phpbb.de sicher vor Hackern?

FCM · Beitrag von **FCM** » 27.12.2006 14:49

Ist phpbb.de wirklich sicher vor Hackern? Welche Schutzmechamismen benutzt ihr? Denn, gehackt wurdet ihr nie.

Pacman · Beitrag von **Pacman** » 27.12.2006 20:40

Eine aktuelle PhpBB Version

Cu
Pacman

FCM · Beitrag von **FCM** » 27.12.2006 20:47

Beitrag von **Jensemann** » 27.12.2006 21:48

Pacman hat geschrieben:Eine aktuelle PhpBB Version

Ausserdem wird nicht jeder Mod eingebaut, wie bei gewissen Kollegen. Das übrige tut ein kompetentes Team und auf Sicherheit ausgelegte Einstellungen des Webservers.

Soviel zur laufenden Sicherheitskritik an phpBB ...

Beitrag von **oxpus** » 27.12.2006 23:25

Man sollte eben bei jeder Nachricht "Hilfe mein Board wurde gehackt" sofort auch nachfragen (retorisch gemeint für die Webmaster dieser Boards!), welche MODs installiert wurden und welchen Stand diese und das Board selber haben, sowie alle anderen Programme drumherum, wie Webserver, Datenbank, PHP, etc...
All zu oft wird dabei nämlich der falsche verdächtigt und gerade im Falle eines Open Source und GPL Projektes wie das phpBB es nunmal ist, schaden diese "vergessenen" Fragen meistens mehr, als die wahre Ursache gefunden und abgestellt wurde.
Sichere Boards sind eben nur so sicher, wie der Webmaster alle Punkte berücksichtigt und immer möglichst einmal mehr updated, als immer wieder neue Funktionen ins Board zu schrauben, die der Sicherheit nicht immer dienlich sind...
Okay, bei mir sind auch viele Funktionen enthalten, aber die werden laufend auf Lücken gescheckt und im Zweifel eher wieder ausgebaut, als dran herumgeschraubt

larsneo · Beitrag von **larsneo** » 28.12.2006 08:11

jensemann hat geschrieben:[...]und auf Sicherheit ausgelegte Einstellungen des Webservers.

vielleicht wäre es ja eine überlegung wert, die entsprechenden empfehlungen einmal zusammenzufassen. auch im shared hosting können ja zumindestens einige einstellungen (ala register_globals und magic_quotes_gpc) oftmals individuell gesetzt werden. tools ala phpsecinfo können dabei (in einem gewissen masse) auch hilfestellung geben. im managed/root-server bereich gibt es mit suhosin und modsecurity darüberhinaus natürlich weitere möglichkeiten...

Beitrag von **Jensemann** » 28.12.2006 08:33

larsneo hat geschrieben: vielleicht wäre es ja eine überlegung wert, die entsprechenden empfehlungen einmal zusammenzufassen. auch im shared hosting können ja zumindestens einige einstellungen (ala register_globals und magic_quotes_gpc) oftmals individuell gesetzt werden.

Nun ja, die grundsätzlichen Dinge wie allow_urlfopen, register_globals etc... sind m.E. ausreichend dokumentiert, sicher auch in Anfänger bezogenen Dokumentationen. Wobei ein kleiner Artikel, oder eine Erweiterung der Installations Anleitung sicher nicht schaden würde. Von mir ist sowas allerdings nicht zu erwarten, da mich der Shared Hosting Bereich aus Anwender-perspektive nicht interessiert.

phpBB.de oder Cat-Proof im allgemeinen, verwendet aber auch andere Einstellungen, die ich für sehr wichtig halte. Beispielsweise ist unsere Rechtevergabe so gewählt das wir vollkommen ohne chmod777-Dateien auskommen, sinnvoll gesetzte open_basedir Restriktionen, etc... In wieweit diese Dinge einen Einbruch natürlich verhindert haben ist fraglich und ich könnte es auch nicht beantworten, aber jede Kleinigkeit tut ihr übriges zur besseren Sicherheit.

Aus 0815-User Sicht ist meist schon ausreichend viel getan wenn die Version aktuell gehalten wird und ein Webhoster gewählt wird, der was von seinem Handwerk versteht - es ist nicht immer sinnvoll den Dorfprovider zu wählen weil der so schnell auf E-Mails reagiert oder weil man eine kleine Klitsche unterstützen will.
Die Reaktionen hier im Forum auf das letzte Update zeigen mehr als deutlich, das Updates von Websoftware nachwievor etwas vollkommen fremdes für zu viele Anwender sind. Vielleicht sollte man damit anfangen die Texte, oder zumindest die der deutschen Übersetzung im phpBB ACP dahingehend zu überarbeiten das dem Anweder _regelmäsig_ klipp und klar gesagt wird, das alte Versionen eine ständige Sicherheitsgefahr sind, auch für mein-pillepalle-Board-meines-absolut-unbekannten-Dorfliga-Fussballvereins.
Ich denke dabei an dieses: Wenn man Anwender mit guten (Werbe-)Texten dazu bekommt etwas zu kaufen, muss man sie doch eigentlich auch dazu kriegen ihre Websoftware zu aktualisieren.

Beitrag von **oxpus** » 28.12.2006 09:22

Da spricht mir einer aus der Seele...

FCM · Beitrag von **FCM** » 28.12.2006 09:22

Ja, phpbb2.de wurde einmal gehackt - unvorsichtiger Umgang mit MODs.

Aber es wird immer groß herumgeredet "wie unsicher" ja phpBB ist. Und wie unsauber der Code ist... . Ich glaubs nicht - kann mir aber auch kein Bild davon machen da ich kein PHP kann. Vielleicht sind sie auf das kommende phpBB 3.0 neidisch.

Beitrag von **oxpus** » 28.12.2006 09:32

Nun ja, phpBB3 ist bereits schon sehr lange in der Entwicklung, nicht zuletzt, weil auch die Sicherheit immer wieder verbessert wird.
Absolute Sicherheit gibts allerdings nicht, daber darf man sich auch von neuen Systemen nie in Sicherheit wiegen lassen. Gerade dann eigentlich erst recht nicht.
Und zum Hack auf phpbb2.de: Neue MODs können entweder eingehend auf Lücken untersucht werden oder es sind noch keine bekannt und man geht erstmal von "heiler Welt" aus.
Bei den Updates zum phpBB selber ist auch nicht immer sofort erkennbar, welche Gefahrenquellen sie abdichten, aber beim näheren Hinsehen lernt man wieder dazu.
So kennt man die letzte Lücken eben auch erst dann, wenn es zu spät ist.
Absolute Sicherheit gibts eben nicht.
Windows Vista hat ja auch schon die ersten entdeckten Lücken vorzuweisen und daß nach sooo langer Entwicklungszeit