich nur noch phasenweise auf SEO Scene.
Ceterum censeo Google esse delendam
Ceterum censeo Google esse delendam
