RootForum Community

Hi...

http://www.heise.de/newsticker/meldung/61352

http://www.phpbb.com/phpBB/viewtopic.php?f=14&t=302011

:roll:

Gibt es eine Möglichkeit da serverseitig etwas zu machen?
Sprich Apache absichern oder so

Update einspielen, nach Möglichkeit sowas nicht verwenden. Eine gute Alternative zu phpbb ist das FUDforum von Ilia Alshanetsky.

fud forum .... sehr geiles ding, kann ich nur empfehlen.

andreask2 wrote:Update einspielen, nach Möglichkeit sowas nicht verwenden. Eine gute Alternative zu phpbb ist das FUDforum von Ilia Alshanetsky.

Meint eine gute Alternative auch das das sicherer ist? Dann würd ich echt drüber nachdenken...

Das kann Dir niemand garantieren. Die Vergangenheit hat nur gezeigt, dass phpbb wirklich sehr viele Lücken enthält. Ilia Alshanetsky ist Release-Manager des 4.3er Branches von PHP - also jemand der wirklich ein bisschen Ahnung von der Materie hat.

Gibt es auch eine alternative vom Linux Kernel :roll: :lol:

Sorry musste sein :-)

A-N wrote:Gibt es auch eine alternative vom Linux Kernel :roll: :lol:

Hurd/Hurd L4/FreeBSD/OpenBSD/NetBSD/Win32 ;)

andreask2 wrote:Die Vergangenheit hat nur gezeigt, dass phpbb wirklich sehr viele Lücken enthält.

Du vergisst das "Windows-Prinzip": Je populärer eine Software ist, desto interessanter ist sie für Cracker. Daraus folgt zwangsläufig eine höhere Zahl gefundener Bugs und darauf aufsetzender Exploits.

andreask2 wrote:Ilia Alshanetsky ist Release-Manager des 4.3er Branches von PHP - also jemand der wirklich ein bisschen Ahnung von der Materie hat.

Security by Obscurity...

Joe User wrote:Du vergisst das "Windows-Prinzip": Je populärer eine Software ist, desto interessanter ist sie für Cracker. Daraus folgt zwangsläufig eine höhere Zahl gefundener Bugs und darauf aufsetzender Exploits.

Schon, aber ob das alleine die vielen Lücken auch in letzter Zeit erklärt? Wenn ich mir Exploits für phpbb angucke, denke ich mir sehr oft - "wie bitte kommt man auf die Idee sowas zu programmieren...".

Abgesehen davon bin ich mir nicht sicher, ob phpbb überhaupt so viel öfter installiert ist als andere Boards.

Joe User wrote:

andreask2 wrote:Ilia Alshanetsky ist Release-Manager des 4.3er Branches von PHP - also jemand der wirklich ein bisschen Ahnung von der Materie hat.

Security by Obscurity...

Eher das Gegenteil - würde ich meinen. Ist dasselbe ob jemand Dir den Root-Server einrichtet, der Ahnung davon hat - oder eben nicht.

PS: Gentoo hat phpbb aufgrund der vielen Probleme inzwischen aus Portage entfernt: http://www.gentoo.org/security/en/glsa/ ... 507-03.xml

Joe User wrote:Du vergisst das "Windows-Prinzip": Je populärer eine Software ist, desto interessanter ist sie für Cracker. Daraus folgt zwangsläufig eine höhere Zahl gefundener Bugs und darauf aufsetzender Exploits.

Es gibt auch Leute, die nicht programmieren können. Und es gibt Programmierumgebungen, die inherent unsicher sind. PHP gehört IMHO zu dieser Kategorie.

Ich kenne allerdings phpbb nicht, also kann ich mir kein Urteil erlauben...

mausgreck wrote:Es gibt auch Leute, die nicht programmieren können. Und es gibt Programmierumgebungen, die inherent unsicher sind. PHP gehört IMHO zu dieser Kategorie.

Ich würde PHP nicht unbedingt als "inherent unsicher" bezeichnen. Allerdings macht es PHP den Programmierer sehr einfach schlechten und unsicheren Code zu schreiben. Dagegen helfen nur gute Programmierkenntnisse und viel Erfahrung. Und das spreche ich einigen PHP-Projekten ab.

andreask2 wrote:Ich würde PHP nicht unbedingt als "inherent unsicher" bezeichnen. Allerdings macht es PHP den Programmierer sehr einfach schlechten und unsicheren Code zu schreiben. Dagegen helfen nur gute Programmierkenntnisse und viel Erfahrung. Und das spreche ich einigen PHP-Projekten ab.

Ich finde PHP ist eine zu dünne Schicht über dem Webserver für die meisten Applikationen, für die es verwendet wird. Da braucht es einen ordentlichen Application-Server, der sich um Persistenz, Templates und so weiter kümmert. Wenn ich mir die SQL-Verrenkungen in einem typischen PHP-Projekt ansehe, wird mir übel.

PHP ist super für eine Website mit ein paar dynamischen Elementen, aber nicht für eine Applikation. (IMHO natürlich )

hoppla - bin irgendwie im flaschen thread gelandet 8O

andreask2 wrote:

Joe User wrote:Du vergisst das "Windows-Prinzip": Je populärer eine Software ist, desto interessanter ist sie für Cracker. Daraus folgt zwangsläufig eine höhere Zahl gefundener Bugs und darauf aufsetzender Exploits.

Schon, aber ob das alleine die vielen Lücken auch in letzter Zeit erklärt?

Wenn man bedenkt, dass phpBB2 mit 3 PHP-Versionen (PHP3/PHP4/PHP5) kompatibel und mitlerweile 3 Jahre alt ist und in diesen 3 Jahren lediglich 17 Security-Updates vorgenommen werden mussten, so spricht dies wohl eher für phpBB, als dagegen. Es mag ja durchaus ärgerlich sein, dass 7 dieser Security-Updates innerhalb des letzten Jahres erschienen sind und zudem das 16te hätte vermieden werden können, andererseits konnten alle Updates selbst von "Otto Normal" in weniger als 2 Minuten durchgeführt werden. Vergleiche diese Zahlen mal mit PHP selbst...

andreask2 wrote:Wenn ich mir Exploits für phpbb angucke, denke ich mir sehr oft - "wie bitte kommt man auf die Idee sowas zu programmieren...".

Es hält Dich Niemand davon ab, phpBB einem weiteren Codereview zu unterziehen, oder ein ebenso komplexes und gleichzeitig sichereres Board zu entwickeln.

andreask2 wrote:Abgesehen davon bin ich mir nicht sicher, ob phpbb überhaupt so viel öfter installiert ist als andere Boards.

phpBB, vB und IPB sind die 3 am häufigsten installierten Boards, wobei das mit Abstand umfangreichste Board auf phpBB setzt.

andreask2 wrote:PS: Gentoo hat phpbb aufgrund der vielen Probleme inzwischen aus Portage entfernt: http://www.gentoo.org/security/en/glsa/ ... 507-03.xml

Es wurde nicht entfernt, sondern vorübergehend (bis 2.0.1[78]) maskiert...

Komplex hin oder her, es handelt sich um ein *Forum*, keinen Webserver, kein Betriebssystem und keine Datenbank, das nochdazu in einer Skriptsprache programmiert wurde. Da gibt es kein Locking, kein Resourcemanagement, keine Bufferoverflows. Also ich finde 17 Security-Updates in 3 Jahren eher beunruhigend.

zwingt dich ja auch keiner es zu verwenden ;) update ist übrigens raus

chaosad wrote:zwingt dich ja auch keiner es zu verwenden

Todschlagargument #75.
Ich verwende sowieso kein php, aber meine User tun's... :P

Was soll man dir denn sonst raten? Ist ja nicht so das diese Fehler nicht behoben werden.

chaosad wrote:Was soll man dir denn sonst raten?

Nichts - ich habe nicht um Rat gebeten... Aber diskutieren wird man ja wohl noch dürfen...

klar, aber dann darfst auch nicht mit Todschlagargument kommen...denn ich seh da auch nicht viel Sinn hier groß rumzudiskutieren. Entwedern man verwendet es und spielt halt die updates ein oder man sucht sich ne Alternative. Sehr viel mehr Möglichkeiten gibts nicht.

Joe User wrote:Es hält Dich Niemand davon ab, phpBB einem weiteren Codereview zu unterziehen, oder ein ebenso komplexes und gleichzeitig sichereres Board zu entwickeln.

1. brauche ich kein Board
2. gibt es gute Alternativen (FUDforum oder eher das Classic Forum, wenns denn ein "richtiges Forum" sein darf ;-))

Joe User wrote:

andreask2 wrote:PS: Gentoo hat phpbb aufgrund der vielen Probleme inzwischen aus Portage entfernt: http://www.gentoo.org/security/en/glsa/ ... 507-03.xml

Es wurde nicht entfernt, sondern vorübergehend (bis 2.0.1[78]) maskiert...

Ok, das einzige was ich hierzu weiß stand im genannten GLSA:

GLSA 200507-03 / phpBB wrote: The phpBB package is no longer supported by Gentoo Linux and has been removed from the Portage repository, no further announcements will be issued regarding phpBB updates. Users who wish to continue using phpBB are advised to monitor and refer to http://www.phpbb.com for more information.

PS: http://www.heise.de/newsticker/meldung/61871

<OT>

andreask2 wrote:2. gibt es gute Alternativen (FUDforum oder eher das Classic Forum, wenns denn ein "richtiges Forum" sein darf ;-))

Das FUDforum ist nicht PHP3 kompatibel und zumindest das Testforum des cforum enthält unentschuldbare Fehler im Output (zum Beispiel die Leerzeile vor der DTD), obwohl es ursprünglich für das SelfHTML-Projekt entwickelt wurde. Ja, auch das phpBB2-Template enthält einige HTML-Fehler, aber keine solch eklatanten...

</OT>

andreask2 wrote:PS: http://www.heise.de/newsticker/meldung/61871

Da ich (nicht nur) auf phpbb.com auch zwischen den Zeilen mitlese, weiss ich schon seit einigen Wochen von dem (bereits laufenden) Audit ;)

Joe User wrote:Das FUDforum ist nicht PHP3 kompatibel

Gut - wenn man das braucht. Wäre zumindest für mich kein Argument ;-)

Joe User wrote:und zumindest das Testforum des cforum enthält unentschuldbare Fehler im Output (zum Beispiel die Leerzeile vor der DTD), obwohl es ursprünglich für das SelfHTML-Projekt entwickelt wurde.

Was ist daran falsch? Zumindest der w3c validator und tidy geben weder Fehler noch Warnungen aus. AFAIK muss nur <?xml in der ersten Zeile stehen, und dann ist es bei XML doch egal was für Whitespace-Zeichen zwischen den Elementen stehen, oder?

andreask2 wrote:PS: Gentoo hat phpbb aufgrund der vielen Probleme inzwischen aus Portage entfernt: http://www.gentoo.org/security/en/glsa/ ... 507-03.xml

http://packages.gentoo.org/packages/?ca ... name=phpBB
Maskiert, aber nach wie vor vorhanden...

andreask2 wrote:

Joe User wrote:Das FUDforum ist nicht PHP3 kompatibel

Gut - wenn man das braucht. Wäre zumindest für mich kein Argument ;-)

Wenn Du Alternativen zu phpBB2 aufzeigen möchtest, solltest Du auch auf die Mindestvoraussetzungen achten. Desweiteren sind ein paar der phpBB2-Updates, zumindest indirekt, auf die Kompatibilität zu PHP <4.2.2 und Eines gar direkt auf eine erst in PHP-4.3.10 gefixte Sicherheitslücke zurückzuführen. Ebenfalls zu beachten ist die Tatsache, dass einige (IIRC mindestens 3) Bugs nicht nur phpBB2, sondern gleichermassen auch seine Mitbewerber betraf...