nicht angemeldet
Hallo torsten,
nur weil kruse hier en kleinen server auf die beine gestellt hat, heißt es noch lange nicht das er Konrad Zuse höchst persönlich ist!
Hat er auch nicht behauptet. Er hat lediglich behauptet, dass er die nötige Programmier- und Administrationserfahrung besitzt, um so etwas beurteilen zu können - und dazu muss man kein Genie sein.
das thema sicherheit ist ein heikles thema, und sollte nicht für bestimmte software so hoch dramatisiert werden!
Es ist nunmal Fakt, dass alleine dieses Jahr zwischen dem 1. März und Heute 10 verschiedene, teilweise gravierende Sicherheitslücken gefunden wurden:
http://www.securityfocus.com/bid/13545
http://www.securityfocus.com/bid/13344
http://www.securityfocus.com/bid/13345
http://www.securityfocus.com/bid/13219
http://www.securityfocus.com/bid/12678
http://www.securityfocus.com/bid/12736
http://www.securityfocus.com/bid/12618
http://www.securityfocus.com/bid/12623
http://www.securityfocus.com/bid/12621
http://www.securityfocus.com/bid/9984
Es ist nunmal Fakt, dass einige dieser Sicherheitslücken von Würmern ausgenutzt wurden, um sich zu verbreiten. Es ist nunmal Fakt, dass der Code auf Grund seines Aufbaus sehr anfällig ist (überall wird Text hin- und herkodiert (urlencode, urldecode, ...), SQL-Statements stehen in den Dateien (viewtopic.php, etc.) selbst, in SQL-Statements werden Variablen einfach so ohne sie zu quoten eingefügt (klar, meistens wird _vorher_ dafür gesorgt, dass diese sauber sind, allerdings braucht man das nur mal an einer Stelle zu vergessen), preg_replace wird _sehr_ oft mit dem e-Flag aufgerufen und mit schweinekomplizierten Ersetzungsausdrücken, die natürlich von sich aus fehleranfällg sind, etc...) Christian wollte Dir nur einen guten Rat geben, die Finger von der Software zu lassen, weil Du Gefahr läufst, diese daran zu verbrennen. Es spielt überhaupt keine Rolle, dass die phpBB-Leute schnell auf Sicherheitslücken reagieren - selbst wenn Microsoft seine Politik bezüglich Sicherheitslücken sofort ändern würde, würde ich trotzdem keinen IE verwenden, es sei denn, Microsoft würde ihn von Grund auf neu schreiben - es hat sich beim IE (genauso wie bei phpBB) gezeigt, dass da viel zu viele konzeptionelle Schwächen drin sind, die es sehr schwierig bis unmöglich machen, die Software einigermaßen sicher zu bekommen.
Viele Grüße,
Christian