mboost-dp1
unknown
En ting er om sikkerhedshullerne bliver lukket, en anden ting er om folk gør det.
Hvis alle de små nørder ikke opdatere phpBB på deres HP, så kan man måske godt forstå f.eks. Hostpcs indstilling.
Det er heller ikke altid muligt at opdatere. Hvis f.eks. ens phpBB kom som en del af PHPNuke.
Men ligefrem at forbyde et de mest porpulære forums, er måske lidt ekstremt...
Hvis alle de små nørder ikke opdatere phpBB på deres HP, så kan man måske godt forstå f.eks. Hostpcs indstilling.
Det er heller ikke altid muligt at opdatere. Hvis f.eks. ens phpBB kom som en del af PHPNuke.
Men ligefrem at forbyde et de mest porpulære forums, er måske lidt ekstremt...
Grunden til phpBB bliver angrebet så meget er vel at det er så udbredt, skulle man tro. Andre php forums har sikkert mindst lige så mange sikkerhedsfejl, eller flere, fordi de ikke fokuserer på det.
Så det er da dumt at lukke af for phpBB, så folk begynder at bruge usikre løsninger. Eller lave deres eget, som har mange fejl. Helt ærligt. :)
Så det er da dumt at lukke af for phpBB, så folk begynder at bruge usikre løsninger. Eller lave deres eget, som har mange fejl. Helt ærligt. :)
Hmm. De lukker for PHPBB, men ikke for tilfældige nørders egne små phpscripts.
Jeg tror mere det er sikkerhedshuller i det senere man skal være bange for.
Jeg tror mere det er sikkerhedshuller i det senere man skal være bange for.
Jeg kan kun sige at jeg er enig. Jeg havde også i lang tid et phpbb forum på min server, men efter adskillige advarsler fra folk jeg kender, besluttede jeg mig for at nedlægge det.
Det er fint nok at de retter alle fejlene, men en del af dem er typiske dumme fejl som aldrig burde have været der. Det tyder simpelthen på dårlig projektplanlægning. Derudover er det også sket, at de først tager et sikkerhedshul alvorligt, når nogen har udgivet et decideret exploit til det.
Det er fint nok at de retter alle fejlene, men en del af dem er typiske dumme fejl som aldrig burde have været der. Det tyder simpelthen på dårlig projektplanlægning. Derudover er det også sket, at de først tager et sikkerhedshul alvorligt, når nogen har udgivet et decideret exploit til det.
jeg ved at paranut.dk/forum (Grafik forum) blev smadret pga. et hul i phpBB, og Allan der driver det opdatede jævnligt phpBB.
problemet er at det er så udbredt, og finder man et enkelt hul kan man hurtigt smadre ALT for mange fora rundt omkring. lidt ligesom windows :)
problemet er at det er så udbredt, og finder man et enkelt hul kan man hurtigt smadre ALT for mange fora rundt omkring. lidt ligesom windows :)
jeg undrer mig lidt over, hvorfor webhotellerne brokker sig over sikkerhedsfejl i de ting som kunderne lægger op.
webhotellerne har vel i forvejen sørget for, at ingen scripts som køres på brugerens domæne, har adgang til filer på resten af serveren, og databasen er også beskyttet med bruger og password.
så hvad der måtte ske med kundernes data og de scripts de lægger op, er vel deres eget problem, hvis folk mister deres database pga fejl i phpBB må de jo bare sikre sig ved at læse koden igennem selv og teste.
jeg ved godt jeg er lidt firkantet her, men uanset hvad vil jeg da mene det er op til kunden, og som flere andre siger, tror jeg at phpBB indeholder kode som er mere sikker end 95% af det som kunderne selv sidder og koder.
i øvrigt forstår jeg ikke hvorfor de fleste webhoteller stadig har register_globals enabled, dette udgør i sig selv en ret stor sikkerhedsbrist!
webhotellerne har vel i forvejen sørget for, at ingen scripts som køres på brugerens domæne, har adgang til filer på resten af serveren, og databasen er også beskyttet med bruger og password.
så hvad der måtte ske med kundernes data og de scripts de lægger op, er vel deres eget problem, hvis folk mister deres database pga fejl i phpBB må de jo bare sikre sig ved at læse koden igennem selv og teste.
jeg ved godt jeg er lidt firkantet her, men uanset hvad vil jeg da mene det er op til kunden, og som flere andre siger, tror jeg at phpBB indeholder kode som er mere sikker end 95% af det som kunderne selv sidder og koder.
i øvrigt forstår jeg ikke hvorfor de fleste webhoteller stadig har register_globals enabled, dette udgør i sig selv en ret stor sikkerhedsbrist!
[url=#2]#2[/url] walling
Min første henvendelse omkring hullet blev ignoreret. Det var først anden gang jeg kontaktede dem, at de reagerede. Og der gik et halvt år før hullet blev lukket. Og at hullet overhovedet blev lukket skyldes nok kun, at jeg i mellemtiden meldte dem til Datatilsynet.
Har det nogensinde taget i nærheden af et halvt år for at få lukket et hul i PhpBB?
Det får mig egentlig til at spekulere over, at det som newz.dk bruger ligner heller ikke noget jeg har set andre steder. Er det også et hjemmelavet debatforum? Hvor meget er der gjort ud af sikkerheden? Og er kilden åben?
Eller lave deres eget, som har mange fejl.For et par år siden fandt jeg et hul i et debatforum på et dansk website. Jeg ved ikke, om det er noget de selv har lavet, men det ligner ikke noget jeg har set andre steder.
Min første henvendelse omkring hullet blev ignoreret. Det var først anden gang jeg kontaktede dem, at de reagerede. Og der gik et halvt år før hullet blev lukket. Og at hullet overhovedet blev lukket skyldes nok kun, at jeg i mellemtiden meldte dem til Datatilsynet.
Har det nogensinde taget i nærheden af et halvt år for at få lukket et hul i PhpBB?
Det får mig egentlig til at spekulere over, at det som newz.dk bruger ligner heller ikke noget jeg har set andre steder. Er det også et hjemmelavet debatforum? Hvor meget er der gjort ud af sikkerheden? Og er kilden åben?
#7 ja det er et hjemmelavet system, som også bruges på www.filmz.dk.
som du kan se på infosiden og crew siden, er det hmn og commy der står for koden...
som du kan se på infosiden og crew siden, er det hmn og commy der står for koden...
Der er nogle af Jer der siger "jamen så laver folk deres egne scripts, med dobbelt så mange fejl i" - det er noget vås at bruge som argument af flere årsager:
- SQL Injection er noget der som standard er hjulpet for at undgå i PHP vha. magic quotes. At phpBB har så mange af disse injection fejl er ubegribeligt.
- phpBB er meget udbredt, derfor laver folk decideret scripts der søger efter phpBB sites og udnytter specifikke bugs.
-> Derfor er den _faktiske_ chance for "indbrud" nok større ved brug af phpBB.
Personligt har jeg ikke direkte kigget på koden, men det kunne jeg godt tænke mig at se - phpBB er berygtet for at blive udnyttet via dens mange underlige alvorlige bugs. Jeg forstår godt webudbyderne, men mon ikke de bare skulle holde sig mere opdateret istedet for at boycutte det?
Jeg er selv PHP udvikler, og står ærlig talt lidt uforståen over for en del af de sårbarheder der fremkommer, taget sproget i betragning, af og til...
Men når alt dette er sagt, så har jeg da selv anbefalet phpBB til folk, og benyttet det før - jeg synes bare at man bør tænke sig om før man kalder webudbyderne nogle idioter.
- SQL Injection er noget der som standard er hjulpet for at undgå i PHP vha. magic quotes. At phpBB har så mange af disse injection fejl er ubegribeligt.
- phpBB er meget udbredt, derfor laver folk decideret scripts der søger efter phpBB sites og udnytter specifikke bugs.
-> Derfor er den _faktiske_ chance for "indbrud" nok større ved brug af phpBB.
Personligt har jeg ikke direkte kigget på koden, men det kunne jeg godt tænke mig at se - phpBB er berygtet for at blive udnyttet via dens mange underlige alvorlige bugs. Jeg forstår godt webudbyderne, men mon ikke de bare skulle holde sig mere opdateret istedet for at boycutte det?
Jeg er selv PHP udvikler, og står ærlig talt lidt uforståen over for en del af de sårbarheder der fremkommer, taget sproget i betragning, af og til...
Men når alt dette er sagt, så har jeg da selv anbefalet phpBB til folk, og benyttet det før - jeg synes bare at man bør tænke sig om før man kalder webudbyderne nogle idioter.
Ej, dete r da bare fordi webhotellerne, ikke ved hvad de bør gøre.
Sætter man mod_security op med nogle ordentlige regler så får man ikke det problem.
Sætter man mod_security op med nogle ordentlige regler så får man ikke det problem.
webhosts'ne kan sgu da være ligeglade med det, hvis bare de har en ordentligt konfigureret server kan en usikker phpbb jo ikke skade dem, kun brugerens phpbb..
Kan som mange andre ikke se hvad webhotellerne skulle have imod at folk har sikkerhedshuller i deres scripts. Det går jo som sagt kun ud over kunden.
Men hvordan kan en webhoteludbyder lukke for at man bruge vise scripts? søger du kundernes filer igennem og sletter det der ligner noget der ikke må være på serveren?
Men hvordan kan en webhoteludbyder lukke for at man bruge vise scripts? søger du kundernes filer igennem og sletter det der ligner noget der ikke må være på serveren?
#6 og #11 - helt enig!
Trist hvis der er så mange problemer med sikkerheden i phpBB, men jeg kan ikke se hvorfor hosting-udbyderne bliver sure. Det går kun udover kundens egne data og ikke hele serveren ... hvis den altså er konfigureret ordenligt - men det er jo nok det der er problemet.
Jeg vil ikke skære alle hosting-udbydere over en kam, men jeg vil vove at påstå, at mange af dem ikke aner en skid om, hvad de laver. De smider bare en Red Hat på og installerer Apache, PHP og MySQL: "Vi er åååååh så smarte, og har styr på det." Men hvor mange af dem tror i egentlig der har læst security-afsnittet i PHP-manualen, eller overhovedet har kigget i php.ini? Hos de udbydere jeg har haft gennem tiden, har man frit kunne bruge f.eks. exec() til at snuse rundt på hele systemet - og f.eks. kigge i andre brugeres foldere! :-S Man bør altså kende til indstillinger som open_basedir og safe_mode hvis man er hosting udbyder.
#9
Man bør aldrig regne med at magic_quotes_gpc er slået til, og man bør altid selv sørge for at bruge f.eks. addslashes() og stripslashes(). PHP-folkene anbefaler selv at man koder med det slået fra:
http://dk2.php.net/manual/en/security.magicquotes....
Jeg er enig i at Magic Quotes er god til begyndere, men i et stort projekt som phpBB bør udviklerne ikke regne med at den er slået til, så er de sgu nogle fjolser. Især fordi det er slået fra i php.ini-recommended (det er register_globals som #6 nævner i øvrigt også) - men den fil er der som sagt nok mange udbydere, der ikke kender noget som helst til.
I øvrigt synes jeg det er skræmmende, hvor mange webprogrammører der er totalt ignorante overfor sikkerhed - herunder SQL injection som scarlac nævner. Det er et emne som har været oppe og vende utallige gange.
Jeg prøver ikke at undskylde for phpBB, for de skal selvfølgelig være opmærksom på sikkerheden. Men jeg spekulerer lidt på hvor meget af det, der er FUD + inkompetente hosting-udbydere.
Trist hvis der er så mange problemer med sikkerheden i phpBB, men jeg kan ikke se hvorfor hosting-udbyderne bliver sure. Det går kun udover kundens egne data og ikke hele serveren ... hvis den altså er konfigureret ordenligt - men det er jo nok det der er problemet.
Jeg vil ikke skære alle hosting-udbydere over en kam, men jeg vil vove at påstå, at mange af dem ikke aner en skid om, hvad de laver. De smider bare en Red Hat på og installerer Apache, PHP og MySQL: "Vi er åååååh så smarte, og har styr på det." Men hvor mange af dem tror i egentlig der har læst security-afsnittet i PHP-manualen, eller overhovedet har kigget i php.ini? Hos de udbydere jeg har haft gennem tiden, har man frit kunne bruge f.eks. exec() til at snuse rundt på hele systemet - og f.eks. kigge i andre brugeres foldere! :-S Man bør altså kende til indstillinger som open_basedir og safe_mode hvis man er hosting udbyder.
#9
SQL Injection er noget der som standard er hjulpet for at undgå i PHP vha. magic quotes. At phpBB har så mange af disse injection fejl er ubegribeligt.
Man bør aldrig regne med at magic_quotes_gpc er slået til, og man bør altid selv sørge for at bruge f.eks. addslashes() og stripslashes(). PHP-folkene anbefaler selv at man koder med det slået fra:
http://dk2.php.net/manual/en/security.magicquotes....
Jeg er enig i at Magic Quotes er god til begyndere, men i et stort projekt som phpBB bør udviklerne ikke regne med at den er slået til, så er de sgu nogle fjolser. Især fordi det er slået fra i php.ini-recommended (det er register_globals som #6 nævner i øvrigt også) - men den fil er der som sagt nok mange udbydere, der ikke kender noget som helst til.
I øvrigt synes jeg det er skræmmende, hvor mange webprogrammører der er totalt ignorante overfor sikkerhed - herunder SQL injection som scarlac nævner. Det er et emne som har været oppe og vende utallige gange.
Jeg prøver ikke at undskylde for phpBB, for de skal selvfølgelig være opmærksom på sikkerheden. Men jeg spekulerer lidt på hvor meget af det, der er FUD + inkompetente hosting-udbydere.
Det er lykkes udviklerne af phpBB er lave fejl i forbindelse med en fejlrettelse, der er identisk med fejl der tidligere har været i og fjernet fra phpBB.
Samtidig har phpBB haft så mange sikkerhedsopdateringer at man skulle tro det var et Beta produkt. Der må helst ikke komme for mange fejlrettelse i web programmer, da der ikke findes noget central måde at have overblik over opdateringer til web programmer. Man skal ofte besøge web programmernes hjemmesider for at kontrollere om der findes en opdatering. Dette skal gøres til alle ens installerede web programmer, og gøres ofte.
Hvis det lykkes nogen at root'e et web program, er det selvfølgelig i første omgang ISPens kunde og ikke ISPen der har sorteper. (Måske mister de alt data i hele deres database, samt selve siden).
Problemet for ISPen er bare at en side måske kommer til at indeholde skjulte "forums" med wareZ mm. I visse lande er dette ISPens problem (bl.a.)
Hvis et par af en ISPs sider inderholder mere end deres kunders indhold, kan dette også meget let betyde MEGET mere trafik til disse sider. Dette betyder ringere tilgang til ISPens andre sider. Hvis nogen laver et script som placere "data" i alle kundernes phpBB sider, og lader dette indeksere på kendte wareZ søgesider, så bliver det pludselig til meget trafik pr. kunde for den ISP.
Som så meget andet ender alt dette i penge. Det tager tid at kontrollere om ens kunder har patchet deres web programmer. Det tager tid at undersøge om kunder har wareZ liggende. Det tager tid at underrette en kunde om at deres side indeholder wareZ. En ISP vil meget gerne have alt til at køre automatisk, men ikke alt kan automatiseres. Og ligegyldig hvad: Både automatisering og manuelle søgninger tager tid og koster mange penge.
Hosting kaster ikke mange penge af sig pr. kunde, så få kunder der skaber uforudsette omkostninger, kan ødelægge hele økonomien.
Samtidig har phpBB haft så mange sikkerhedsopdateringer at man skulle tro det var et Beta produkt. Der må helst ikke komme for mange fejlrettelse i web programmer, da der ikke findes noget central måde at have overblik over opdateringer til web programmer. Man skal ofte besøge web programmernes hjemmesider for at kontrollere om der findes en opdatering. Dette skal gøres til alle ens installerede web programmer, og gøres ofte.
Hvis det lykkes nogen at root'e et web program, er det selvfølgelig i første omgang ISPens kunde og ikke ISPen der har sorteper. (Måske mister de alt data i hele deres database, samt selve siden).
Problemet for ISPen er bare at en side måske kommer til at indeholde skjulte "forums" med wareZ mm. I visse lande er dette ISPens problem (bl.a.)
Hvis et par af en ISPs sider inderholder mere end deres kunders indhold, kan dette også meget let betyde MEGET mere trafik til disse sider. Dette betyder ringere tilgang til ISPens andre sider. Hvis nogen laver et script som placere "data" i alle kundernes phpBB sider, og lader dette indeksere på kendte wareZ søgesider, så bliver det pludselig til meget trafik pr. kunde for den ISP.
Som så meget andet ender alt dette i penge. Det tager tid at kontrollere om ens kunder har patchet deres web programmer. Det tager tid at undersøge om kunder har wareZ liggende. Det tager tid at underrette en kunde om at deres side indeholder wareZ. En ISP vil meget gerne have alt til at køre automatisk, men ikke alt kan automatiseres. Og ligegyldig hvad: Både automatisering og manuelle søgninger tager tid og koster mange penge.
Hosting kaster ikke mange penge af sig pr. kunde, så få kunder der skaber uforudsette omkostninger, kan ødelægge hele økonomien.
#17:
Til netop phpbb er der en Debian pakke, og dermed netop en let måde at holde det opdateringet på, hvis ellers debian vedligeholderen kan følge med :-)
En mulighed kunne være at installere en version af phpbb, og derefter gøre den tilgengælig for alle brugere på en snedig måde. Så ville brugerne let kunne få installeret phpbb, samt den ville være opdateret.
Der må helst ikke komme for mange fejlrettelse i web programmer, da der ikke findes noget central måde at have overblik over opdateringer til web programmer. Man skal ofte besøge web programmernes hjemmesider for at kontrollere om der findes en opdatering.
Til netop phpbb er der en Debian pakke, og dermed netop en let måde at holde det opdateringet på, hvis ellers debian vedligeholderen kan følge med :-)
En mulighed kunne være at installere en version af phpbb, og derefter gøre den tilgengælig for alle brugere på en snedig måde. Så ville brugerne let kunne få installeret phpbb, samt den ville være opdateret.
De hosting-firmaer der udlukker phpBB, kommer da til at skyde sig selv i foden.
Alternativet må være at få flyttet sit domæne, til et andet firma der understøtter phpBB
Bruge et andet slags forum
Eller bruge free-forums.org
Alternativet må være at få flyttet sit domæne, til et andet firma der understøtter phpBB
Bruge et andet slags forum
Eller bruge free-forums.org
Jeg har sikkert bare ikke nok forstand på det, men hvordan kan det blive et problem for webhotellet? Går det ikke bare udover den enkelte side der bliver angrebet og det er vel folks eget problem?
Altså, webhotellet kunne vel bare koncentrere sig om at designe deres SQL-server godt og sikkert, således at angreb ikke spredte sig.
Altså, webhotellet kunne vel bare koncentrere sig om at designe deres SQL-server godt og sikkert, således at angreb ikke spredte sig.
Jeg har selv lige lukket mit phpbb forum.. efter jeg læste denne nyhed, gik jeg mit forum igennem og opdagede at der var lagt noget kode ind i det grafiske design på min side. denne kode lignede umiskendeligt noget backdoor/virus sjov, så jeg skyndte mig at slette det.. men tør ikke rigtig have phpbb kørende hvis det er den slags brugerne ricikerer..
nogen der kender et godt alternativ som ikke koster alverden?
nogen der kender et godt alternativ som ikke koster alverden?
#21
Jeg bruger XForum fra http://www.trollix.com/ixm_index.php?newlang=engli...
Synes det fungerer fint
Jeg bruger XForum fra http://www.trollix.com/ixm_index.php?newlang=engli...
Synes det fungerer fint
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund