Dlaczego akurat phpBB3, a nie SMF?

Dział tymczasowy - niedługo wszystko będzie działać bezbłędnie :)
Awatar użytkownika
Nolt
Sędziwy Jeż
Sędziwy Jeż
Posty: 88
Rejestracja: 03 lut 2006, 01:32
Płeć: Mężczyzna
Wersja Ubuntu: 16.04
Środowisko graficzne: Unity
Architektura: x86_64
Kontakt:

Dlaczego akurat phpBB3, a nie SMF?

Post autor: Nolt » 30 sie 2011, 12:27

Dlaczego w dalszym ciągu przystajecie przy phpBB zamiast przesiąść się na stabilne SMF 2.0 które jest o wiele ładniejsze i bardziej zabezpieczone niż phpBB?
Awatar użytkownika
mario_7
Administrator
Administrator
Posty: 6878
Rejestracja: 30 sie 2006, 13:11
Płeć: Mężczyzna
Wersja Ubuntu: 16.04
Środowisko graficzne: Unity
Architektura: x86_64

Re: Dlaczego akurat phpBB3, a nie SMF?

Post autor: mario_7 » 30 sie 2011, 13:07

Jakieś dowody popierające tezę o zabezpieczeniach?

Ponadto stabilna wersja SMF wyszła w czerwcu, a my zmianę skryptu zrobiliśmy w marcu. Zmiana skryptu to nie takie hop-siup, trzeba sporo czasu, aby wszystko przygotować i przetestować. Zatem na razie zostanie tak, jak jest (chyba, ze znajda się chętni do dokonania jakiejś zmiany ;) ).
Czytelnia - poczytaj, Google - poszukaj
Awatar użytkownika
jacekalex
Gibki Gibbon
Gibki Gibbon
Posty: 3689
Rejestracja: 17 cze 2007, 02:54
Płeć: Mężczyzna
Wersja Ubuntu: inny OS
Środowisko graficzne: Inne
Architektura: x86_64

Re: Dlaczego akurat phpBB3, a nie SMF?

Post autor: jacekalex » 31 sie 2011, 05:31

Z tym bezpieczeństwem SMF czy PhpBB3 i wyższością jednego czy drugiego pod względem bezpieczeństwa, to ciężka bzdura.
Praktycznie nie zam skryptu CMS napisanego w PHP, w którym nie znajdowały by się co jakiś czas hardcorowe dziury związane np z SQL-Injection czy XSS.

I chyba każdy, kto ma RSS z Securityfocus czy PacketStorm czy podobnego serwisu, się ze mną zgodzi.
Nie ma żadnej różnicy, czy to Joomla, Drupal, PhpBB*, SMF, Phpmyadmin, Wordpress, Oscommerce czy Prestashop.

Te skrypty, jak i cały język PHP w ogóle zawsze był z bezpieczeństwem mocno na bakier.
Gdybym ja szukał w bardziej bezpiecznego skryptu, to chyba raczej zastanowiłbym się nad FluxBB.

Co bynajmniej nie znaczy, że w phpBB3 czegoś brakuje, jest od FluxBB większy, ma więcej kodu (i więcej dostępnych funkcji), ale każdy dodatkowy kawałek kodu powyżej niezbędnego minimum podnosi ryzyko luki bezpieczeństwa, (i tak już niemałe).

Bezpieczeństwo skryptu PHP osiąga się głownie przez konfigurację samego serwera i parsera php.
Jedyny element, w którym bezpieczeństwo zależy od samego skryptu np forum, to pola do wprowadzania danych, i odpowiednie filtrowanie tego, co wpisują użytkownicy, oraz co włazi poprzez np cookies i inne tablice.

Bo filtrowanie tablic GET czy POST o wiele sprawniej i bezpieczniej działa na samym serwerze, aniżeli w skrypcie php.

Poza tym np tutaj, w wyraźnie większej skali phpBB3 daje radę i działa bez problemów w znacznie trudniejszych warunkach, aniżeli na ubuntu.pl

Osobiście, jeśli mam jakieś zastrzeżenia, to może troszkę by się znalazło, np:
Na ubuntu.pl u mnie nie działają przyciski w polach odpowiedzi, edycji i szybkiej edycj, - znaczniki CODE i inne muszę klepać ręcznie. (na innych forach, tego problemu nie mam, również na PhpBB3)

To by było na tyle
:craz:
Ostatnio zmieniony 01 wrz 2011, 09:28 przez jacekalex, łącznie zmieniany 1 raz.
Problemy rozwiązujemy na forum nie na PW -> Niech inni na tym skorzystają.
Komputer jest jak klimatyzacja - gdy otworzysz okna, robi się bezużyteczny...
Linux User #499936
Inny OS: Gentoo Linux :)
Awatar użytkownika
brezniew
Przyjaciel
Przyjaciel
Posty: 2680
Rejestracja: 12 kwie 2011, 16:48
Wersja Ubuntu: inny OS
Środowisko graficzne: Fluxbox
Architektura: x86_64

Re: Dlaczego akurat phpBB3, a nie SMF?

Post autor: brezniew » 31 sie 2011, 12:59

jacekalex pisze:Osobiście, jeśli mam jakieś zastrzeżenia, to może troszkę by się znalazło, np:
Na ubuntu.pl u mnie nie działają przyciski w polach odpowiedzi, edycji i szybkiej edycj, - znaczniki CODE i inne muszę klepać ręcznie. (na innych forach, tego problemu nie mam, również na PhpBB3)
Może "przedobrzyłeś" z NoScript bądź innymi tego typu wtyczkami.
Szubi

Re: Dlaczego akurat phpBB3, a nie SMF?

Post autor: Szubi » 31 sie 2011, 19:14

jacekalex pisze:Osobiście, jeśli mam jakieś zastrzeżenia, to może troszkę by się znalazło, np:
Na ubuntu.pl u mnie nie działają przyciski w polach odpowiedzi, edycji i szybkiej edycj, - znaczniki CODE i inne muszę klepać ręcznie. (na innych forach, tego problemu nie mam, również na PhpBB3)
Ja takiego problemu u siebie nie mam.
Awatar użytkownika
jacekalex
Gibki Gibbon
Gibki Gibbon
Posty: 3689
Rejestracja: 17 cze 2007, 02:54
Płeć: Mężczyzna
Wersja Ubuntu: inny OS
Środowisko graficzne: Inne
Architektura: x86_64

Re: Dlaczego akurat phpBB3, a nie SMF?

Post autor: jacekalex » 01 wrz 2011, 01:50

brezniew pisze:
jacekalex pisze:Osobiście, jeśli mam jakieś zastrzeżenia, to może troszkę by się znalazło, np:
Na ubuntu.pl u mnie nie działają przyciski w polach odpowiedzi, edycji i szybkiej edycj, - znaczniki CODE i inne muszę klepać ręcznie. (na innych forach, tego problemu nie mam, również na PhpBB3)
Może "przedobrzyłeś" z NoScript bądź innymi tego typu wtyczkami.
Gdybym przedobrzył, to nie działałoby też na PhpBB3 - na Gentoo-forums.
Tyczasem na forum Gentoo działa, tutaj nie.
A Nostript ma wyłączone blokowanie na tym forum.

Możliwe, że to uroki Firefoxa kompilowanego ze źródeł, lub jakichś domyślnych ustawień, ktore ma ta wersja phpBB3, a które na innych forach są jakoś poprawione.
Problemy rozwiązujemy na forum nie na PW -> Niech inni na tym skorzystają.
Komputer jest jak klimatyzacja - gdy otworzysz okna, robi się bezużyteczny...
Linux User #499936
Inny OS: Gentoo Linux :)
Awatar użytkownika
mario_7
Administrator
Administrator
Posty: 6878
Rejestracja: 30 sie 2006, 13:11
Płeć: Mężczyzna
Wersja Ubuntu: 16.04
Środowisko graficzne: Unity
Architektura: x86_64

Re: Dlaczego akurat phpBB3, a nie SMF?

Post autor: mario_7 » 01 wrz 2011, 01:56

jacekalex, jak na razie jesteś jedyną osobą, która zgłasza tego typu problem...
Czytelnia - poczytaj, Google - poszukaj
Awatar użytkownika
Dwimenor
Redaktor
Redaktor
Posty: 1260
Rejestracja: 18 mar 2008, 16:14
Płeć: Mężczyzna
Wersja Ubuntu: 13.10
Architektura: x86_64

Re: Dlaczego akurat phpBB3, a nie SMF?

Post autor: Dwimenor » 01 wrz 2011, 08:26

@jacekalex
Odpalałeś z -safe-mode żeby wykluczyć ustawienia i pluginy?
Poniższe zdanie jest fałszywe.
Powyższe zdanie jest prawdziwe.
Awatar użytkownika
jacekalex
Gibki Gibbon
Gibki Gibbon
Posty: 3689
Rejestracja: 17 cze 2007, 02:54
Płeć: Mężczyzna
Wersja Ubuntu: inny OS
Środowisko graficzne: Inne
Architektura: x86_64

Re: Dlaczego akurat phpBB3, a nie SMF?

Post autor: jacekalex » 01 wrz 2011, 08:40

Już mam sprawcę.

Kiedyś (dość dawno) po aktualizacji wtyczek zdechł user-agent switcher.
A potrzebowałem ściągnąć do obczajenia SQL-Manager do MS-SQL serwera.
Wywalało mnie ze strony MS, więc z palca wkleiłem User-Agenta:

Kod: Zaznacz cały

Mozilla/5.0 (compatible; MSIE 7.0; Windows NT 6.0; MS-RTC LM 8; .NET4.0C)2011-07-21 03:37:11
Dopiero teraz sobie przypomniałem, patrzę, jeszcze jest, zapomniałem o nim.
A na forum, tak samo jak na jego poprzedniej odsłonie (Vbulletin), to czy javascript działa prawidłowo, zależy od User-Agenta, - po prostu są warunkowe poprawki na szajs-przeglądarki.

Dzisiaj co prawda nie potrzebne, u producenta pojawił się groźny wirus, wskutek czego IE9 jest pierwszą przeglądarką w MS w historii, która spełnia wymogi W3C. :craz:

A PhpBB3 ma prawdopodobnie takie wyjątki wszyte w kod, żeby działało na szajsach 6, 7 i 8, które nigdy żadnych standarów nie trzymały.

Ot, i cała tajemnica. :rotfl:

Pozdrawiam
:craz:
Ostatnio zmieniony 02 wrz 2011, 03:27 przez jacekalex, łącznie zmieniany 2 razy.
Problemy rozwiązujemy na forum nie na PW -> Niech inni na tym skorzystają.
Komputer jest jak klimatyzacja - gdy otworzysz okna, robi się bezużyteczny...
Linux User #499936
Inny OS: Gentoo Linux :)
Awatar użytkownika
Dwimenor
Redaktor
Redaktor
Posty: 1260
Rejestracja: 18 mar 2008, 16:14
Płeć: Mężczyzna
Wersja Ubuntu: 13.10
Architektura: x86_64

Re: Dlaczego akurat phpBB3, a nie SMF?

Post autor: Dwimenor » 01 wrz 2011, 09:11

Masz rację - takie poprawki są wszyte w kod. Przy pustym polu user-agent VBbulletin w wersji 3(nie wiem jak w 4) całkowicie wyłączało javascripta.
Poniższe zdanie jest fałszywe.
Powyższe zdanie jest prawdziwe.
Awatar użytkownika
jacekalex
Gibki Gibbon
Gibki Gibbon
Posty: 3689
Rejestracja: 17 cze 2007, 02:54
Płeć: Mężczyzna
Wersja Ubuntu: inny OS
Środowisko graficzne: Inne
Architektura: x86_64

Re: Dlaczego akurat phpBB3, a nie SMF?

Post autor: jacekalex » 01 wrz 2011, 09:19

Dowód rzeczowy ze źródła tej strony,
Linie 577 - 584:
// IE
else if (document.selection)
{
var range = textarea.createTextRange();
range.move("character", new_pos);
range.select();
qe_storeCaret(textarea);
}
w liniach 692 - 728:
function qe_getCaretPosition(txtarea)
{
var caretPos = new qe_caretPosition();

// simple Gecko/Opera way
if(txtarea.selectionStart || txtarea.selectionStart == 0)
{
caretPos.start = txtarea.selectionStart;
caretPos.end = txtarea.selectionEnd;
}
// dirty and slow IE way
else if(document.selection)

{

// get current selection
var range = document.selection.createRange();

// a new selection of the whole textarea
var range_all = document.body.createTextRange();
range_all.moveToElementText(txtarea);

// calculate selection start point by moving beginning of range_all to beginning of range
var sel_start;
for (sel_start = 0; range_all.compareEndPoints('StartToStart', range) < 0; sel_start++)
{
range_all.moveStart('character', 1);
}

txtarea.sel_start = sel_start;

// we ignore the end value for IE, this is already dirty enough and we don't need it
caretPos.start = txtarea.sel_start;
caretPos.end = txtarea.sel_start;
}

return caretPos;
}
Pozdrawiam
:craz:
Problemy rozwiązujemy na forum nie na PW -> Niech inni na tym skorzystają.
Komputer jest jak klimatyzacja - gdy otworzysz okna, robi się bezużyteczny...
Linux User #499936
Inny OS: Gentoo Linux :)
Awatar użytkownika
ethanak
Wygnańcy
Posty: 3054
Rejestracja: 04 gru 2007, 13:19
Płeć: Mężczyzna
Wersja Ubuntu: 12.04
Środowisko graficzne: GNOME
Architektura: x86
Lokalizacja: Bielsko-Biała
Kontakt:

Re: Dlaczego akurat phpBB3, a nie SMF?

Post autor: ethanak » 01 wrz 2011, 09:34

Ale problem nie jest w tych liniach (bo są absolutnie prawidłowe), tylko w sposobie wykrywania możliwości przeglądarki.
Zapis w stylu:

Kod: Zaznacz cały

var IE=false;
/*@cc_on @*/
/*@if (@_jscript_version >= 5)
 IE=true;
@end @*/
jest prawidłową formą wykrywania czy to jest IE i gdyby takie coś było w kodzie to by działało. Analiza useragent to zabytek z czasów IE4, czyli dwieście lat przed dinozaurami...
No ale jeśli takie kwiatki są w kodzie to ja przepraszam...
Awatar użytkownika
jacekalex
Gibki Gibbon
Gibki Gibbon
Posty: 3689
Rejestracja: 17 cze 2007, 02:54
Płeć: Mężczyzna
Wersja Ubuntu: inny OS
Środowisko graficzne: Inne
Architektura: x86_64

Re: Dlaczego akurat phpBB3, a nie SMF?

Post autor: jacekalex » 01 wrz 2011, 09:47

Ja wiem, że kod poprawny, ale pokazałem wyjątki zakomentowane jako IE.
Warunek, jaki opisałeś, wygląda tak:
472-474:

Kod: Zaznacz cały

var is_ie = ((clientPC.indexOf('msie') != -1) && (clientPC.indexOf('opera') == -1));
var is_win = ((clientPC.indexOf('win') != -1) || (clientPC.indexOf('16bit') != -1));
Natomiast np IE8 też wymagał takich kombinacji, dopiero IE9 zaczał spełniać wymogi W3C odnośnie CSS i JS.
A np IE8 chyba był już po dinozaurach.
:rotfl:
Problemy rozwiązujemy na forum nie na PW -> Niech inni na tym skorzystają.
Komputer jest jak klimatyzacja - gdy otworzysz okna, robi się bezużyteczny...
Linux User #499936
Inny OS: Gentoo Linux :)
Awatar użytkownika
ethanak
Wygnańcy
Posty: 3054
Rejestracja: 04 gru 2007, 13:19
Płeć: Mężczyzna
Wersja Ubuntu: 12.04
Środowisko graficzne: GNOME
Architektura: x86
Lokalizacja: Bielsko-Biała
Kontakt:

Re: Dlaczego akurat phpBB3, a nie SMF?

Post autor: ethanak » 01 wrz 2011, 09:58

Dobra, ale akurat te fragmenty kodu nie mają nic wspólnego z W3C, IE ma swoje rozwiązania, reszta świata zerżnęła ze śp. Netscape. I chociaż netscapowy sposób bardziej mi odpowiada, to w niektórych przypadkach IE jest prostszy.
Co do opery - lepiej sprawdzać:

Kod: Zaznacz cały

 if (window.opera) ... 
A i to tylko dlatego, że niektóre funkcje w Operze są zaimplementowane nieprawidłowo i proste sprawdzanie funkcjonalności nie wystarczy.
Tak przy okazji (nie chce mi się do źródeł JS-a zaglądać, mam wystarczająco dużo tego tałatajstwa w robocie) - czy w ogóle gdzieś jest wykorzystany is_win? I czy nie można zamienić tego is_ie na komentarz warunkowy jak wyżej podałem?
Awatar użytkownika
jacekalex
Gibki Gibbon
Gibki Gibbon
Posty: 3689
Rejestracja: 17 cze 2007, 02:54
Płeć: Mężczyzna
Wersja Ubuntu: inny OS
Środowisko graficzne: Inne
Architektura: x86_64

Re: Dlaczego akurat phpBB3, a nie SMF?

Post autor: jacekalex » 02 wrz 2011, 03:24

Jak chcesz się bawić - to ściągnij sobie skrypt phpBB3, jest na stronie.
Ja patrzyłem tylko na stronę w przeglądarce, wyświetlając źródło strony,
i nie bawiłem się w dogłębną analizę kodu.
Sznurek: http://phpbb3.pl/download.php

Poza tym o szczegółach kodu phpBB3 też radziłbym dyskutować na forum phpbb3 - tam więcej ludzi conieco przy nim robiło.

Mnie tylko zaciekawiło (i solidnie zmyliło), dlaczego na zmienionym user-agencie tutaj nie działało (na phpBB3) a na Gentoo-forums działało (też na phpBB3).
Gdyby na kilku forach był podobny problem, to szybciej bym się skapnął, że to user-agent.
Ale kłopot był tylko tutaj.

Pozdrawiam
:craz:
Problemy rozwiązujemy na forum nie na PW -> Niech inni na tym skorzystają.
Komputer jest jak klimatyzacja - gdy otworzysz okna, robi się bezużyteczny...
Linux User #499936
Inny OS: Gentoo Linux :)
Awatar użytkownika
luk1don
Przebojowy Jelonek
Przebojowy Jelonek
Posty: 1768
Rejestracja: 07 lis 2008, 16:17
Płeć: Mężczyzna
Wersja Ubuntu: inny OS
Środowisko graficzne: Inne
Architektura: x86

Re: Dlaczego akurat phpBB3, a nie SMF?

Post autor: luk1don » 21 lis 2011, 01:13

jacekalex pisze:
Mnie tylko zaciekawiło (i solidnie zmyliło), dlaczego na zmienionym user-agencie tutaj nie działało (na phpBB3) a na Gentoo-forums działało (też na phpBB3).
Gdyby na kilku forach był podobny problem, to szybciej bym się skapnął, że to user-agent.
Ale kłopot był tylko tutaj.
Hm..
http://forums.gentoo.org => Powered by phpBB 2.0.23-gentoo-p5
http://ubuntu.pl/forum => Powered by phpBB 3.0.9
Tamto forum działa na pewno na phpBB2 :-D
Awatar użytkownika
jacekalex
Gibki Gibbon
Gibki Gibbon
Posty: 3689
Rejestracja: 17 cze 2007, 02:54
Płeć: Mężczyzna
Wersja Ubuntu: inny OS
Środowisko graficzne: Inne
Architektura: x86_64

Re: Dlaczego akurat phpBB3, a nie SMF?

Post autor: jacekalex » 21 lis 2011, 04:39

luk1don pisze: Hm..
http://forums.gentoo.org => Powered by phpBB 2.0.23-gentoo-p5
http://ubuntu.pl/forum => Powered by phpBB 3.0.9
Tamto forum działa na pewno na phpBB2 :-D
Akurat tego nie byłbym taki pewien, nie sprawdzając dokładnie kodu, Administratorzy Gentoo forums to nie lamerzy, i mogli celowo zmienić nazwę skryptu, żeby zmylić potencjalnych script kiddle.
Gdybym ja administrował forum na phpBB, dokładnie tak zrobiłbym.
:twisted:

A Gentoo forums poza stopką w ogóle nie przypomina mi phpBB 2.0.* - pod wzgledem zarówno interfejsu, jak i wyglądu.

Poza tym, w kontekście "na pewno", jak wiadomo:
Benjamin Franklin pisze:Na tym świecie pewne są tylko śmierć i podatki.
Sznurek. :rotfl:

Pozdro
:craz:
Problemy rozwiązujemy na forum nie na PW -> Niech inni na tym skorzystają.
Komputer jest jak klimatyzacja - gdy otworzysz okna, robi się bezużyteczny...
Linux User #499936
Inny OS: Gentoo Linux :)
Awatar użytkownika
luk1don
Przebojowy Jelonek
Przebojowy Jelonek
Posty: 1768
Rejestracja: 07 lis 2008, 16:17
Płeć: Mężczyzna
Wersja Ubuntu: inny OS
Środowisko graficzne: Inne
Architektura: x86

Re: Dlaczego akurat phpBB3, a nie SMF?

Post autor: luk1don » 21 lis 2011, 13:23

jacekalex pisze: Akurat tego nie byłbym taki pewien, nie sprawdzając dokładnie kodu, Administratorzy Gentoo forums to nie lamerzy, i mogli celowo zmienić nazwę skryptu, żeby zmylić potencjalnych script kiddle.
Gdybym ja administrował forum na phpBB, dokładnie tak zrobiłbym.
:twisted:

A Gentoo forums poza stopką w ogóle nie przypomina mi phpBB 2.0.* - pod wzgledem zarówno interfejsu, jak i wyglądu.

Poza tym, w kontekście "na pewno", jak wiadomo:
Benjamin Franklin pisze:Na tym świecie pewne są tylko śmierć i podatki.
Sznurek. :rotfl:

Pozdro
:craz:
Taaa... "Sznurki" zostawmy może na boku :-D Franklin był też m.in. racjonalistą (sprawdź w "sznurku"). Pewnie, że można sobie porobić "zmyłki". Wątpię jednak, żeby administratorzy forum o Gentoo celowo zaprzątali sobie głowę i zmieniali kod skryptu, żeby zaamaskować samą jego wersję i to na starszą!
Co do wersji phpBB to można poczytać sobie tutaj:
http://forums.gentoo.org/docs/CHANGELOG.html
A o tym forum tutaj:
docs/CHANGELOG.html
(Nawiasem mówiąc wygląda na to, że jeszcze używacie phpBB 3.0.8 )
W inne miejsca już nie będę wchodził :-D

//mario_7: phpBB jest zaktualizowane, w przeciwieństwie do tego pliku. ;)
Awatar użytkownika
jacekalex
Gibki Gibbon
Gibki Gibbon
Posty: 3689
Rejestracja: 17 cze 2007, 02:54
Płeć: Mężczyzna
Wersja Ubuntu: inny OS
Środowisko graficzne: Inne
Architektura: x86_64

Re: Dlaczego akurat phpBB3, a nie SMF?

Post autor: jacekalex » 21 lis 2011, 16:11

//mario_7: phpBB jest zaktualizowane, w przeciwieństwie do tego pliku. ;)
Prawdopodobnie na innych forach jest dokładnie taka sama polityka.
Wątpię jednak, żeby administratorzy forum o Gentoo celowo zaprzątali sobie głowę i zmieniali kod skryptu, żeby zaamaskować samą jego wersję i to na starszą!
A co do maskowania wersji, to może stopka została stara (może część schematu graficznego), albo np zamiast zaprzatać sobie głowę ktoś wrzucił skrypt, który robi to i owo.
Akurat na Gentoo hakerów nie brakuje, także raczej nikt tam sobie nie zaprząta głowy, za to czasem skrobie jakiś kawałek kodu, który tu i tam conieco zrobi.

Pozdro
:craz:
Problemy rozwiązujemy na forum nie na PW -> Niech inni na tym skorzystają.
Komputer jest jak klimatyzacja - gdy otworzysz okna, robi się bezużyteczny...
Linux User #499936
Inny OS: Gentoo Linux :)
ODPOWIEDZ

Wróć do „phpBB3 - uwagi, propozycje, zauważone błędy”