Ist phpBB sicher?

....da diese Frage in letzter Zeit häufiger in den hiesigen Foren-Diskussionen auftauchte, wird es mal wieder Zeit für einen Artikel vom Dave ;-)

phpBB unsicher und fehlerhaft?


phpBB ist sehr anfällig für Würmer!
phpBB ist Unsicher!
Die Software ist voller Fehler!
phpBB sollte man auf keinen Fall benutzen!
die phpBB-Group kümmert sich überhaupt nicht um die Software


Derartige Vorwürfe und Vorurteile hört man immer öfter, gerade wenn wieder einmal eine neue Sicherheitslücke aufgetaucht ist. Aber ist phpBB denn nun auch wirklich "sicher"? Kann man sich in der heutigen Zeit überhaupt noch trauen, dieses Forum zu installieren? Kurze Antwort: JA, kann man! phpBB ist eine moderne Foren-Software, mit einem sehr ausgereiften Sicherheits-Konzept. Trotz dessen, dass die phpBB-Group an neueren Versionen mit neuen Funktionen arbeitet, werden die älteren Versionen weiter gepflegt und entdeckte Sicherheitslücken werden sehr schnell beseitigt, meistens ist sogar innerhalb von 24 Stunden nach der Entdeckung schon ein Update verfügbar.

Ja aber es hat in der Vergangenheit sehr viele Patches gegeben, warum?


Das stimmt, teilweise gab es innerhalb von einer Woche sogar mehrere Updates. Aber gerade diese Tatsache zeugt von der hohen Qualität der Arbeit des phpBB-Teams. Im Gegensatz zu vielen anderen Unternehmen, werden sicherheitskritische Fehler umgehend verbessert und in einen neuen Patch veröffentlicht. Microsoft z.B. sammelt lediglich die auftretenden Fehler und Sicherheitslücken und veröffentlicht nur einmal im Monat - am sogenannten Patchday - die Updates für Windows oder den Internet-Explorer. Auch bei sicherheitstechnischen Belangen wird meistens so verfahren und das trotz dessen, dass Microsoft ein wirtschaftliches Unternehmen ist, und seine Software kommerziell vertreibt. phpBB ist freie Software, die Entwickler programmieren in ihrer Freizeit und bekommen kein Geld dafür.

Warum hat es denn jetzt so viele Updates gegeben?


Ich bitte um Entschuldigung, dass ich nicht direkt auf die Frage eingegangen bin... Nun, die Antwort ist einfach: phpBB ist sehr bekannt und noch dazu Open Source. Für einen Cracker ist eine Software nur interessant, wenn er damit möglichst vielen Leuten schaden kann. Wird ein Programm nur von wenigen Personen eingesetzt, macht es keinen Spaß es zu cracken. Der Browser Firefox ist da beste Beispiel: Anfangs war er noch als Geheimtipp und galt allgemein als sehr sicher. Das hat allerding nur so lange angehalten, bis sich der "Geheimtipp" rumgesprochen hat, danach wurden auch für Firefox innerhalb von kurzer Zeit mehrere Sicherheitslücken bekannt.
Bei phpBB ist das ähnlich, es ist sicherlich die mit am weitesten verbreitete Foren-Software. Dadurch stellt es natürlich einen großen Reiz für Cracker und Scriptkiddies dar. Genauso werden fast alle Computer-Viren nur für Windows von Microsoft programmiert, während es für Linux nahezu überhaupt keine Viren gibt.
Ein weiterer Grund ist, dass phpBB Open Source Software ist. Der Quellcode ist somit für jederman frei verfügbar, dadurch wird es für einen Cracker natürlich leichter, eventuelle Sicherheitslücken aufzufinden. Unsicherer ist das System dadurch aber nicht - im Gegenteil. Ich behaupte sogar, dass phpBB eines der sicheresten Software-Programme überhaupt ist, eben weil es Open Source ist. Der Quellcode wird von tausenden von Usern benutzt, verändert und angepasst. Eventuelle Sicherheitslücken werden dadurch extrem schnell gefunden und behoben und nicht immer werden die Sicherheitslücken von den Crackern entdeckt, oft sind es auch die Programmierer und Benutzer des Forums, die eine Lücke entdecken und an die phpBB-Group weiterleiten, so dass praktisch nie eine reelle Gefahr besteht. Das System wird dadurch wirklich sicher und funktioniert nicht wie die Software vieler kommerzieller Unternehmen nach dem Prinzip security by obscurity. Dieses basiert darauf, dass ein System nur so lange sicher ist, so lange niemand weiß wie es funktioniert. Der Quell-Code vom Internet-Explorer ist nicht öffentlich zugänglich, somit werden auch die ganzen vorhandenen Sicherheitslöcher nicht gefunden - vor allem auch nicht beseitigt.

Wie kann ich mich schützen?


Sehr leicht. Genau wie bei Windows auch, ist phpBB auch nur so weit sicher, wie die Software aktuell ist, daher ist es auch unbedingt erforderlich, sich regelmäßig über Updates zu informieren und diese dann auch zu installieren. Desweiteren ist ein Forum auch immer nur so sicher wie sein Benutzer es für nötig hält. Unten findet Ihr weitere Links zu dem Thema.

Weitere hilfreiche Artikel:


So mache ich mein Board sicher
Mein Forum wurde gecrackt - was nun?

Zuletzt bearbeitet: 10.03.2014 11:16 von • Der Artikel wurde 26187 mal angeschaut.