19-07-2005, 10:48
[quote name='hans']bevor ich abstimme möchte ich gern wissen was unter einer Sicherheitslücke bei phpbb zu verstehen ist. Was kann denn bei einem Supergau in einem Forum passieren? Passwortklau?
Sorry, aber ich kenne mich einfach zu wenig aus um das ohne weitere Kurzinfo beurteilen zu können.[/quote]
Hallo Hans,
sorry, hier die Infos:
Heise: [url="http://www.heise.de/newsticker/meldung/61794"][url="http://www.heise.de/newsticker/meldung/61794"][url="http://www.heise.de/newsticker/meldung/61794"]http://www.heise.de/newsticker/meldung/61794[/url][/url][/url]
phpbb: [url="http://www.phpbb2.de/"][url="http://www.phpbb2.de/"][url="http://www.phpbb2.de/"]http://www.phpbb2.de/[/url][/url][/url]
Es handelt sich um das Phänomen namens "Cross Site Scripting", den rudimentären Patch dagegen habe ich eingebaut.
Faktum ist, daß dieses lediglich einen Notbehelf darfstellt, aber nicht weitere (unbekannte) "Lücken" ausschliesst.
Die Informationspolitik von phpbb lässt zu wünschen übrig, der Security-Tracker von phpbb zeigt jedenfalls das Problem bis heute nicht auf.
Security-Tracker von phpbb: [url="http://www.phpbb.com/security/"][url="http://www.phpbb.com/security/"][url="http://www.phpbb.com/security/"]http://www.phpbb.com/security/[/url][/url][/url]
Mein weiteres Handeln stimme ich auf solche Gegebenheiten ab, und vergleiche dann verschiedene Anbieter (kostenlose & kommerzielle) im Funktionsumfang. Die Jungs von phpbb waren schon mal besser drauf.
Viele Grüsse
Daniel
Sorry, aber ich kenne mich einfach zu wenig aus um das ohne weitere Kurzinfo beurteilen zu können.[/quote]
Hallo Hans,
sorry, hier die Infos:
Heise: [url="http://www.heise.de/newsticker/meldung/61794"][url="http://www.heise.de/newsticker/meldung/61794"][url="http://www.heise.de/newsticker/meldung/61794"]http://www.heise.de/newsticker/meldung/61794[/url][/url][/url]
phpbb: [url="http://www.phpbb2.de/"][url="http://www.phpbb2.de/"][url="http://www.phpbb2.de/"]http://www.phpbb2.de/[/url][/url][/url]
Es handelt sich um das Phänomen namens "Cross Site Scripting", den rudimentären Patch dagegen habe ich eingebaut.
Faktum ist, daß dieses lediglich einen Notbehelf darfstellt, aber nicht weitere (unbekannte) "Lücken" ausschliesst.
Die Informationspolitik von phpbb lässt zu wünschen übrig, der Security-Tracker von phpbb zeigt jedenfalls das Problem bis heute nicht auf.
Security-Tracker von phpbb: [url="http://www.phpbb.com/security/"][url="http://www.phpbb.com/security/"][url="http://www.phpbb.com/security/"]http://www.phpbb.com/security/[/url][/url][/url]
Mein weiteres Handeln stimme ich auf solche Gegebenheiten ab, und vergleiche dann verschiedene Anbieter (kostenlose & kommerzielle) im Funktionsumfang. Die Jungs von phpbb waren schon mal besser drauf.
Viele Grüsse
Daniel

