phpBB.de

http://www.phpbb.com/phpBB/viewtopic.php?t=193247

Hoi,

Das da oben hab ich in meine \extenction.inc eingebaut.
So, nun moechte ich bloß wissen ob das wirklich was bringt und wie ich sehen kann das es was bringt


gruß

Matze_1

will mir den mod auch nstallieren. muss ich nur den code installieren der zum download angeboten wird oder auch den den da manche gepostet haben???

welchen hast du installiert???

dany

mit der aktuellen version ist der hack überflüssig - und die exploits von älteren versionen werden damit teilweise nicht gefixt

okay dann brauche ich diesen nicht zu installieren.

danke.

habs eingebaut.
etz gehen die XSS injections nicht mehr im FAQ z.b
der mod is gut

<neugierig_frag>
und was konnte man mit den XSS injektionen erreíchen?
</neugierig_frag>

also würde es doch mehr sicherheit bringen den mod einzubauen?

auf nem 2.0.8/9 bringt es was.


larsneo: Hier

also...

erstens bringt er ab einem 2.09 nix mehr - denn seitdem sind globalen varibalen in phpBB2 nicht mehr verfügbar. zum anderen ist der im mod aufgezeigte weg imho zumindestens 'suboptimal' (und and der falschen stelle angesetzt).

zweitens ist der 'impact' der beschriebenen dinge äusserst gering - sowohl path disclosure als auch cross-site-scripting (XSS) haben - in bezug auf die phpBB2 sicherheit - keinen nennenswerten einfluss. die bedeutung von xss liegt in erster linie im 'social engineering'.

insgesamt würde ich davor abraten sich durch solche mods in 'pseudo-sicherheit' zu wiegen - die 'wirklichen' exploit basieren in aller regel nicht auf globalen variablen (beispielsweise sql-injection in privmsg.php). das mod kann auf keinen fall einen ersatz für die jeweils aktuellste version darstellen.