phpBB.de

Hi Comm

Da es für mich gerade Thema ist, ich betreibe unter anderem noch ein altes phpbb2.0.23 Forum, wollte ich mich erkundigen ob die Diskussion von Forenhacks hier gestattet ist?

Um sein altes Forum vor diversen Hacks/Cracks die im Internet kursieren bestmöglich zu schützen, wäre es nicht sinnvoll diese hier zu diskutieren, um sich bestmöglich dagegen zu schützen?

morph

Du kannst hier im Grunde genommen Diskutieren über was auch immer du möchtest. Ausnahmen davon stehen im Knigge unter http://www.phpbb.de/kb/knigge#werbung.

Die Diskussion über Forum Hacks sehe ich allerdings zwiespältig, denn einerseits hat es natürlich seine Vorteile wenn man über so einen Hack diskutiert wenn man sein Forum besser absichern will, wenn man aber zu sehr ins Detail geht könnte man sein Forum genau so gut einer größeren Gefahr aussetzen als das vorher der Fall war. Wenn man ausreichend allgemein bleibt spricht aber denke ich nichts dagegen, das muss ja nicht mal zu allgemein sein, es ist nur gefährlich zu viele Details über sein eigenes Forum bekannt zu geben.

Bei phpBB 2.0.x kommt ja dann zusätzlich noch hinzu, dass es keinen offiziellen Support mehr für das Forum gibt (sprich dass es keine Sicherheitsaktualisierungen von aktueller Stelle mehr gibt). Dadurch kann man auf Lücken natürlich nur über solche Ankündigungen oder indem man sie selber findet aufmerksam werden.

gn#36 hat geschrieben:... Bei phpBB 2.0.x kommt ja dann zusätzlich noch hinzu, dass es keinen offiziellen Support mehr für das Forum gibt (sprich dass es keine Sicherheitsaktualisierungen von aktueller Stelle mehr gibt). Dadurch kann man auf Lücken natürlich nur über solche Ankündigungen oder indem man sie selber findet aufmerksam werden.

Darum gehts mir ja ...

Danke für dein Statement
Jetzt habe ich eine Vorstellung davon in welchem Rahmen ich mich bewegen kann ...

lg morph

Grundsätzlich: phpBB 3.0.5 installieren und mit dem integrierten Konvertor Beiträge, Benutzer etc. übertragen

Da stimme ich mavrick3 absolut zu. phpBB 2.0.x is alles andere als sicher. Es ist den Gefahren von heute einfach nicht gewachsen. Wer immer noch ein phpBB2 Board laufen hat ist meiner meinung nach Lebensmüde (natürlich im Sinne des Forums).

eviL<3 hat geschrieben:Da stimme ich mavrick3 absolut zu. phpBB 2.0.x is alles andere als sicher. Es ist den Gefahren von heute einfach nicht gewachsen. Wer immer noch ein phpBB2 Board laufen hat ist meiner meinung nach Lebensmüde (natürlich im Sinne des Forums).

Wenn man behauptet das etwas nicht sicher ist sollte man es auch belegen.

Nur weil es nicht mehr offiziell unterstützt wird, ist es nicht automatisch unsicher. Mir ist noch keine Sicherheitslücke im phpBB2.0.23 bekannt, das heißt nicht das ich den Einsatz von phpBB2 empfehle.

Die "neuen" Gefahren gehen meist von "neuen" Technologien aus

Als MOD-Teamleiter von phpBB.com habe ich viel Erfahrung mit der Sicherheit von PHP skripts. Da es noch viele Leute gibt, welche phpBB2 verwenden, wäre es keine gute Idee Schwachstellen offenzulegen.

phpBB2 wurde im Jahre 2002 entwickelt. Damals war das Internet noch ein mehr oder minder freundlicher Ort. Sicherheit was noch nicht so ein Thema. Deshalb wurde es auch vernachlässigt, was die hohe Anzahl veröffentlichter phpBB2 Versionen erklären würde. Nun, die Technologien welche verwendet werden sind eigentlich alle eher alt. Es wurden jedoch immer kreativere Methoden entdeckt, diese anzugreiffen. phpBB2 ist nun 7 Jahre alt, es ist diesen neuen Angriffsmethoden nicht mehr gewachsen.

Wovon spreche ich? XSS, CSRF, SQL injection. AJAX (als XSS) fügt eine neue Dimension hinzu. RFI/LFI... Diese Stichwörter sind kein Geheimnis, fast jeder kennt sie (oder sollte zumindest). Sie sind unter Umständen schwer zu verhindern.

...jaja phpbb2 ist geschichte ... nun auch bei mir

lg morph