phpBB
Najpopularniejszy system forów dyskusyjnych ma to do siebie, że skoro jest najpopularniejszy i skoro jest dziurawy, to mozna go hackować. Ofiarą tego padło niedawno forum pewnego serwisu hostingowego, który dzisiaj napędził mi niezłego stracha, gdy zobaczyłem komunikat "konto zawieszone" przy próbie odwiedzenia strony mojej grupy programistycznej. Ale nie o tym miałem mówić, a o phpBB.
Poprawki wychodzą często, co prawda nie w każdy pierwszy wtorek miesiąca, ale wychodzą i trzeba aktualizować. A jak się tego nie robi to się ma, niestety. Oprócz hakerów (choć ciekawe czy zasługują na to zaszczytne miano...) zagrożeniem jest spam (choć moje prowizoryczne rozwiązanie radziło sobie z nim idealnie) i pewnie jakieś inne rzeczy. Co zrobić? Oprócz aktualizacji można pomyśleć nad zmianą silnika forum.
Coś słyszałem o Vanilla Forum, podobno naprawdę niezłym (pamiętam z krótkiego spotkania, że nie było brzydkie), jest (płatne) IPB... Można też czekać na phpBB 3.0.
Ciekawi mnie jedna rzecz. Windows jest popularny => posiada wirusy, jest atakowany i tak dalej. phpBB jest popularne => jest atakowane, posiada spamboty i tak dalej. Czy jeżeli Linux byłby popularny to by się na niego też namnożyło pułapek, czy on jest po prostu dobrze napisany i takiego zagrożenia nie ma prawa być, a phpBB to po prostu śmieciowy kod?
PS. Bełdzio na swoim blogu teraz zaczął pokazywać potknięcia w dziedzinie XSS czy SQL Injection. Muszę teraz pamiętać aby wszystkie aplikacje swoje zabezpieczać dokładnie, bo ja nie chciał bym się w takiej galerii (nie)sławy znaleźć.
16 lipca 2006 12:21:28
phpBB2 ma naprawdę słaby i strasznie zamotany kod, phpBB3 podobnie, choć jest już trochę lepiej (przeglądałem źródła bety).
Vanilla Forum - z 10minut się nim zajmowałem, wrażenia pozytywne, ale mam odczucie, że nie sprawdzi się na dużym forum z klikudziesięcioma użytkownikami - ma trochę nietypowy układ jak na forum.
Co odporności Linuksa - parę dni temu udało się włamać na serwery dystrybucji Debiana, i to tylko dlatego, że jeden z programistów miał za słabe hasło. Zawiódł człowiek, a nie system - to chyba świadczy o potędze Linuksa. :)
16 lipca 2006 12:36:45
Vanilla jest dobra na wrzucenie na stronę domową najwyżej, ale jest fajna :)
Co do phpBB3 to nie wiem czy warto robić sobie nadzieje ale już znaleziono w nim błędy ;P
Taki na przykład http://retrogod.altervista.org/phpbb3_sql.html :/
16 lipca 2006 12:45:13
O potedze Linuksa ma swiadczyc to, ze ktos sie na niego wlamal bo haslo bylo za slabe? O jezu.. ;-)
Oczywistym jest, ze gdyby Linux byl bardziej popularny to i zagrozen by wiecej bylo, miedzy innymi wirusow. Z drugiej strony UNIXy maja bardzo dobrze rozwiazana kwestie uprawnien wiec nie bylo by tragicznie ;-)
16 lipca 2006 17:34:19
O potędze Linuksa świadczy to, że informacja o włamaniu na serwer, co do którego było wiadomo, że jest dobrze administrowany - ``W końcu nie dopuszczą byle pierdoły do jednego z ważniejszych sererów Debiana, nie?'' - obiegła całą społeczność wywołując naprzemian niedowierzanie, zdziwienie i zażenowanie.
17 lipca 2006 19:18:07
A próbowałeś z FUD Forum? http://fudforum.org
20 lipca 2006 02:27:27
A może UNB?
http://newsboard.unclassified.de/