phpBB.de

mod steht nicht mehr zum download bereit, da er sicherheitslücken aufweist
danke an amigalink für diesen hinweis

tut mir echt leid, aber ich habe gerade gemerkt, dass ein fehler im mod drin war, ich habe ihn verbessert.
jetzt geht es zu 100 %!!!

alle die ihn schon eingebaut haben müssen lediglich die ct_security.php neu editieren, tut mir echt leid

ist mein erster mod

Und besser auch dein letzter.
Denn mit dieser Änderung hebelst du einen sehr wichtigen Bestandteil des CTrackers aus!
Der CTracker blockt mögliche Angriffe bevor die Datenbank angesprochen wird. Dein "MOD" ändert das und reist somit eine Lücke ins Sicherheitssystem des CTrackers.

hmmm. -> Und wie wärs dann mit nem Dateibasierten System? -> Ist sicher etwas aufwändiger aber das "zerstört" doch dann die Funktionen des CTracker nicht oder?

Man könnte beispielsweise ne .htaccess-Datei in den entsprechenden Ordner machen, die Zugriff nur von 127.0.0.1 erlaubt, und macht dann noch ne z.b. ct_debug.ini rein. Das System liesst ein, ob in der ini die Anweisung true oder false steht, und wendet das dann an...

AmigaLink hat geschrieben:

ist mein erster mod

Und besser auch dein letzter.
Denn mit dieser Änderung hebelst du einen sehr wichtigen Bestandteil des CTrackers aus!
Der CTracker blockt mögliche Angriffe bevor die Datenbank angesprochen wird. Dein "MOD" ändert das und reist somit eine Lücke ins Sicherheitssystem des CTrackers.

es ist mein erster mod, ich denke jeder hat mal klein angefangen und nicht direkt alles richtig gemacht
und er steht ja auch deswegen hier im entwicklungsforum und nicht in einer mod datenbank, damit eben andere die mehr davon verstehen als ich gucken können ob ich alles richtig gemacht habe
deswegen finde ich deine äußerung, dass es besser mein letzter mod sein sollte schon etwas unfair



ich verstehe jetzt allerdings auch, dass es ein kleines sicherheitsrisiko birgt, aber kann man das überhaupt son machen, dass es kein risiko gibt? oder muss man das immer in der datein ändern?

Ok, ich gebe zu meine Äußerung war etwas hart. Entschuldige bitte!

Aber was glaubst du warum ein erfahrener Programmierer wie CBACK, bei einem MOD der bereits in der 5ten Generation ist (Versionsnummern hinter dem Komma lassen wir mal weg) eine so simple Erweiterung nicht einfach eingebaut hat?!?
Eine Erkennungs routine die extrem zuverlässig alle derzeitig bekannten Exploids blockt, ist Garantiert schwieriger zu erstellen als ein simpler Datenbankeintrag mit dazugehöriger Abfrage.

Wie gesagt, der CTracker blockt (idealerweise) die Angriffsversuche noch bevor sie den Kern des phpBB (und somit auch die Datenbank) erreichen. Denn wenn die Datenbank geöffnet ist, dann ist es evtl. schon zu spät!

Du gehst nun hin, öffnest wichtige phpBB-Systemdateien die wiederum die Datenbank öffnen. Und das genau an der Stelle, wo die Angriffe geblockt werden sollen.
Das ist das gleiche als würdest du deine Haustüre mit Sicherheitsschlössern abschließen und direkt daneben das große Wohnzimmerfenster offen lassen!

// EDIT
Der Vorschlag von Jojoponn139 wäre VIELLEICHT eine Lösung.
Das sollten aber besser CBACK und CyberCosmonaut entscheiden. Die kennen sich besser mit den Möglichkeiten der Hacker aus.

Ich denke mir allerdings. Warum ein unnötiges Risiko eingehen?! Soooo aufwändig ist das ja nun nicht, wenn man EINE Datei kurz bearbeiten muss um den debug modus ein- bzw auszuschalten.

ok stimmt ich gebe dir recht, hab da einfach nicht dran gedacht, aber dann bringt der crackertracker nichts mehr

Ehrlich gesagt finde ich die Begründung, dass die Coder das vllt. schon selbst eingebaut hätten, wenn es kein Sicherheitsrisiko währe schon recht gut getroffen. Und ich bin der Meinung das gleiche trifft evtl. auch auf meine Dateivariante zu. -> Die werden schon nen Grund gehabt haben, das so zu machen.

Ich nehme mal an, das Beschreiben der ct_security.php freizugeben und dann direkt zu ändern ist ebenfalls zu gefährlich, oder?

errt hat geschrieben:Ich nehme mal an, das Beschreiben der ct_security.php freizugeben und dann direkt zu ändern ist ebenfalls zu gefährlich, oder?

Davon hat NIEMAND etwas gesagt! -> meine Idee war eine SEPERATE Datei, die den entsprechenden Wert enthält, den mann per ACP ändern kann. -> CT scannt die dann und mach debug an oder eben nicht.

Ich hab aber bereits etwas dazu verfasst:

Jojoponn139 hat geschrieben:Ehrlich gesagt finde ich die Begründung, dass die Coder das vllt. schon selbst eingebaut hätten, wenn es kein Sicherheitsrisiko währe schon recht gut getroffen. Und ich bin der Meinung das gleiche trifft evtl. auch auf meine Dateivariante zu. -> Die werden schon nen Grund gehabt haben, das so zu machen.