Wie ist es denn um die Sicherheit von phpBB bestellt? Die neue Version soll ja Verbesserungen gebracht haben, wie unsicher war denn der Vorgänger? Ist die Software zu empfehlen oder gibt es sicherere Alternativen? Wo lägen dann die Sicherheitsprobleme? Interessiert mich schon, da es doch von vielen eingesetzt wird, aber auch als unsicher verschrienen wird
Ich kann hier nur vom Hörensagen urteilen: - PHP bietet einige Möglicheiten etwas falsch zu machen. Die phpBB Entwickler haben wohl viele dieser Möglichkeiten genutzt. - phpBB ist sehr Verbreitet, also auch viele Angreifer (Vergleiche Windows->Viren Linux->Viren)
Natürlich wurden die Fehler behoben, aber dass es keine mehr gibt ist bei einer von Menschen geschriebenen Software wohl fast ausgeschlossen ausser bei einem Hello-World.
Von Thomas Walther am Fr, 14. Dezember 2007 um 14:51 #
phpBB2 hatte relativ viele Minor-Releases, ging ja bis 2.0.22 afair. Extrem unsicher würde ich es keinesfalls nennen, aber richtig super war's hinsichtlich Sicherheit ung Bugfreiheit auch definitiv nicht. Es fand glaube ich hauptsächlich Verbreitung wegen seinem übersichtlichen und damit modding-freundlichen Code. Ich habe phpBB3 seit RC3 im Produktiveinsatz, allerdings nur in einem privaten Forum, daher war das RC3 für mich sicherheits- und bugtechnisch in Ordnung. Ich habe den Security-Tracker von phpBB3 schon vorher und natürlich erst recht seit RC3 verfolgt, und ich würde schätzen, dass phpBB3 sehr sicher und extrem bugfrei ist. Zeigen wird sich das natürlich erst in der Zukunft. Die Beta-Phase von phpBB3 war jedoch außergewöhnlich lang, man könnte sagen, genau das Gegenteil von KDE4.
> Wie ist es denn um die Sicherheit von phpBB bestellt?
Sagen wir es so, Stefan Esser von SektionEins (http://www.sektioneins.com/) hat sich lobend zu den Verbesserungen bei phpBB 3 geäussert und er ist normalerweise sehr kritisch was die Sicherheit von PHP und PHP Applikationen angeht
> Die neue Version soll ja Verbesserungen gebracht haben, wie unsicher war denn der Vorgänger?
Zuletzt gab es eigentlich kaum noch Sicherheitsprobleme. Ein paar größere Lücken und ein paar Würmer haben phpBB den Ruf der Unsicherheit eingebracht. Die letzten Sicherheitsmeldungen in Bezug auf phpBB drehten sich eher um Module von Drittanbietern.
> Ist die Software zu empfehlen oder gibt es sicherere Alternativen?
Einige davon haben sich Sicherheit auf die Fanen geschrieben aber Sicherheit bedeutet nur das Forum selbst mit Bedacht auf Sicherheit entwickelt wird. Aber viele der Foren haben die Möglichkeit Plugins einzubauen und die können ziemliche Sicherheitslöcher aufreissen. Ich hatte es vor kurzem auf dem Server eines Kunden mit einem Simple Machines Forum, das als sehr sicher gilt, zu tun über das Spam verschickt wurde. Aber nicht über das Forum selbst sondern über ein Plugin für das Forum.
> Wo lägen dann die Sicherheitsprobleme?
Da wo sie immer bei Webapplikationen liegen:
* Das jemand eigenen Code einschleust und sich so Zugang zum Server verschafft (Arbitrary File Inclusion). * Jemand schleust SQL Befehle ein und manipuliert so die Datenbank (SQL Injection) * Cross Site Scripting
Dann kommen die meisten Lücken garnicht erst zum Tragen.
Zudem sollte man noch möglichst auf Plugins und Mods verzichten da diese oft mit Lücken behaftet sind und Uploads von Benutzern auf keinen Fall zulassen, da Schadcode sehr oft über Uploads eingeschleust wird.
Von Jochen Plumeyer am Fr, 14. Dezember 2007 um 16:54 #
> > Wie ist es denn um die Sicherheit von phpBB bestellt? > > Sagen wir es so, Stefan Esser von SektionEins > (http://www.sektioneins.com/) hat sich lobend zu den > Verbesserungen bei phpBB 3 geäussert und er ist normalerweise > sehr kritisch was die Sicherheit von PHP und PHP Applikationen > angeht
Stimmt, *aber* Stefan Esser wurde ja gerade von phpBB bezahlt, um deren Verwundbarkeiten zu heilen.
Ich habe tatsächlich schon seit ca. 2 Jahren keine spektakulären Sicherheitsmeldungen mehr über phpBB gehört, davor war das anders.
Seit einem halben Jahr habe ich es im Produktiv-Einsatz, und kein Problem mit Angriffen.
Das phpBB3 ist leider genauso schlecht programmiert, wie die Vorgängerversion (habe vereinzelt mal den Source angeschaut). Eine ordentliche Testbarkeit, geschweige denn sogar automatisierte Tests, ist eigentlich unmöglich. Ich gehe davon aus, dass das Bugfixing im 3er-Zweig weiterhin die Hauptbeschäftigung der Entwickler sein wird - frage mich ehrlich gesagt sowieso, wie man fünf Jahre an einer Forensoftware entwickeln kann.
> Fünf Jahre und 200.000 Zeilen neuen oder geänderten Code hat es nach Angaben der Entwickler gekostet, phpBB 3.0 fertigzustellen Wieso gibt es Entwickler, die immer mit unmengen an Zeilen angeben müssen? Die Anzahl der Zeilen hat keinerlei Bedeutung.
So wie es sich anhört, ist es leider eine Weiterentwicklung der 2er-Version, d.h. bestimmt immernoch viele Altlasten, ansonsten wäre ein komplettes Refactoring (phpBB2 hat ja inzwischen auch einige Jahre auf dem Buckel) nicht schlecht gewesen.
Das einzig tolle am phpBB fand ich die Einfachheit/Übersichtlichkeit (aus Benutzersicht), was allerdings auch an den verhältnismäßig wenigen Features lag. Ansonsten war/bin ich kein großer Freund des phpBBs.
> So wie es sich anhört, ist es leider eine Weiterentwicklung der 2er-Version, d.h. bestimmt > immernoch viele Altlasten, ansonsten wäre ein komplettes Refactoring (phpBB2 hat ja > inzwischen auch einige Jahre auf dem Buckel) nicht schlecht gewesen.
Viel sinnvoller wäre gleich der Umstieg auf eine vernünftige Scriptsprache wie z.b. Python.
Denn das Problem steckt ja nicht nur in phpBB, sondern auch gleich noch in der Scriptsprache selbst.
Viel sinnvoller wäre gleich der Umstieg auf eine vernünftige Scriptsprache wie z.b. Python. Nö, weil damit die Zielgruppe nichts anfangen kann. Außerdem wäre es reichlich blöd, ein Python-Forum phpBB zu nennen.
* OOP und PHP5 (<< fünf) ist ziemlich gut möglich - vlt. nicht 100% Java-like, aber völlig ausreichend (auch Unit-Tests gehen) * phpBB ist u.a. für die Masse und viele 0815-Hoster bieten kein Python-Support (ist zumindest mein letzter Stand) * ich behaupte jetzt einfach mal (ohne Beweise dafür zu haben), dass im Web PHP verbreiteter ist, als Python * phpBB => pythonBB ;)
Außerdem ist PHP per se nicht unsicher. Sicherheitslücken entstehen i.a.R. durch falsche Server-Konfigurationen und/oder schlechte Programmierung. Beides kann auch unter Python vorkommen.
Ich möchte keineswegs Python schlecht reden, nutze es sogar sehr gerne, insbesondere für prototyping bei Java-Entwicklungen und Shellscripts (tls. mit GUI-Anbindung [pygtk]). Für Web-Entwicklungen ziehe ich dennoch PHP vor.
Von Anonymer Feigling am Sa, 15. Dezember 2007 um 00:09 #
Dann solltest du dir mal einige von den Frameworks ansehen die als Antwort auf Rails entstanden sind. Anfangs ungewohnt, aber danach ist es Klasse und man will ganz sicher nicht zurück.
Das mit den 0815-Hostern stimmt schon, aber guck dir Trac an, guck dir Moin an: es gibt Leute die das Nutzen und damit zufrieden sind.
Das mit den 0815-Hostern stimmt schon, aber guck dir Trac an, guck dir Moin an: es gibt Leute die das Nutzen und damit zufrieden sind.
ACK. Ich nutze Trac und bin im Großen und Ganzen zufrieden (mal abgesehen vom internen Wiki). Die Sache ist nur, dass man es nicht so einfach installieren kann wie phpBB. Deswegen lass ich es auf CVSDude hosten.
Hurd und Duke Nukem Forever können nicht mehr fern sein!
Interessiert mich schon, da es doch von vielen eingesetzt wird, aber auch als unsicher verschrienen wird
- PHP bietet einige Möglicheiten etwas falsch zu machen. Die phpBB Entwickler haben wohl viele dieser Möglichkeiten genutzt.
- phpBB ist sehr Verbreitet, also auch viele Angreifer (Vergleiche Windows->Viren Linux->Viren)
Natürlich wurden die Fehler behoben, aber dass es keine mehr gibt ist bei einer von Menschen geschriebenen Software wohl fast ausgeschlossen ausser bei einem Hello-World.
Ich habe phpBB3 seit RC3 im Produktiveinsatz, allerdings nur in einem privaten Forum, daher war das RC3 für mich sicherheits- und bugtechnisch in Ordnung.
Ich habe den Security-Tracker von phpBB3 schon vorher und natürlich erst recht seit RC3 verfolgt, und ich würde schätzen, dass phpBB3 sehr sicher und extrem bugfrei ist. Zeigen wird sich das natürlich erst in der Zukunft. Die Beta-Phase von phpBB3 war jedoch außergewöhnlich lang, man könnte sagen, genau das Gegenteil von KDE4.
Sagen wir es so, Stefan Esser von SektionEins (http://www.sektioneins.com/) hat sich lobend zu den Verbesserungen bei phpBB 3 geäussert und er ist normalerweise sehr kritisch was die Sicherheit von PHP und PHP Applikationen angeht
> Die neue Version soll ja Verbesserungen gebracht haben, wie unsicher war denn der Vorgänger?
Zuletzt gab es eigentlich kaum noch Sicherheitsprobleme. Ein paar größere Lücken und ein paar Würmer haben phpBB den Ruf der Unsicherheit eingebracht.
Die letzten Sicherheitsmeldungen in Bezug auf phpBB drehten sich eher um Module von Drittanbietern.
> Ist die Software zu empfehlen oder gibt es sicherere Alternativen?
Es gibt viele Alternativen.
Mal so als Beispiele:
Vanilla: http://getvanilla.com/
Simple Machines Forum: http://www.simplemachines.org/
useBB: http://www.usebb.net/
myBB: http://www.mybboard.net/
fudForum: http://fudforum.org/forum/
...
Einige davon haben sich Sicherheit auf die Fanen geschrieben aber Sicherheit bedeutet nur das Forum selbst mit Bedacht auf Sicherheit entwickelt wird. Aber viele der Foren haben die Möglichkeit Plugins einzubauen und die können ziemliche Sicherheitslöcher aufreissen.
Ich hatte es vor kurzem auf dem Server eines Kunden mit einem Simple Machines Forum, das als sehr sicher gilt, zu tun über das Spam verschickt wurde. Aber nicht über das Forum selbst sondern über ein Plugin für das Forum.
> Wo lägen dann die Sicherheitsprobleme?
Da wo sie immer bei Webapplikationen liegen:
* Das jemand eigenen Code einschleust und sich so Zugang zum Server verschafft (Arbitrary File Inclusion).
* Jemand schleust SQL Befehle ein und manipuliert so die Datenbank (SQL Injection)
* Cross Site Scripting
Am besten man sichert erstmal seinen Webspace entsprechend ab: http://www.heise.de/security/artikel/96564/Grundsicherung-fuer-PHP-Software
Dann kommen die meisten Lücken garnicht erst zum Tragen.
Zudem sollte man noch möglichst auf Plugins und Mods verzichten da diese oft mit Lücken behaftet sind und Uploads von Benutzern auf keinen Fall zulassen, da Schadcode sehr oft über Uploads eingeschleust wird.
>
> Sagen wir es so, Stefan Esser von SektionEins
> (http://www.sektioneins.com/) hat sich lobend zu den
> Verbesserungen bei phpBB 3 geäussert und er ist normalerweise
> sehr kritisch was die Sicherheit von PHP und PHP Applikationen
> angeht
Stimmt, *aber* Stefan Esser wurde ja gerade von phpBB bezahlt, um deren Verwundbarkeiten zu heilen.
Ich habe tatsächlich schon seit ca. 2 Jahren keine spektakulären Sicherheitsmeldungen mehr über phpBB gehört, davor war das anders.
Seit einem halben Jahr habe ich es im Produktiv-Einsatz, und kein Problem mit Angriffen.
> Fünf Jahre und 200.000 Zeilen neuen oder geänderten Code hat es nach Angaben der Entwickler gekostet, phpBB 3.0 fertigzustellen
Wieso gibt es Entwickler, die immer mit unmengen an Zeilen angeben müssen? Die Anzahl der Zeilen hat keinerlei Bedeutung.
So wie es sich anhört, ist es leider eine Weiterentwicklung der 2er-Version, d.h. bestimmt immernoch viele Altlasten, ansonsten wäre ein komplettes Refactoring (phpBB2 hat ja inzwischen auch einige Jahre auf dem Buckel) nicht schlecht gewesen.
Das einzig tolle am phpBB fand ich die Einfachheit/Übersichtlichkeit (aus Benutzersicht), was allerdings auch an den verhältnismäßig wenigen Features lag. Ansonsten war/bin ich kein großer Freund des phpBBs.
> inzwischen auch einige Jahre auf dem Buckel) nicht schlecht gewesen.
Viel sinnvoller wäre gleich der Umstieg auf eine vernünftige Scriptsprache wie z.b. Python.
Denn das Problem steckt ja nicht nur in phpBB, sondern auch gleich noch in der Scriptsprache selbst.
Nö, weil damit die Zielgruppe nichts anfangen kann. Außerdem wäre es reichlich blöd, ein Python-Forum phpBB zu nennen.
denn:
* OOP und PHP5 (<< fünf) ist ziemlich gut möglich - vlt. nicht 100% Java-like, aber völlig ausreichend (auch Unit-Tests gehen)
* phpBB ist u.a. für die Masse und viele 0815-Hoster bieten kein Python-Support (ist zumindest mein letzter Stand)
* ich behaupte jetzt einfach mal (ohne Beweise dafür zu haben), dass im Web PHP verbreiteter ist, als Python
* phpBB => pythonBB ;)
Außerdem ist PHP per se nicht unsicher. Sicherheitslücken entstehen i.a.R. durch falsche Server-Konfigurationen und/oder schlechte Programmierung. Beides kann auch unter Python vorkommen.
Ich möchte keineswegs Python schlecht reden, nutze es sogar sehr gerne, insbesondere für prototyping bei Java-Entwicklungen und Shellscripts (tls. mit GUI-Anbindung [pygtk]). Für Web-Entwicklungen ziehe ich dennoch PHP vor.
Das mit den 0815-Hostern stimmt schon, aber guck dir Trac an, guck dir Moin an: es gibt Leute die das Nutzen und damit zufrieden sind.
ACK. Ich nutze Trac und bin im Großen und Ganzen zufrieden (mal abgesehen vom internen Wiki). Die Sache ist nur, dass man es nicht so einfach installieren kann wie phpBB. Deswegen lass ich es auf CVSDude hosten.